BERBASISNSNORTNINLINE

Oleh:

Mick Sandy Pratama (0834010275)

TEKNIKNINFORMATIKA

FAKULTASNTEKNOLOGININDUSTRI

UNIVERSITASNPEMBANGUNANNNASIONAL

”VETERAN”NJATIM

2012

ABSTRAK

Keamanan jaringan komputer dikategorikan dalam dua bagian keamanan fisik dan non-fisik. Keamanan fisik atau non-fisik keduanya sangat penting, namun yang terpenting adalah bagaimana cara agar jaringan komputer tersebut terhindar dari gangguan. Gangguan tersebut dapat berupa gangguan dari dalam atau luar. IPS (Intruston Preventton System) adalah sebuah metode yang bekerja untuk monttortng trafftc jaringan, mendeteksi aktivitas mencurigakan dan melakukan pencegahan dini terhadap kejadian yang dapat membuat jaringan menjadi berjalan tidak sebagaimana mestinya. Serangan yang sering dilancarkan oleh para hacker adalah backdoor dan synflood. Hacker memilih serangan backdoor bertujuan untuk mengakses sistem, aplikasi, atau jaringan dengan hak akses khusus, sedangkan serangan synflood bertujuan untuk membanjiri sistem oleh permintaan sehingga sistem menjadi terlalu sibuk dan dapat berakibat macetnya sistem (hang). Snort adalah sebuah software ringkas yang berguna untuk mengamati aktivitas dalam suatu jaringan komputer. Dari sanalah muncul penelitian-penelitian yang membahas tentang keamanan jaringan.

Banyak tool yang digunakan untuk mengamankan jaringan misalnya ftrewall, namun ftrewall saja tidak cukup efisien dalam mengamankannya. Oleh sebab itu, berkembanglah teknologi IPS dari teknologi awal IDS. Sebagai IDS, Snort hanya menganalisa paket yang ada dan memberikan peringatan bila terjadi serangan dari hacker. Jika seperti ini kasusnya, IDS dikatakan bekerja dalam modus pasif. Bila ingin Snort memblokir upaya serangan dan memberikan respon atas serangan hacker maka Snort harus berkerja sebagai IPS, Snort akan berfungsi sebagai IPS bila berjalan dalam modus tnltne.

Dari ujicoba serangan backdoor dan synflood yang telah dilakukan terbukti bahwa Snort Inline dapat melakukan drop terhadap serangan backdoor dan synflood dapat disimpulkan bahwa metode IPS lebih handal daripada Metode IDS yang hanya menganalisa packet yang ada. Sehingga disarankan untuk meningkatkan kemampuan sistem pada masa yang akan datang.

Kata Kunci: _{IPS (Intrusion Prevention System), Snort Inline, synflood,} backdoor

Puji syukur kehadirat Tuhan Yang Maha Esa, atas semua berkat dan rahmat kasih yang dianugerahkanNya sehingga dapat terselesaikannya Tugas Akhir yang berjudul “Pengamanan Jaringan Komputer Menggunakan Metode IPS (Intrusion Prevention System) Terhadap Serangan Backdoor dan Synflood Berbasis Snort Inline”.

Penyusunan laporan tugas akhir ini diajukan untuk menyelesaikan dan memenuhi salah satu syarat yang harus ditempuh oleh setiap mahasiswa Jurusan Teknik Informatika, Fakultas Teknologi Industri Universitas Pembangunan Nasional”Veteran”Jawa Timur.

Dalam penyusunan laporan ini, penulis tidak lepas dari bantuan dan dorongan dari berbagai pihak. Oleh karena itu, pada kesempatan kali ini penulis mengucapkan terima kasih kepada :

1. Bapak Ir. Sutiyono, MT, selaku dekan FTI Universitas Pembangunan Nasional”Veteran”Jawa Timur.

2. Ibu Dr.Ir.Ni Ketut Sari, MT, selaku ketua Jurusan Teknik Informatika Universitas Pembangunan Nasional”Veteran”Jawa Timur.

3. Bapak Hudan Studiawan, S.kom , M.kom selaku dosen pembimbing , atas masukan dan bimbingannya selama ini penulis ucapkan terima kasih.

4. Bapak Kafi Ramadhani Borut, S.kom yang membantu dan membimbing saya untuk memahami Tugas Akhir ini.

5. Ibu Dr.Ir.Ni Ketut Sari, MT dan bapak Kafi Ramadhani Borut, S.kom yang telah menguji dan memberi masukan dalam Tugas Akhir ini.

7. Adikku Vita Dian Permata Sari dan Ryan Putra Pradana yang selalu menghibur dan memberi semangat dalam penyelesaian Tugas Akhir.

8. Teman-teman angkatan 2008, yang telah banyak membantu dalam penyelesaian Tugas Akhir ini, penulis ucapkan terima kasih atas dukungan dan bantuannya.

9. Untuk seseorang yang selalu ada di hatiku Istikhomah, Amd.Keb (isty) yang selalu memberi dukungan dan motovasi dalam penyelesaian Tugas Akhir ini.

10. My Bestfriend (Rizal, Jefa, Agit, Darmawan, Dwiky, Abi, dan Adit) yang telah memberikan suport dan dorongan untuk menyelesaikan laporan ini.

Semoga Allah SWT memberikan balasan pahala atas segala amal baik yang telah diberikan dan semoga Tugas Akhir ini berguna bagi semua pihak yang memanfaatkan.

Surabaya, Mei 2012

Talaman ABSTRAK ... ... i KATA PENGANTAR ... ... ii DAFTAR ISI ... ... iv DAFTAR GAMBAR ... ... vii

BAB I PENDAHULUAN

1.1 Latar Belakang

... ... 1

1.2 Perumusan Masalah

... ... 3

1.4 Rumusan Masalah ... ... 4

1.5 Tujuan Penelitian

... ... 4

1.6 Sistematika Penulisan

... ... 4

BAB II TINJAUAN TEORI

2.1 Jaringan Komputer

6

2.1.1 LAN (Local Area Network)

7

2.1.2 MAN (Metropolitan Area Network)

7

2.1.3 WAN (Wide Area Network)

7

9

2.2.2 Firewall

11

2.2.2.1 Fungsi Firewall

13

2.2.2.2 Cara Kerja Packet-Filter Firewall

17

2.2.3 IPTables

19

2.2.4 Intrusion Detection System

22

2.2.5 Intrusion Prevention System

24

2.2.5.1 Mekanisme IPS

24

2.2.5.2 Rancangan Hubungan antara Netfilter dengan Snort Inline

2.4 Jenis Serangan SYN flooding attack

34

2.5 Snort IDS (Intrusion Detection System)

36

2.6 Aplikasi Pendukung Snort

38

BAB III METODE TUGAS AKHIR

3.1 Rancangan Jaringan Komputer

... ... 41

3.2 Spesifikasi Kebutuhan Sistem ... ... 42

3.3 Perancangan

... ... 44

3.3.1 Flowchart Snort

... ... 44

3.4. Rancangan Uji Coba Serangan ... ... 46

3.5 System flow Pendeteksian dan Drop Serangan Backdoor ... ... 46

3.6 System flow Pendeteksian dan Drop Serangan Synflood ... ... 47

BAB IV IMPLEMENTASI SISTEM

4.1 Konfigurasi VMWare

... ... 49

4.2 Instalasi dan Konfigurasi Snort ... ... 51

4.3 User Interface BASE

... ... 55

... 61

5.1.1 Uji Coba Fungsional Snort

... ... 61

5.1.2 Uji Coba Fungsional User Interface BASE ... ... 62

5.2 Uji Coba Kinerja Snort Inline ... ... 64

5.2.1 Uji Coba Kinerja Snort Inline terhadap Serangan Backdoor ... ... 65

5.2.1 Uji Coba Kinerja Snort Inline terhadap Serangan Synflood ... ... 68

BAB VI KESIMPULAN DAN SARAN 6.1 Kesimpulan

... ... 71

DAFTAR PUSTAKA

... ... 73

1.1 LatarBBelakangBB

Keamanan jaringan komputer dikategorikan dalam dua bagian, yaitu keamanan secara fisik dan juga keamanan secara non-fisik. Keamanan secara fisik merupakan keamanan yang cenderung lebih memfokuskan segala sesuatunya berdasarkan sifat fisiknya. Dalam hal ini misalnya pengamanan komputer agar terhindar dari pencurian dengan rantai sehingga fisik komputer tersebut tetap pada tempatnya. Kondisi ini sudah sejak lama diaplikasikan dan dikembangkan. Sedangkan keamaanan non-fisik adalah keamanan dimana suatu kondisi keamanan yang menitikberatkan pada kepentingan secara sifat. Sebagai contoh yaitu pengamanan data, misalnya data sebuah perusahaan yang sangat penting.

Keamanan fisik ataupun keamanan non-fisik kedua–duanya sangat penting namun yang terpenting adalah bagaimana cara agar jaringan komputer tersebut terhindar dari gangguan. Gangguan tersebut dapat berupa gangguan dari dalam (internal) ataupun gangguan dari luar (eksternal). Gangguan internal merupakan gangguan yang berasal dari lingkup dalam jaringan infrastruktur tersebut. Dalam hal ini adalah gangguan dari pihak–pihak yang telah mengetahui kondisi keamanan dan kelemahan jaringan tersebut. Gangguan eksternal adalah gangguan yang memang berasal dari pihak luar yang ingin mencoba atau dengan sengaja ingin menembus keamanan yang telah ada. Gangguan eksternal biasanya lebih

sering terjadi pada jaringan eksternal, seperti web server, telnet, FTP, SSH server (Haniri, Anis, 2002).

IPS (Intruston Preventton System) adalah sebuah aplikasi yang bekerja untuk monitoring trafftc jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Serangan – serangan yang sering dilancarkan oleh para hacker antara lain backdoor dan synfeood. Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati aktivitas dalam suatu jaringan komputer.

Maka dari itu, dalam tugas akhir ini akan dirancang sebuah pengamanan jaringan komputer menggunakan metode IPS (Intruston Preventton System) terhadap serangan backdoor dan synfeood berbasis Snort Inline.

1.2 RumusanBMasalah

Adapun rumusan masalah yang akan dibahas dalam perancangan dan pengaplikasian keamanan jaringan komputer tersebut yaitu, pendeteksian dan pencegahan Jenis serangan - serangan hacker dalam suatu jaringan komputer khususnya jaringan eksternal antara lain :

a. Bagaimana cara mendeteksi jenis-jenis serangan yang mungkin terjadi dalam suatu jaringan komputer dengan metode IPS?

b. Bagaimana konfigurasi Snort untuk mendeteksi dan mencegah serangan backdoor dan synfeood (TCP-feood)?

Dalam perancangan dan pengaplikasian pengamanan jaringan komputer menggunakan metode “IPS (Intruston preventton system)” terhadap serangan backdoor dan synfeood berbasis Snort InlineBini, mempunyai batasan masalah sebagai berikut:

a. Mendeteksi serangan backdoor dan synfeood dengan Snort IPS pada jaringan eksternal

b. Mencegah serangan-serangan tersebut dengan Snort yang berjalan dalam modus tnetne

c. Menggunakan VMWare sebagai simulasi jaringan komputer terdiri dari router, Snort Inline, dan dua host untuk masing-masing serangan synfeood dan backdoor

d. Sarana yang diserang oleh hacker adalah server yang merupakan sistem operasi nyata dalam komputer.

e. Untuk uji coba serangan dilakukan dari jaringan internal 1.4 TujuanBTugasBAkhir

Tujuan dari tugas akhir ini adalah sebagai berikut :

a. Mengerti dan memahami jenis-jenis serangan backdoor dan synfeood b. Memahami dan mampu mengaplikasikan pendeteksian dan pencegahan

serangan-serangan menggunakan metode IPS (Intruston Preventton System) dengan program Snort Inline.

1.5B ManfaatBTugasBAkhir

Manfaat yang didapat dari tugas akhir ini adalah sebagai berikut: a. Meminimalisir adanya kesalahan dari sebuah sistem dalam jaringan

b. Mengamankan sebuah jaringan komputer yang berbasis cetent-server c. Mengamankan jaringan lokal maupun jaringan internet

1.6 SistematikaBPenulisan

Sistematika penulisan Tugas Akhir (TA) ini akan membantu mengarahkan penulisan laporan agar tidak menyimpang dari batasan masalah yang dijadikan sebagai acuan atau kerangka penulisan dalam mencapai tujuan penulisan laporan Tugas Akhir (TA) sesuai dengan apa yang diharapkan. Laporan Tugas Akhir (TA) ini terbagi dalam empat bab yaitu:

BAB I: PENDAHULUAN

Pendahuluan berisi mengenai gambaran umum tentang latar belakang masalah, perumusan masalah, batasan masalah, tujuan, manfaat dan sistematika penulisan.

BAB II: TINJAUAN PUSTAKA

Tinjauan pustaka ini berisi tentang gambaran umum objek pekerjaan, pengertian–pengertian dasar dan teori–teori yang berhubungan dengan masalah yang akan dibahas dalam tugas akhir (TA) ini sebagai landasan bagi pemecahan yang diusulkan.

BAB III: METODE TUGAS AKHIR

Metode tugas akhir ini berisi tentang rancangan jaringan, rancangan pendeteksian serangan-serangan, dan metode-metode yang dipakai untuk penyelesaian tugas akhir.

BAB IV: IMPLEMENTASI SISTEM

beberapa konfigurasi-konfigurasi untuk membentuk sebuah keamanan untuk jaringan komputer serta timbal balik pengamanan dari serangan backdoor dan synfeood.

BAB V: KESIMPULAN DAN SARAN

Berisi tentang kesimpulan yang di peroleh dari hasil pengana-lisaan data dari bab-bab sebelumnya. Selain itu bab ini berisi tentang saran-saran yang diharapkan dapat bermanfaat dan dapat membangun serta mengembangkan isi laporan terebut sesuai dengan tujuan penulisan Laporan Tugas Akhir (TA).

BAB VI: PENUTUP

Berisi daftar pustaka dan lampiran-lampiran lain yang berfungsi untuk melengkapi uraian yang disajikan dalam bagian utama laporan.

2.1 JaringanBTomputer

Penggabungan antara teknologi komputer dan komunikasi sangat berpengarut tertadap bentuk organisasi sistem komputer. Saat ini model komputer tunggal yang melayani selurut tugas-tugas komputasi suatu organisasi telat dikembangakan menjadi sekumpulan komputer yang berjumlat banyak dan terpisat, tetapi masit saling bertubungan dalam melaksanakan tugasnya, sistem ini disebut sebagai jaringan komputer.

Suatu jaringan global yang terbentuk dari jaringan-jaringan lokal dan regional, disebut dengan internet. Dengan adanya teknologi internet maka memungkinkan terjadinya komunikasi data antar komputer-komputer yang tertubung ke jaringan tersebut. Komputer yang tersebar di selurut dunia, memiliki jenis dan karakteristik yang tidak sama dengan tempat-tempat lain. Untuk mengatasi masalat tersebut, maka diciptakanlat suatu standar protokol yang disebut TCP/IP (Transfer Control Protocol/Internet Protocol) setingga semua pengiriman data dan penerusan data di internet. Protokol TCP/IP ini memberikan suatu IP address (alamat IP) yang unik untuk tiap komputer yang tertubung ke internet setingga lalu lintas data di internet dapat diatur. Berdasarkan jangkauan dan ruang lingkup jaringan komputer dibagi menjadi tiga kelompok, yaitu (Haniri, Anis, 2002):

2.1.1B LANB(Local Area Network)

LAN adalat jaringan komputer yang saling ditubungkan dan dibatasi olet ruang geografis yang relative kecil dan pada umumnya dibatasi ruang lingkup pada perkantoran, sekolat dan pada umumnya tidak lebit dari 2 km2_.

Pada implementasi LAN, ktusus didesain untuk:

1. Beroperasi pada wilayat geografis yang terbatas

2. Memungkinkan banyak user untuk mengakses media dengan kecepatan tinggi

3. Menyediakan koneksi ke layanan lokal setiap saat 4. Mengtubungkan peralatan yang berdekatan.

2.1.2 MANB(Metropolitan Area Network)

Jaringan yang mencakup area lebit besar dari LAN, dan menjangkau antar wilayat dalam satu propinsi. Setingga dalam kata lain MAN mengtubungkan beberapa LAN menjadi suatu jaringan yang lebit besar pada area geografis yang sama.

2.1.3 WANB(Wide Area Netwrok)

Jaringan yang ruang lingkupnya sudat terpisat olet batas geografis yang berbeda atau dalam kata lain jaringan ini mencakup area yang luas dan mampu menjangkau batas propinsi batkan sampai antar negara. Jaringan tersebut pada umumnya sudat menggunakan kabel bawat laut, ataupun melalui media satelit. Pada kategori implementasi WAN ktususnya di desain untuk:

2. Memungkinkan pengguna untuk berkomunikasi dengan user lain yang berjautan pada saat yang sama

3. Menyediakan email, world wide web, e-commerce, dan file transfer.

2.2 TeamananBJaringan

Keamanan jaringan merupakan salat satu aspek penting dari sebuat sistem informasi. Terdapat suatu pandangan yang menyatakan batwa masalat keamanan komputer merupakan tanggung jawab sepenutnya administrator jaringan. Padatal terciptanya suatu sistem keamanan jaringan perlu dukungan dari pitak pengguna jaringan itu sendiri. Setingga perlu adanya pengenalan akan pengetatuan keamanan.

Keamanan jaringan didefinisikan sebagai sebuat perlindungan dari sumber daya tertadap upaya penyingkapan, modifikasi, utilisasi, pelarangan, dan perusakan olet pitak yang tidak diijinkan. Pada umumnya terdapat parameter dari ukuran sebuat sistem yang aman. Diantaranya seorang penyerang atau pitak yang tidak mempunyai tak tarus membututkan banyak waktu, tenaga, dan biaya yang besar dalam melakukan penyerangan selain itu yang perlu dipertatikan adalat resiko yang dikeluarkan penyerang tidak sebanding dengan tasil yang diperolet.

Sistem yang aman merupakan suatu trade-off atau sebuat tarik ulur petimbangan antara keamanan dan biaya, dimana semakin aman sebuat sistem maka semakin tinggi biaya yang diperlukan untuk memenutinya. Setingga dapat dikatakan batwa kebututan keamanan untuk sebuat sistem jaringan komputer berbeda-beda, tal ini tergantung pada aplikasi yang ada di dalamnya, nilai dari data yang ada di dalam sistem, dan tersedianya sumber dana.

Celat keamanan sistem internet dapat disusun dalam skala klasifikasi. Skala klasifikasi ini disebut dengan istilat skala Internet Threat Level (ITL). Dalam tal ini, ancaman terendat digolongkan dengan ITL kelas 0, sedangkan ancaman teringgi digolongkan degan kelas 9. Klasifikasi permasalatan keamanan tergantung pada kerumitan perilaku ancaman pada sistem sasaran, yang dibagi ke dalam tiga kategori utama, yaitu ancaman lokal, ancaman remote dan ancaman dari lintas firewall (Stiawan, Deris, 2005).

2.2.1 TipeBAncaman

Tingkat ancaman dapat diukur dengan melitat faktor-faktor seperti kegunaan sistem, keratasiaan data dalam sistem, tingkat kepentingan dari integritas data, kepentingan untuk menjaga akses yang tidak bolet terputus, profil pengguna dan tubungan antara sistem yang satu dengan sistem yang lain. Secara garis besar terdapat dua tipe ancaman, yaitu (Tittel, Ed, 2004):

1. Ancaman Pasif

Pada ancaman pasif yang dijelaskan pada Gambar 2.1 penyerang melakukan pemantauan dan atau perekaman data selama data ditransmisikan melalui fasilitas komunikasi. Tujuan dari penyerangan ini adalat untuk mendapatkan informasi yang sedang dikirimkan. Kategori ini memiliki dua tipe, yaitu release of message contain dan traffic analysis. Pada tipe release of message contain, memungkinkan penyusup untuk mendengar pesan, sedangkan tipe traffic analysis memungkinkan penyusup untuk membaca header dari suatu paket, setingga bisa menentukan arat atau alamat tujuan paket dikirimkan.

Gambar 2.1 Ancaman pasif 2. Ancaman Aktif

Ancaman aktif yang dijelaskan pada Gambar 2.2 merupakan pengguna gelap suatu peralatan tertubung fasilitas komunikasi untuk mengubat transmisi data atau mengubat isyarat kendali atau memunculkan data atau isyarat kendali palsu. Pada kategori ini terdapat tiga tipe yaitu message-stream modification, denial of message service dan

masquerade. Tipe message-stream modification memungkinan pelaku untuk memilit, mengtapus, memodifikasi, menunda, melakukan reorder, menduplikasi pesan asli dan memungkinkan juga untuk menambatkan pesan-pesan palsu. Pada tipe denial of message service memungkinkan pelaku untuk merusak atau menunda sebagian besar atau selurut pesan. Sedangkan pada tipe masquerade memungkinkan pelaku untuk menyamar sebagi host atau switch asli dan berkomunikasi dengan yang host yang lain atau switch untuk mendapatkan data atau pelayanan.

Gambar 2.2 Ancaman aktif 2.2.2 Firewall

Firewall adalat sebuat sistem atau perangkat yang mengizinkan lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegat lalu lintas jaringan yang tidak aman. Umumnya, sebuat firewall diterapkan dalam sebuat mesin terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan jaringan lainnya. Firewall umumnya juga digunakan untuk mengontrol akses tertadap siapa saja yang memiliki akses tertadap jaringan pribadi dari pitak luar seperti yang telat dijelaskan pada Gambar 2.3.

Saat ini, istilat firewall menjadi istilat lazim yang merujuk pada sistem yang mengatur komunikasi antar dua jaringan yang berbeda. Mengingat saat ini banyak perusataan yang memiliki akses ke internet dan juga tentu saja jaringan berbadan tukum di dalamnya, maka perlindungan tertadap modal digital perusataan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data lainnya, menjadi takikat (Stiawan, Deris, 2005).

Gambar 2.3 Letak firewall untuk sebuat jaringan Firewall terbagi menjadi dua jenis, yakni sebagai berikut:

1. Personal Firewall

Personal Firewall didesain untuk melindungi sebuat komputer yang tertubung ke jaringan dari akses yang tidak diketendaki. Firewall jenis ini aktir-aktir ini berevolusi menjadi sebuat kumpulan program yang bertujuan untuk mengamankan komputer secara total, dengan ditambatkannya beberapa fitur pengaman tambatan semacam perangkat proteksi tertadap virus, anti-spyware, anti-spam, dan lainnya. Batkan beberapa produk firewall lainnya dilengkapi dengan fungsi pendeteksian gangguan keamanan jaringan (Intrusion Detection System).

Contot dari firewall jenis ini adalat Microsoft Windows Firewall (yang telat terintegrasi dalam sistem operasi Windows XP Service Pack 2, Windows Vista dan Windows Server 2003 Service Pack 1), Symantec Norton Personal Firewall, Kerio Personal Firewall, dan lain-lain. Personal Firewall secara umum memiliki fitur yakni Packet Filter Firewall.

2. Network Firewall

Network Firewall didesain untuk melindungi jaringan secara keselurutan dari berbagai serangan. Umumnya dijumpai dalam dua bentuk, yakni sebuat perangkat terdedikasi atau sebagai sebuat perangkat lunak yang diinstalasikan dalam sebuat server. Contot dari firewall ini adalat Microsoft Internet Security and Acceleration Server (ISA Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta SunScreen dari Sun Microsystems, Inc. yang terintegrasi dalam sistem operasi Solaris.

Network Firewall secara umum memiliki beberapa fitur utama, yakni apa yang dimiliki olet personal firewall (packet filter firewall dan stateful firewall), Circuit Level Gateway, Application Level Gateway, dan juga NAT Firewall. Network Firewall umumnya bersifat transparan (tidak terlitat) dari pengguna dan menggunakan teknologi routing untuk menentukan paket mana yang diizinkan, dan mana paket yang akan ditolak.

2.2.2.1 FungsiBFirewall

Secara fundamental, firewall dapat melakukan tal-tal berikut (Stiawan, Deris, 2005):

1. Mengatur dan mengontrol lalu lintas jaringan

Fungsi pertama yang dapat dilakukan olet firewall adalat firewall tarus dapat mengatur dan mengontrol lalu lintas jaringan yang diizinkan untuk

mengakses jaringan privat atau komputer yang dilindungi olet firewall. Firewall melakukan tal yang demikian, dengan melakukan inspeksi tertadap paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan penapisan (filtering) tertadap koneksi berdasarkan tasil inspeksi paket dan koneksi tersebut.

ProsesBinspeksiBPaket

Inspeksi paket (packet inspection) merupakan proses yang dilakukan olet firewall untuk mengtadang dan memproses data dalam sebuat paket untuk menentukan batwa paket tersebut diizinkan atau ditolak, berdasarkan kebijakan akses (access policy) yang diterapkan olet seorang administrator. Sebelum menentukan keputusan apakat tendak menolak atau menerima komunikasi dari luar, firewall tarus melakukan inspeksi tertadap setiap paket (baik yang masuk ataupun yang keluar). Hal ini dilakukan di setiap antarmuka dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat dilakukan dengan melitat elemen-elemen berikut, ketika menentukan apakat tendak menolak atau menerima komunikasi:

a) Alamat IP dari komputer sumber b) Port sumber pada komputer sumber c) Alamat IP dari komputer tujuan d) Port tujuan data pada komputer tujuan e) Protokol IP

f) Informasi header-header yang disimpan dalam paket g) Koneksi dan Keadaan Koneksi.

2. Koneksi dan keadaan konekasi

Agar dua host TCP/IP dapat saling berkomunikasi, maka keduanya tarus saling membuat koneksi antara satu dengan lainnya. Koneksi ini memiliki dua tujuan:

a) Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan dirinya kepada komputer lain, yang meyakinkan batwa sistem lain yang tidak membuat koneksi tidak dapat mengirimkan data ke komputer tersebut. Firewall juga dapat menggunakan informasi koneksi untuk menentukan koneksi apa yang diizinkan olet kebijakan akses dan menggunakannya untuk menentukan apakat paket data tersebut akan diterima atau ditolak.

b) Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut akan berkomunikasi antara satu dengan yang lainnya (apakat dengan menggunakan koneksi connection-oriented, atau connectionless).

Firewall dapat memantau informasi keadaan koneksi untuk menentukan apakat diizinkan masuk lalu lintas jaringan. Umumnya tal ini dilakukan dengan memelitara sebuat tabel keadaan koneksi (dalam istilat firewall: state table) yang memantau keadaan semua komunikasi yang melewati firewall.

Dengan memantau keadaan koneksi ini, firewall dapat menentukan apakat data yang melewati firewall sedang "ditunggu" olet host yang dituju, dan jika ya, akan mengizinkannya. Jika data yang melewati firewall tidak cocok dengan keadaan koneksi yang didefinisikan olet tabel keadaan koneksi, maka data tersebut akan ditolak.

MelindungiBsumberBdayaBdalamBjaringanBprivate

Salat satu tugas firewall adalat melindungi sumber daya dari ancaman yang mungkin datang. Proteksi ini dapat diperolet dengan menggunakan beberapa peraturan pengaturan akses (access control), application proxy, atau kombinasi dari semuanya untuk mencegat host yang dilindungi dapat diakses olet host-host yang mencurigakan atau dari lalu lintas jaringan yang mencurigakan. Meskipun demikian, firewall bukanlat satu-satunya metode proteksi tertadap sumber daya, dan mempercayakan proteksi tertadap sumber daya dari ancaman tertadap firewall secara eksklusif adalat salat satu kesalatan fatal. Jika sebuat host yang menjalankan sistem operasi tertentu yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke internet, firewall mungkin tidak dapat mencegat dieksploitasinya host tersebut olet host-host lainnya, ktususnya jika exploit tersebut menggunakan lalu lintas yang olet firewall telat diizinkan (dalam konfigurasinya).

Sebagai contot, jika sebuat packet-inspection firewall mengizinkan lalu lintas HTTP ke sebuat web server yang menjalankan sebuat layanan web yang memiliki lubang keamanan yang belum ditambal, maka seorang pengguna dapat membuat exploit untuk masuk tanpa izin ke web server tersebut karena memang web server yang bersangkutan memiliki lubang keamanan yang belum ditambal. Dalam contot ini, web server tersebut aktirnya mengakibatkan proteksi yang ditawarkan olet firewall menjadi tidak berguna. Hal ini disebabkan olet firewall yang tidak dapat membedakan antara request HTTP yang mencurigakan atau tidak. Apalagi, jika firewall yang digunakan bukan application proxy. Olet karena itulat, sumber daya

yang dilindungi taruslat dipelitara dengan melakukan penambalan tertadap lubang-lubang keamanan, selain tentunya dilindungi olet firewall.

2.2.2.2 CaraBTerjaBPacket-FilterBFirewall

Pada bentuknya yang paling sedertana, sebuat firewall adalat sebuat router atau komputer yang dilengkapi dengan dua buat NIC (Network Interface Card, kartu antarmuka jaringan) yang mampu melakukan penapisan atau penyaringan tertadap paket-paket yang masuk. Perangkat jenis ini umumnya disebut dengan packet-filtering router (Farunuddin, Raktmat, 2005).

Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam Access Control List firewall, router tersebut akan mencoba memutuskan apakat tendak meneruskan paket yang masuk tersebut ke tujuannya atau mengtentikannya. Pada bentuk yang lebit sedertana lagi, firewall tanya melakukan pengujian tertadap alamat IP atau nama domain yang menjadi sumber paket dan akan menentukan apakat tendak meneruskan atau menolak paket tersebut. Meskipun demikian, packet-filtering router tidak dapat digunakan untuk memberikan akses (atau menolaknya) dengan menggunakan basis tak-tak yang dimiliki olet pengguna.

Cara kerja packet filter firewall juga dapat dikonfigurasikan agar mengtentikan beberapa jenis lalu lintas jaringan dan tentu saja mengizinkannya. Umumnya, tal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP dalam sistem firewall tersebut. Sebagai contot, port 25 yang digunakan olet Protokol SMTP (Simple Mail Transfer Protocol) umumnya dibiarkan terbuka olet

beberapa firewall untuk mengizinkan surat elektronik dari Internet masuk ke dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan olet Protokol Telnet dapat dinonaktifkan untuk mencegat pengguna internet untuk mengakses layanan yang terdapat dalam jaringan privat tersebut.

Firewall juga dapat memberikan semacam pengecualian (exception) agar beberapa aplikasi dapat melewati firewall tersebut. Dengan menggunakan pendekatan ini, keamanan akan lebit kuat tapi memiliki kelematan yang signifikan yakni kerumitan konfigurasi tertadap firewall: daftar Access Control List firewall akan membesar seiring dengan banyaknya alamat IP, nama domain, atau port yang dimasukkan ke dalamnya, selain tentunya juga exception yang diberlakukan.

NAT (Network Address Translation) Firewall secara otomatis menyediakan proteksi tertadap sistem yang berada di balik firewall karena NAT Firewall tanya mengizinkan koneksi yang datang dari komputer-komputer yang berada di balik firewall. Tujuan dari NAT adalat untuk melakukan multiplexing tertadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya kepada jaringan yang lebit luas (MAN, WAN atau internet) seolat-olat paket tersebut datang dari sebuat alamat IP atau beberapa alamat IP. NAT Firewall membuat tabel dalam memori yang mengandung informasi mengenai koneksi yang dilitat olet firewall. Tabel ini akan memetakan alamat jaringan internal ke alamat eksternal. Kemampuan untuk menarut keselurutan jaringan di belakang sebuat alamat IP didasarkan tertadap pemetaan tertadap port-port dalam NAT firewall.

2.2.3 IPTables

IPTables merupakan command untuk menentukan sebuat rule-rule firewall dalam tugasnya menjaga sebuat jaringan. IPTables memiliki tiga fungsi utama untuk menentukan arat putaran paket data. Ketiga fungsi tersebut yaitu Packet Filtering, NAT, Packet Mangling. Paket filtering digunakan untuk memilat dan memberikan ijin ACCEPT/DROP pada suatu paket data, sedangkan NAT digunakan untuk mengubat alamat ip sumber atau tujuan dari suatu paket dalam jaringan, dan untuk Packet Mangling digunakan untuk memodifikasi paket QoS (Quality of Service). IPTables juga memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall (firewall chain) atau sering disebut chain saja. Ketiga ctain tersebut adalat INPUT, OUTPUT dan FORWARD (Farunuddin, Raktmat, 2005).

Gambar 2.4 Skema IPTables

Pada Gambar 2.4 tersebut dijelaskan batwa lingkaran menggambarkan ketiga rantai atau chain. Pada saat sebuat paket sampai pada sebuat lingkaran, maka disitulat terjadi proses penyaringan. Rantai akan memutuskan nasib paket tersebut. Apabila keputusannnya adalat DROP, maka paket tersebut akan di-drop.

Tetapi jika rantai memutuskan untuk ACCEPT, maka paket akan dilewatkan melalui diagram tersebut.

Sebuat rantai adalat aturan-aturan yang telat ditentukan. Setiap aturan menyatakan “jika paket memiliki informasi awal (header) seperti ini, maka inilat yang tarus dilakukan tertadap paket”. Jika aturan tersebut tidak sesuai dengan paket, maka aturan berikutnya akan memproses paket tersebut. Apabila sampai aturan teraktir yang ada, paket tersebut belum memenuti salat satu aturan, maka kernel akan melitat kebijakan bawaan (default) untuk memutuskan apa yang tarus dilakukan kepada paket tersebut. Ada dua kebijakan bawaan yaitu default DROP dan default ACCEPT. Jalannya sebuat paket melalui diagram tersebut bisa dicontotkan sebagai berikut:

1. Perjalanan paket yang diforward ke host yang lain:

a) Paket berada pada jaringan fisik, contot internet b) Paket masuk ke interface jaringan, contot ett0

c) Paket masuk ke chain PREROUTING pada Mangle table. Chain ini berfungsi untuk me-mangle (mengtaluskan) paket, seperti merubat TOS, TTL dan lain-lain

d) Paket masuk ke chain PREROUTING pada tabel NAT. Chain ini berfungsi utamanya untuk melakukan DNAT (Destination Network Address Translation)

e) Paket mengalami keputusan routing, apakat akan diproses olet host lokal atau diteruskan ke host lain

f) Paket masuk ke chain FORWARD pada tabel filter. Disinlat proses pemfilteran yang utama terjadi

g) Paket masuk ke chain POSTROUTING pada tabel NAT. Ctain ini berfungsi utamanya untuk melakukan SNAT (Source Network Address Translation)

t) Paket keluar menuju interface jaringan, contot ett1 i) Paket kembali berada pada jaringan fisik, contot LAN. 2. Perjalanan paket yang ditujukan bagi tost local:

a) Paket berada dalam jaringan fisik, contot internet b) Paket masuk ke interface jaringan, contot ett0

c) Paket masuk ke chain PREROUTING pada tabel mangle d) Paket masuk ke chain PREROUTING pada tabel NAT e) Paket mengalami keputusan routing

f) Paket masuk ke chain INPUT pada tabel filter untuk mengalami proses penyaringan

g) Paket akan diterima olet aplikasi lokal. 3. Perjalanan paket yang berasal dari host lokal:

a) Aplikasi lokal mengtasilkan paket data yang akan dikirimkan melalui jaringan

b) Paket memasuki chain OUTPUT pada tabel mangle c) Paket memasuki chain OUTPUT pada tabel NAT d) Paket memasuki chain OUTPUT pada tabel filter

e) Paket mengalami keputusan routing, seperti ke mana paket tarus pergi dan melalui interface mana

f) Paket masuk ke chain POSTROUTING pada tabel NAT g) Paket masuk ke interface jaringan, contot ett0

t) Paket berada pada jaringan fisik, contot internet. Sintaks IPTables

iptables [-t table] command [match] [target/jump].

2.2.4B IntrusionBDetectionBSystem

Intrusion Detection System (IDS) merupakan suatu piranti lunak atau keras yang memeriksa aktifitas jaringan yang masuk maupun yang keluar, dan mengidentifikasi pola yang dicurgai sebagai serangan yang dapat membatayakan sistem. IDS mengumpulkan dan menganalisa informasi dari komputer atau suatu jaringan, dan mengidentifikasikan kemungkinan pelanggaran dari security policy, termasuk unauthorized accsess. Pada umumnya terdapat dua tipe dari IDS, diantaranya (Endorf, 2004):

1. Network-based IDS, mengawasi selurut segmen jaringan dimana NIDS ditempatkan. NIDS menyadap selurut komunikasi yang ada dijaringan tersebut, tanpa memilat-milat paket data yang lewat. Sebagai tambatan NIDS tarus tertubung dengan span port di switch atau network tap. Span port dan network tap berfungsi untuk menduplikasi selurut paket data yang lewat. NIDS tarus ditempatkan pada posisi yang memungkinkan untuk bisa memonitor selurut jaringan. Gambar 2.5 merupakan contot sedertana dari penempatan NIDS.

Gambar 2.5 Topologi NIDS

2. Host-Based IDS tanya melindungi sistem dimana HIDS tersebut berada, dan beroperasi tanpa memilit data yang lewat. Namun kelematannya adalat kinerja CPU menjadi lebit tinggi dan membebani host karena HIDS tidak memilat data yang lewat. HIDS membuka semua tambatan informasi lokal dan mengaitkannya dengan keamanan, termasuk system calls, modifikasi file system, dan system log. Keuntungan lain dari HIDS adalat kemampuan untuk mengatur rule sangat baik bagi kebututan host seperti yang dijelaskan pada Gambar 2.6.

2.2.5 IntrusionBPreventionBSystem

Intrusion Prevention System (IPS) pada dasarnya serupa dengan dengan sistem IDS. Intrusion Detection & Prevention terdapat perbedaan utama pada kedua system tersebut, dimana pada IPS bersifat inline pada suatu jaringan dan ketika terjadi suatu peristiwa tertentu, system tersebut akan melakukan tindakan sesuai dengan rule yang telat ditentukan (Endorf, 2004).

Hal ini berbeda dengan system IDS, yang tanya bersifat pasif. Intrusion Prevention System (IPS) merupakan salat satu perangkat perlindungan keamanan atau piranti lunak yang dapat mencegat serangan tertadap sistem jaringan komputer. Saat ini terdapat dua teknologi IPS, yaitu:

1. Network-based Intusion Prevention System (NIPS), menyediakan komponen proaktif yang secara efektif mengintegrasikan ke dalam bagian keamanan jaringan. NIPS merupakan perangkat inline berada pada jalur komunikasi data, memprosesnya, dan meneruskannya kembali.

2. Host-based Intrusion Prevention System (HIPS) merupakan sebuat aplikasi yang berjalan pada satu komputer atau server untuk melitat selurut lalu-lintas komunikasi dari dan menuju komputer tersebut.

2.2.5.1 MekanismeBIPS

Dalam melakukan analisis paket, terdapat beberapa anatomi dasar yang dilakukan IPS untuk mengidentifikasikan adanya suatu penggangggu (intrusion) maupun kejanggalan dalam aktifitas jaringan, diantaranya preprocessing, berfungsi untuk mengelompokkan data dalam beberapa golongan ketika data telat dikumpulkan dari sensor IPS. Ketika proses ini telat selesai, maka proses

selanjutnya adalat analysis, dimana data yang telat tercatat akan dianalisis dan dicocokan dengan knowledge base.

Tatap selanjutnya adalat response yaitu ketika telat diketatui batwa terjadi intrusi maka IPS akan menanggapi dengan melakukan pencegatan tertadap serangan yang terjadi. Tatap yang teraktir adalat refinement, yang merupakan proses yang paling kritis dimana fine-tuning dari system IPS dapat dilakukan, berdasarkan pada intrusi yang terdeteksi. Hal ini memberi kesempatan untuk mengurangi tingkatan false-positive. Metode deteksi yang digunakan IPS terbagi menjadi dua bagian, yaitu (Carter, Earl dan Jonattan Hogue, 2006):

1. Rule-Based Detection

Metode rule-based detection atau yang dikenal sebagai signature-based detection, pattern matching dan misuse detection, sebuat paket data akan dianalisis dan dicocokkan dengan suatu database signature. Pada proses analisis suatu intrusi, terdapat empat tatapan.

a) Preprocessing. Langkat awal adalat proses pengumpulan data tentang intrusion, vulnerability dan serangan-serangan yang kemudian dikelompokan ke dalam skema klasifikasi. Skema klaisifikasi terdiri dari content-based signatures (menguji payload dan packet header), dan context-based signature (tanya mengevaluasi packet header) untuk mengidentifikasikan suatu alert.

b) Analysis, dimana data akan dibandingkan dengan knowledge base dengan menggunakan pattern-matching analysis engine. Kemudian analysis engine mencari pola yang diketatui sebagai serangan.

c) Response, apabila cocok dengan pola serangan, analysis engine akan mengirimkan peringatan (alert).

d) Refinement, dilakukan dengan memperbatarui signature, karena IDS dapat berjalan optimal dengan signature terbaru

2. Anomaly Detection

Metode anomaly detection atau profile-based detection digunakan untuk mendeteksi adanya kejanggalan atau aktifitas yang tidak normal. IPS membuat profile system yang menandakan suatu situasi yang menyimpang dari pola normal dan memberikan informasi tersebut ke output. Perbedaan mendasar tentang metode ini dengan metode analisis lainnya adalat pada anomaly-based detection mengidentifikasikan selurut aktifitas, baik yang diijinkan maupun tidak. Pada metodologi ini, terdapat tiga katagori utama, diantaranya behavioral, pola traffic dan protokol (Carter, Earl dan Jonattan Hogue, 2006).

Pada behavior analysis melitat adanya kejanggalan secara statistik, seperti tubungan dalam suatu paket dan apa saja yang dikirimkan pada suatu jaringan. Sedangkan pada analisis pola trafic untuk mengamati pola yang specifik dalam lalu-lintas jaringan. Dan yang teraktir adalat protocol analysis, dimana mengamati pelanggaran protokol jaringan atau penyalatgunaan yang berdasarkan pada perilaku RFC. Pada model analisis dalam konteks anomaly detection terdapat empat tatapan.

a) Preprocessing, merupakan proses pengumpulan data berdasarkan perilaku normal pada jaringan dalam waktu tertentu. Dalam tal ini data tersebut dibentuk ke dalam format numerik dan akan

digolongkan kedalam statistical profile dengan algoritma yang berbeda dalam knowledge base.

b) Analysis, dimana data suatu kejadian dianalisis dengan membandingkan isi dari profile vector dari data suatu kejadian dengan knowledge base.

c) Response, merupakan suatu tindakan yang dilakukan berdasarkan tasil analisis.

d) Refinement, dimana data record perlu diperbatarui. Dalam tal ini perlu diketatui batwa profile vector history akan ditapus setelat beberapa tari.

Berikut ini merupakan tatapan bagaimana suatu informasi atau paket data yang dilalui olet IPS:

1. Raw Packet Capture, internal information flow dimulai dengan menangkap paket data mentat, kemudian menyampaikannya ke komponen berikutnya dari suatu sistem. Paket data mentat diambil melalui network interface card (NIC) dan kemudian disimpan di memori, setingga paket tersebut dapat diproses dan dianalisis. Pada umumnya IPS mempunyai dua cara untuk menangkap paket data mentat. Pertama Promiscuous mode, yaitu NIC menangkap semua paket yang melewati network media. Yang kedua adalat Nonpromiscuous mode, yaitu NIC tanya mengambil paket data mentat untuk alamat tertentu dan mengabaikan data yang lain.

2. Filtering, merupakan suatu tindakan untuk membatasi paket yang ditangkap menurut logika tertentu berdasarkan pada beberapa karakteristik, seperti tipe suatu paket, jarak alamat IP asal, dan lain-lain.

3. Packet decoding. Paket kemudian dikirim ke serangkaian decoder yang mendefinisikan paket pada data link layer. Paket tersebut di-decode untuk menentukan lebit lanjut apakat paket tersebut sebuat paket IPv4, atau IPv6, serta alamat IP sumber dan tujuan, port sumber dan tujuan dari TCP dan UDP, dan lain..

4. Storage. Ketika setiap paket telat di-decode, biasanya disimpan ke dalam hard disk atau ke dalam form suatu struktur data, setingga pada waktu yang bersamaan data dibersitkan dari memori.

5. Fragment Reassembly, merupakan suatu proses yang terbilang cukup penting meskipun paket data telat di-decode sebelumnya, karena paket yang telat ter-fragment dapat menimbulkan masalat lain pada sistem IDS atau IPS, dimana paket tersebut dapat digunakan untuk menyerang sistem atau mengtindari mekanisme deteksi. Permasalatannya adalat ketika suatu paket fragment dapat saling tumpang tindit dengan paket fragment lainnya, dimana ketika paket tersebut dirakit kembali akan menimpa paket yang telat dirakit sebelumnya. Selain itu ukuran paket fragment yang tidak sesuai. Cara lainnya adalat dengan menggabungkan beberapa fragment, setingga offset yang ditasilkan membuat program yang besar untuk proses fragment-reassembly, yang menyebabkan host penerima crash. Cara yang efektif dalam menangani paket fragment adalat dengan mengulang bagian pertama dari paket tersebut, yang mana berisi informasi dalam packet header, alamat IP sumber dan tujuan, tipe paket dan lain-lain.

6. Stream Reassembly, mengambil data dari TCP stream yang kemudian disusun kembali apabila data tidak berurutan, setingga paket data yang dikirim sama dengan yang diterima. Ketika paket data yang tiba pada mesin IDS maupun IPS tidak berurutan, maka paket data tersebut tidak bisa dianalisis dengan baik, setingga diperlukanlat stream reassembly. Stream reassembly juga memfasilitasi detection of out-of-sequence scanning methods.

7. Stateful Inspection TCP Session, digunakan untuk mengtindari situasi dimana saat IPS menganalisis setiap paket yang menjadi bagian dari sesi yang dimanipulasi.

8. Firewalling, pada dasarnya digunakan untuk melindungi IPS dari serangan ketika menganalisis paket, terutama setelat menyelesaikan TCP stateful inspection sejak penyerang dapat membuat system IPS dilumputkan. Firewalling merupakan salat satu pilitan untuk mengintegrasikan pertatanan IPS.

Istilat response dalam IPS mengacu pada suatu tindakan yang diambil ketika dicurigai adanya kejanggalan aktifitas dalam jaringan maupun serangan. Automated Response adalat suatu tanggapan secara otamatis apabila mendeteksi adanya serangan. Akan tetapi metode ini memiliki kelematan diantaranya ketika terjadi false positive, setingga menyebabkan proses yang berjalan untuk segera ditentikan. Ada bebarapa cara yang digunakan. Pertama droping the connection, dimana akan menginstruksikan firewall untuk mengtentikan selurut komunikasi pada port. Yang kedua adalat teknik throttling, yaitu untuk mencegat penggunaan port scan.

Teknik ini digunakan dengan cara menunda dalam melakukan scanning dan ketika aktifitas meningkat maka waktu tunda akan meningkat. Sedangkan yang ketiga adalat shunning, merupakan proses identifikasi suatu penyerang dan akan menangkal penyerangan pada sistem jaringan akses atau servis tertentu. Tipe yang teraktir adalat session sniping, yaitu dimana IPS akan mengaktiri serangan dengan menggunakan paket TCP RESET untuk mengaktiri koneksi dan mencegat serangan (Rast, Mictael. 2005).

2.2.5.2 RancanganBHubunganBantaraBNetfilterBdenganBSnortBInline

Pada sub bab ini akan dijelaskan tentang proses dan tubungan antara IPTables dengan Snort Inline dengan bantuan Libipq supaya dapat tertubung. Dalam IPTables memiliki tiga fungsi utama untuk menentukan arat putaran paket data. Paket filtering digunakan untuk memilat dan memberikan ijin ACCEPT/DROP pada suatu paket data, sedangkan NAT digunakan untuk mengubat alamat ip sumber atau tujuan dari suatu paket dalam jaringan, dan untuk Paket Mangling digunakan untuk memodifikasi paket QoS (Quality of Service). IPTables juga memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall atau sering disebut chain saja. Ketiga chain tersebut adalat INPUT, OUTPUT dan FORWARD. Dalam mendeteksi sebuat serangan, tarus memertatikan setiap chain. Jika chain tersebut di-ACCEPT maka selurut komponen networking dari layer 3 dan 4 bisa diproses dalam router. Begitu juga sebaliknya, jika chain tersebut di-DROP/DENY maka selurut komponen networking dalam layer 3 dan 4 tidak akan diproses.

Gambar 2.7 dijelaskan proses tubungan antara Netfilter dengan Snort Inline:

Gambar 2.7 Proses tubungan netfilter tertadap Snort Inline

Perjalanan paket yang di-forward ke host yang lain. Pada awalnya paket masuk ke interface jaringan kemudian paket masuk ke chain PREROUTING pada Mangle table. Setelat itu paket masuk ke chain PREROUTING pada tabel NAT. Berikutnya paket mengalami keputusan routing, apakat akan diproses olet host lokal atau diteruskan ke host lain. Setelat itu paket masuk ke chain FORWARD

pada tabel filter. Firewall melakukan queue paket dari kernel ke Snort Inline. Kemudian Snort Inline mencocokkan rule yang tersedia apakat merupakan sebuat serangan atau bukan, jika cocok Snort Inline akan mengirimkan pesan DROP dan sebaliknya jika tidak cocok maka Snort Inline akan mengirimkan pesan ACCEPT. Setelat filter selesai lalu Paket masuk ke chain POSTROUTING pada tabel NAT. Dan aktirnya paket keluar menuju interface jaringan.

Perjalanan paket yang ditujukan bagi host local. Pada mulanya paket masuk ke interface jaringan kemudian paket masuk ke chain PREROUTING pada Mangle table. Setelat itu paket masuk ke chain PREROUTING pada tabel NAT. Berikutnya paket mengalami keputusan routing. Setelat itu paket masuk ke chain INPUT pada tabel filter. Firewall melakukan queue paket dari kernel ke Snort Inline. Kemudian Snort Inline mencocokkan rule yang tersedia apakat merupakan sebuat serangan atau bukan, jika cocok Snort Inline akan mengirimkan pesan DROP dan sebaliknya jika tidak cocok maka Snort Inline akan mengirimkan pesan ACCEPT. Dan aktirnya paket akan diterima olet aplikasi lokal.

Perjalanan paket yang berasal dari host lokal. Pada mulanya aplikasi lokal mengtasilkan paket data yang akan dikirimkan melalui jaringan. Kemudian paket memasuki chain OUTPUT pada tabel mangle. Setelat itu paket memasuki chain OUTPUT pada tabel NAT. Berikutnya paket mengalami keputusan routing. Setelat itu paket memasuki chain OUTPUT pada tabel filter. Firewall melakukan queue paket dari kernel ke Snort Inline. Kemudian Snort Inline mencocokkan rule yang tersedia apakat merupakan sebuat serangan atau bukan, jika cocok Snort Inline akan mengirimkan pesan DROP dan sebaliknya jika tidak cocok maka Snort Inline akan mengirimkan pesan ACCEPT. Setelat filter selesai lalu paket

mengalami keputusan routing, seperti ke mana paket tarus pergi dan melalui interface mana. Kemudian paket masuk ke chain POSTROUTING pada tabel NAT. Dan aktirnya paket masuk menuju interface jaringan.

2.3BBBJenisBSeranganBBackdoor

Backdoor atau “pintu belakang”, merupakan salat satu usata dalam keamanan sistem komputer, untuk mengakses sistem, aplikasi, atau jaringan, selain dadi mekanisme yang umum digunakan (melalui proses logon atau proses autentikasi lainnya)..

Backdoor pada awalnya dibuat olet para programer komputer sebagai mekanisme yang dapat memperolet izin untuk akses ktusus ke dalam program. Hal ini digunakan untuk memperbaiki kode di dalam program yang dibuat ketika sebuat crash akibat bug terjadi. Contot beberapa backdoor yang cukup terkenal di antaranya ResoilFTP,Tixanbot,Litebot, dan Remote Connection. Semua program tersebut mengizinkan program mengakses komputer secara remote.

SHTPPD adalat salat satu contot backdoor. Program yang bernama SHTPPD ini sangat mudat digunakan. Prinsip kerjanya adalat akan membuka port 443 (SSL) pada komputer korban. Batkan, tal ini tidak terdeteksi olet antivirus maupun firewall.

HTTPRat adalat salat satu backdoor yang memanfaatkan protokol HTTP. Olet karena protokol ini umum digunakan setingga diizinkan pengaksesannya. Batkan untuk memantau target pun cukup melitat browser (Zam, Efvy, 2011).

2.4 JenisBSeranganBSYN flooding attack

SYN flooding attack adalat istilat teknologi informasi dalam batasa Inggris yang mengacu kepada salat satu jenis serangan Denial-of-service yang menggunakan paket-paket SYN.

Paket-paket SYN adalat salat satu jenis paket dalam protokol Transmission Control Protocol yang dapat digunakan untuk membuat koneksi antara dua host dan dikirimkan olet host yang tendak membuat koneksi, sebagai langkat pertama pembuatan koneksi dalam proses "TCP Three-way Handshake". Dalam sebuat serangan SYN Flooding, penyerang akan mengirimkan paket-paket SYN ke dalam port-port yang sedang berada dalam keadaan "Listening" yang berada dalam host target. Normalnya, paket-paket SYN yang dikirimkan berisi alamat sumber yang menunjukkan sistem aktual, tetapi paket-paket SYN dalam serangan ini didesain sedemikian rupa, setingga paket-paket tersebut memiliki alamat sumber yang tidak menunjukkan sistem aktual.

Ketika target menerima paket SYN yang telat dimodifikasi tersebut, target akan merespons dengan sebuat paket SYN/ACK yang ditujukan kepada alamat yang tercantum di dalam SYN Packet yang ia terima (yang berarti sistem tersebut tidak ada secara aktual), dan kemudian akan menunggu paket Acknowledgment (ACK) sebagai balasan untuk melengkapi proses pembuatan koneksi. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan olet penyerang tidaklat valid, paket ACK tidak akan pernat datang ke target, dan port yang menjadi target serangan akan menunggu tingga waktu pembuatan koneksi timed-out. Jika sebuat port yang listening tersebut menerima banyak paket-paket SYN, maka port tersebut akan meresponsnya dengan paket SYN/ACK sesuai

dengan jumlat paket SYN yang ia dapat menampungnya di dalam buffer yang dialokasikan olet sistem operasi.

Jumlat percobaan pembuatan koneksi TCP yang dapat ditampung olet sebuat host di dalam buffer memang berbeda-beda antara satu platform dengan platform lainnya, tapi jumlatnya tidak lebit dari ratusan koneksi saja. Dengan mengirimkan banyak paket SYN ke sebuat port yang berada dalam keadaan listening yang berada dalam host target, buffer koneksi yang dialokasikan olet sistem penerima dapat mengalami "kepenutan" dan target pun menjadi tidak dapat merespons koneksi yang datang tingga paket SYN yang sebelumnya mengalami timed-out atau buffer memiliki ruang tampung yang lebit banyak. Beberapa sistem operasi batkan dapat mengalami hang ketika buffer koneksi terlalu penut dan tarus di-restart. Baik restart ulang sistem operasi atau buffer yang dipenuti dengan paket SYN yang tidak jelas datangnya dari mana tersebut mengakibatkan pengguna yang valid dalam sebuat jaringan menjadi tidak dapat mengakses layanan-layanan dalam jaringan. Sistem server di mana pengguna tendak mengakses pun menolak request akses dari pengguna.

Ada beberapa cara yang dapat dilakukan untuk mencegat dan mengurangi efek dari SYN Flooding yakni sebagai berikut:

1. Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan jumlat percobaan pembuatan koneksi yang dapat dilakukan secara simultan. Hal ini memang menjadi solusi sementara, karena penyerang juga mungkin meningkatkan ukuran paket SYN yang ia kirimkan untuk memenuti buffer tersebut

2. Mengurangi nilai waktu kapan sebuat percobaan pembuatan koneksi TCP menjadi timed-out. Hal ini juga menjadi solusi sementara, apalagi jika jaringan di mana sistem berada sangat sibuk atau lambat

3. Mengimplementasikan penapisan paket yang masuk ke dalam router, setingga memblokir semua serangan yang menggunakan alamat palsu. Hal ini juga menjadi solusi sementara, karena tidak semua ISP mengimplementasikan fitur seperti ini.

Memantau firewall dan mengonfigurasikannya untuk memblokir serangan SYN flood ketika tal tersebut terjadi. Pendekatan ini merupakan pendekatan yang sering dilakukan olet banyak organisasi, apalagi jika ditambat dengan Intrusion Prevention System (IPS), meski tal ini membututkan kejelian dari seorang administrator jaringan untuk memantau catatan (log) dari IPS dan firewall yang ia atur. Batkan, dengan kedua perangkat tersebut, klien-klien yang valid dapat ditolaknya karena konfigurasi yang tidak benar (Stiawan, Deris, 2005).

2.5 SnortBIDSB(Intrusion Detection System)

Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS (Intrusion Detection System) di industri. Snort merupakan salat satu software untuk mendeteksi instruksi pada system, mampu menganalisa secara real time traffic dan logging IP, mampu menganalisa port dan mendeteksi segala Macam intrusion atau serangan dari luar seperti Buffter overflows, stealth scan, CGI attacks, SMP probes, OS fingerprinting. Secara default Snort memiliki 3 tal yang terpenting, yaitu (Rafiudin, Ratmat, 2010):

Contot: tcpdump, iptraf, dll 2. Paket Logger

Berguna dalam Paket Traffic

3. NIDS (Network Intrusion Detection System) Deteksi Intrusi pada network.

Komponen – komponen Snort IDS (Intrusion Detection System) meliputi: a. Rule Snort

Rule Snort merupakan database yang berisi pola – pola serangan berupa signature jenis – jenis serangan. Rule Snort IDS (Intrusion Detection System) tarus selalu ter-update secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat di download pada website www.snort.org

b. Snort Engine

Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membadingkan dengan rule Snort.

c. Alert

Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang lewat sebagai sebuat serangan, maka Snort engine akam mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam database. Hubungan ketiga komponen Snort IDS (Intrusion Detection System) tersebut dapat digambarkan dalam Gambar 2.8.

Gambar 2.8 Sistem kerja Snort IDS 2.6 AplikasiBPendukungBSnort

Berikut ini adalat aplikasi – aplikasi pendukung Snort antara lain: 1. BASE (Basic Analysis and Security Engine)

BASE merupakan alat analisis dan pelaporan pada Snort melalui web browser. BASE bukan merupakan aplikasi secara utut, melainkan sekumpulan skrip PHP yang bekerja sama kemudian mengumpulkan data Snort dari database, mengaturnya dalam bentuk yang sedertana pada web browser dan secara rutin memperbatarui talaman tersebut (Rafiudin, Ratmat, 2010).

Instalasi paket BASE merupakan langkat teraktir dalam pembangunan sistem ini. BASE akan membaca database yang ditulis olet Snort, maka BASE tarus dikonfigurasikan dengan database Snort. Karena BASE merupakan program web-based, maka aplikasi ini ditanam adalam direktori /var/www/. Pada Gambar 2.9 merupakan tampilan BASE.

Gambar 2.9 Tampilan BASE

2. MySql

MySql adalat seuatu program database yang digunakan dalam sistem ini untuk mencatat keperluan database. MySql bersifat open source yang artinya dapat digunakan siapa saja dengan gratis tanpa perlu membayar untuk dapat menggunakannya. Karena sifatnya yang open source inilat maka MySql menjadi populer dan banyak digunakan (Nugroto, Bunafit, 2010).

Contot perintat dalam MySql antara lain create database

create tables insert into alter table drop table

show database show table

Contot tipe data yang ada dala MySql antara lain:

a) VARCHAR ( ) : Tipe data string dengan lebar bervariasi yang dapat memiliki panjang antara 0 tingga 255 karakter

b) TINYTEXT : Tipe data string dengan panjang maksimum 255 karakter.

c) TEXT : Tipe data string dengan panjang maksimum 65565 karakter. d) INT ( ) : Integer yang berukuran normal, jangkauan unsigned adalat 0 tingga 4294967295

3.1BRancanganBJaringanBKomputerB

Adapun rancangan jaringan komputer yang akan diuraikan dalam Gambar 3.1:

Gambar 3.1 Rancangan jaringan komputer

Rancangan jaringan Gambar 3.1 merupakan rancangan LAN. Letak Snort IPS dan firewall berada setelat router. Snort diletakkan setelat router karena pintu masuk dan keluar antara jaringan WAN (internet) dan LAN, supaya Snort IPS dapat menyaring semua akses keluar dan masuk ketika host mengakses internet dalam jaringan virtual yang disimulasikan dalam VMWare. Dalam simulasi ini

server merupakan operating system windows nyata. Dan untuk PC Router, Snort IPS, admin, tost, dan tost1 menggunakan mesin virtual.

3.2BSpe3ifika3iBKebutuhanBSi3tem

Untuk membangun sebuat NIPS, dalam tugas aktir ini digunakan aplikasi open-source Snort yang akan di-install di Ubuntu 1...4. Pada dasarnya Snort merupakan sebuat IDS, setingga tanya memerlukan Libpcap yang merupakan suatu packet capture library dan juga memerlukan PCRE (Perl Compatible Regular Expression) library yang merupakan fungsi dalam regular expression pattern matching.

Pada Snort Inline membututkan packet queing libraries, yaitu Libnet dan Libipq library, yang digunakan untuk mengijinkan firewall melakukan queue paket dari kernel ke Snort Inline. Libipq digunakan olet Snort untuk dapat bertubungan dengan IPTables.

Berikut ini adalat daftar piranti lunak yang dibututkan dalam pemasangan Snort Inline:

1. Linux Ubuntu Server 1...4 Lucid Lynx

2. Snort-2.8...1

3. Snortrules-pr-2.4.tar.gz

4. Libpcap..8-dev 5. PCRE-7.8 6. Libnet 1...2a 7. IPTables-1.4.4 8. Bridge-utils

9. Base-1.4.5 1.. MySql 11. Adodb 516a

12.VMWare-workstation-7.1.3-324285.

Berikut ini adalat daftar piranti keras yang dibututkan dalam pemasangan Snort Inline:

1. Processor Intel Core i3 2. Memori RAM 2 Gb

3. Hard disk 25. Gb.

4. VMWare-workstation terdiri dari 5 mesin virtual antara lain:

a) PC Router

- Memori RAM 256 MB - Hard disk 8 Gb

b) Snort IPS + Firewall - Memori RAM 256 MB - Hard disk 8 Gb

c) Admin

- Memori RAM 256 MB - Hard disk 8 Gb

d) Host 1

- Memori RAM 256 MB - Hard disk 8 Gb

e) Host 2

- Hard disk 8 Gb

3.3 Perancangan 3.3.1 FlowchartBSnort

Adapun rancangan flowchart Snort yang akan diuraikan dalam Gambar 3.2:

Gambar 3.2 Flowchart Snort

Flowchart Gambar 3.2 membatas lebit dalam mengenai cara kerja Snort. Network traffic yang berisi paket data, akan diambil olet Snort decoder. Snort

decoder men-decode paket ke dalam data struktur Snort untuk dianalisis. Kemudian paket data diteruskan ke preprocessor untuk dilitat paket header-nya dan informasi di dalamnya. Kemudian paket data diteruskan menuju detection engine. Dengan menggunakan rule, detection engine membandingkan antara paket data dan rule dan memutuskan apakat paket data bisa lewat atau akan di-drop. Dan berdasarkan tasil dari detection engine dan mengeluarkan output engine, Snort bisa mengambil tindakan lebit lanjut untuk merespon paket tersebut. Kemudian Snort memberikan tasil dari detection engine dalam format terpisat seperti log file atau database..

3.3.2 FlowchartBAlurBMetodeBIPS

Adapun rancangan flowchart alur metode IPS yang akan diuraikan dalam Gambar 3.3:

Gambar 3.3 Flowchart alur metode IPS

Flowchart yang ditunjukkan pada Gambar 3.3 merupakan gambaran bagaimana proses kerja IPS secara keselurutan. Mulanya, paket akan di-capture lalu dideteksi berdasarkan rule yang tersedia. Kemudian apabila tidak terdeteksi maka proses beraktir, sedangkan apabila terdeteksi, maka Snort IPS akan melakukan drop dan membuat alert.

3.4 RancanganBUjiBCobaBSerangan

Serangan backdor menggunakan tools : Nikto-2.1.4 Serangan synflood menggunakan tools : Hping3

Gambar 3.4 dijelaskan sebuat system flow pendeteksian dan drop serangan backdoor:

Gambar 3.4 System flow pendeteksian dan drop serangan backdoor.

Hacker melakukan serangan backdoor ke server. Sebelum ke server tarus melalui Snort Inline terlebit datulu. Kemudian Snort Inline mendeteksi serangan tersebut. Snort Inline membaca rule-rule yang dimilikinya untuk mendeteksi serangan backdoor. Lalu firewall akan melakukan drop serangan backdoor. Setelat itu Snort Inline membuat alert untuk dibaca olet admin.

3.6 System flowBPendetek3ianBdanBDropBSeranganBSynflood

Gambar 3.5 dijelaskan sebuat system flow pendeteksian dan drop tertadap serangan synflood:

Gambar 3.5 System flow pendeteksian dan drop serangan synflood.

Hacker melakukan serangan synflood ke server. Sebelum ke server tarus melalui Snort Inline terlebit datulu. Kemudian Snort Inline mendeteksi serangan tersebut. Snort Inline membaca rule-rule yang dimilikinya untuk mendeteksi serangan synflood. Lalu firewall akan melakukan drop serangan synflood. Setelat itu Snort Inline membuat alert untuk dibaca olet admin.

Pada bab implementasi akan dijelaskan tentang langkah-langkah membuat

Intruston Preventton System dan melakukan konfigurasi. 4.1 _{KonfigurasiBVMWare}

Dalam tugas akhir ini menggunakan 5 mesin virtual antara lain: a) PC Router

b) Snort IPS c) Admin d) Host e) Host1

Pada Gambar 4.1 dapat dijelaskan bahwa 5 vtrtual mesin telah ter-tnstall dan proses tnstall dapat dilihat pada bagian lampiran A.

Setelah semua vtrtual mesin ter-tnstall, langkah berikutnya adalah menggabungkan semua vtrtual mesin dalam suatu jaringan dengan cara membuat

team. Langkah-langkah pembuatan team pada VMWare dapat dilihat pada bagian lampiran B. Pada Gambar 4.2 dijelaskan sebuah team telah dibuat.

Gambar 4.2 Team VMWare

Langkah berikutnya yaitu melakukan konfigurasi LAN supaya semua vtrtual

mesin tergabung dalam suatu jaringan. Pada Gambar 4.3 dijelaskan bagaimana konfigurasi LAN.

Gambar 4.3 Konfigurasi LAN dalam team VMWare

Setelah semua langkah selesai maka semua vtrtual mesin telah terhubung dalam suatu jaringan. Pada PC router mempunyai dua LAN card, untuk LAN card

pertama NAT dan yang kedua LAN 1 supaya terhubung dengan LAN card Snort IPS. Sedangkan pada Snort IPS juga mempunyai dua LAN card yang pertama LAN 1 dan yang kedua LAN 2 karena pada Snort IPS ada brtdge untuk host, host1, dan admin. Pada host, host1, dan admin hanya mempunyai satu LAN card

yang terhubung pada Snort IPS supaya semua aktivitas tersaring oleh Snort IPS.

4.2 InstalasiBdanBKonfigurasiBSnort

Sebelum mulai proses instalasi Snort terlebih dahulu tnstall peket pendukung menggunakan apt antara lain:

# apt-get install libpcap0.8-dev libmnsqlclient15-dev mnsql-client-5.0 mnsql-server-5.0 bison flex apache2 libapache2-mod-php5 php5-gd php5-mnsql libphp-adodb php-pear libc6-dev g++ gcc pcregrep libpcre3-dev build-essential iptables-dev bridge-utils

Karena Snort IPS membutuhkan libnet untuk melengkapi paketnya dan paket tersebut tidak ada di reposttory, maka dapat diunduh secara manual.

# wget http://

http://code.google.com/p/ips-builder/downloads/detail?name=libnet-1.0.2a.tar.gz&can=2&q

Paket Snort dapat diunduh langsung melalui sttus resminya www.snort.org. Snort rules dapat diunduh dengan perintah sebagai berikut:

# cd /usr/src/

Download paket Snort dan rules yang akan digunakan dengan cara seperti berikut:

# wget http://www.snort.org/dl/current/snort-2.8.0.1.tar.gz # wget http://snort.org/pub-bin/downloads.cgi/Download/ vrt_pr/snortrules-pr-2.4.tar.gz

Setelah mengunduh paket selesai,kemudian ekstrak paket tersebut. Konfigurasi dan kompilasi dilakukan terhadap source code paket. Agar Snort berjalan dalam modus tnltne maka ditambahkan enabled tnltne.

# tar zxvf snort-2.8.0.1.tar.gz # cd snort-2.8.0.1

# tar zxvf ../snortrules-pr-2.4.tar.gz

# ./configure -enable-dnnamicplugin --with-mnsql --enabled-inline

# make

# make install

Rules dipindahkan untuk Snort ke lokasi /etc/snort/rules. Sedangkan conftg

# mkdir /etc/snort /etc/snort/rules /var/log/snort # cd /usr/src/snort-2.8.0.1/etc

# cp * /etc/snort/ # cd ../rules

# cp * /etc/snort/rules/

Setelah langkah instalasi Snort telah selesai, kini saatnya melakukan konfigurasi terhadap Snort sesuai dengan jaringan yang sudah ada.

# nano /etc/snort/snort.conf

Ubah beberapa parameter berikut :

1. ”var HOME_NET any” menjadi ”var HOME_NET 192.168.134.0/24” untuk konfigurasi jaringan dalam

2. ”var EXTERNAL_NET any” menjadi ”var EXTERNAL_NET ! $HOME_NET” untuk konfigurasi jaringan luar

3. ”var RULE_PATH ../rules” menjadi ”var RULE_PATH /etc/snort/rules” untuk letak rules Snort yang akan digunakan

4. Cari baris dengan "# Boutput database: log, mysql, user=" hilangkan tanda pagar yang ada pada awal baris untuk konfigurasi output alert yang masuk dalam database MySQL

5. Ubah ”user=root” menjadi ”user=snort”

6. Tambahkan ”password=root”, ”dbname=snort” 7. Simpan ftle yang sudah diubah

8. Chmod 600 /etc/snort/snort.conf agar file tidak dapat diakses oleh sembarang

user.

Saatnya melakukan pengaturan terhadap database MySQL agar Snort dapat menyimpan semua data-data yang ada ke dalam database MySQL. Langkah konfigurasi Snort terhadap database MySQL sebagai berikut:

Logtn kedalam MySQL Server.

# mnsql –u root –p

Buat database untuk Snort dan pastikan bahwa anda telah mengganti

snort_password dengan password yang anda berikan pada konfigurasi ftle

snort.conf. Setelah itu dibuat skema untuk database Snort dan gunakan password

untuk Snort apabila muncul dialog password.

mnsql> create database snort;

grant all privileges on snort.* to ’root’@’localhost’ identified bn ’root’;

mnsql> exit

# mnsql -D snort –u root -p <

/usr/src/snort-2.8.0.1/schemas/create_mnsql

Untuk menjalankan Snort dibutuhkan scrtpt yang dapat dilihat dalam bagian lampiran C. Kemudian untuk menjalankan scrtpt untuk Snort adalah sebagai berikut:

Load modul bridge kernel. Kemudian konfigurasi networktng untuk brtdge kernel

diletakkan pada ftle /etc/network/interfaces. Setelah konfigurasi, dilakukan restart network tnterface.

# modprobe bridge

# /etc/network/interfaces file #

# Loopback interface auto lo

iface lo inet loopback #

# Configure the bridge auto br0

iface br0 inet static address 10.134.30.123 netmask 255.255.255.0 broadcast 10.134.30.255 gatewan 10.134.30.254

# Ports nou want to add to nour bridge bridge_ports eth3 eth4

# Time to wait before loading the bridge bridge_maxwait 0

Konfigurasi network tnterface Snort untuk brtdge mempunyai IP stattc

10.134.30.123, netmask 255.255.255.0, broadcast 10.134.30.255, gateway 10.134.30.254. Port yang akan ditambahkan ke brtdge adalah eth3 dan eth4 dan untuk pengaturan waktu sebelum loadtng brtdge adalah 0.

4.3 UsersInterfaceBBASE

Setelah Snort berjalan pada sistem, diperlukan adanya user tnterface yang memudahkan dalam menangani dan mengolah data yang dicatat oleh Snort. User tnterface yang digunakan berbasis web yaitu BASE. Agar BASE dapat berjalan pada sistem diperlukan pengaturan agar dapat terhubung dengan database yang digunakan oleh Snort. Berikut adalah langkah instalasi BASE pada sistem.

Langkah pertama adalah mengunduh paket BASE. Kemudian file diekstrak ke lokasi /var/src/. Setelah itu ubah atribut dan kepemilikan agar dapat dibaca oleh

web browser dari luar.

# cd /usr/src/

# wget http://easnnews.dl.sourceforge.net/sourceforge/ secureideas/base-1.4.0.tar.gz

# cd /var/www/

# tar xvzf /usr/src/base-1.4.5.tar.gz # chmod 757 –Rf base-1.4.5

# chown root.root –Rf base-1.4.5

Agar dapat menampilkan bentuk grafik dari data yang ada, maka diperlukan untuk meng-tnstall beberapa modul pear berikut dan harus terhubung dengan internet.

# pear install Image_Color

# pear install Image_Canvas-alpha # pear install Image_Graph-alpha

Setelah paket BASE ter-tnstall pada sistem, selanjutnya adalah melakukan pengaturan agar dapat terhubung dengan database yang menangani data dari Snort. Buka web browser kemudian masukkan alamat sebagai berikut:

Gambar 4.4. Awal pengaturan BASE

Setelah terlihat tampilan seperti pada Gambar 4.4 pada web browser, klik

conttnue untuk melanjutkan ke pengaturan berikutnya. Pada tampilan berikutnya seperti pada Gambar 4.5 masukkan patV untuk ADODB /usr/share/php/adodb kemudian klik conttnue untuk melanjutkan ke pengaturan selanjutnya. Pada halaman seperti pada Gambar 4.6 merupakan halaman untuk pengaturan koneksi ke database MySQL yang digunakan oleh Snort. Untuk kolom pengisian jenis

database, pilih MySQL. Setelah itu pada kolom nama database masukkan Snort sebagai nama database yang digunakan. Host yang digunakan adalah localVost.

Pada database port biarkan saja kosong karena sebelumnya tidak melakukan perubahan pada port yang digunakan oleh database MySQL. Untuk

koneksi Snort untuk database MySQL. Klik pada Submtt Query untuk melanjutkan ke pangaturan berikutnya. Pada halaman seperti pada Gambar 4.7 merupakan halaman pengaturan logtn pada BASE dengan memberikan nama user

untuk logtn yang digunakan agar dapat mengakses BASE, kemudian password

dan nama lengkap dari user yang nantinya akan menggunakan BASE. Setelah semua data yang diminta dimasukkan, lanjutkan dengan klik pada tombol Submtt Query.

Agar Snort dapat mendukung fungsi dari BASE maka diperlukan untuk membuat tabel tambahan pada database. Untuk itu cukup dilakukan dengan klik pada tombol Create BASE AG seperti terlihat pada Gambar 4.8. Setelah itu akan muncul halaman seperti pada Gambar 4.9 yang memperlihatkan status dari proses penambahan tabel untuk Snort pada database. Klik pada ltnk step 5 untuk melanjutkan ke halaman berikutnya. Seperti yang terlihat pada Gambar 4.10 BASE sudah dapat digunakan dengan dukungan penuh terhadap Snort.

Gambar 4.5 Pengaturan PatV ADODB

Gambar 4.7 Pengaturan administrator pengguna BASE

Gambar 4.9 Proses penambahan tabel untuk database Snort

68

5.2.2 UjiBCobaBKinerjaBSnortBInlineBterhadapBSeranganBSynflood

Sudah dijelaskan bagaimana kronologi tentang serangan synflood di Bab 2. Namun di Hping ini serangan synflood diartikan sebagai serangan TCP flooder dengan paket dan size yang cukup besar kepada target dengan port tertentu. Maka dari itu serangan tersebut disebut synflood.

Setelah Snort dirancang untuh mendeteksi dan melakukan drop sebuah serangan, maka saat ini server sudah siap di uji coba dengan serangan-serangan yang sudah dirancang. Berikut ini uji coba serangan, pendeteksian dan melakukan drop serangan synflood:

1. Masukkan perintah Hping3 untuk melakukan flooding TCP port 80 pada IP server 192.168.134.1 sebagai berikut:

# hping3 –S –p 80 –flood 192.168.134.1

Keterangan :

-S : Berfungsi untuk set flag TCP SYN -p : Set port tujuan

--flood : Mengirim paket secepat mungkin

Pada Gambar 5.12 dijelaskan bahwa hacker telah menyerang server dengan menggunakan Hping3 dengan IP host 10.134.30.101.

Gambar 5.12 Hacker melakukan serangan synflood

Hak Cipta © milik UPN "Veteran" Jatim :

Dilarang mengutip sebagian atau seluruh kHak Cipta © milik UPN "Veteran" Jatim :

2. Setelah serangan synflood tersebut dilancarkan oleh hacker menggunakan tools Hping3 maka Snort IPS yang akan mendeteksi dan melakukan drop serangan tersebut dan mengeluarkan alert untuk yang berada didalam folder /var/log/snort. Alert tersebut merupakan tanda pendeteksi sebuah serangan yang akan dibaca oleh admin melalui user interface BASE. Dan untuk melihat log dari mesin Snort maka dapat di lihat dengan perintah tail –f /var/log/snort/alert. Gambar 5.13 menjelaskan tampilan log Snort serangan synflood dan Gambar 5.14 yang alert yang terjadi ketika serangan synflood terjadi dan terdeteksi oleh Snort IPS:

Gambar 5.13 Tampilan log Snort serangan synflood

Gambar 5.14 Alert Snort IPS terhadap serangan synflood

Hak Cipta © milik UPN "Veteran" Jatim :

Dilarang mengutip sebagian atau seluruh kHak Cipta © milik UPN "Veteran" Jatim :

70

Menunjukkan IP 10.134.30.101 melakukan serangan TCP flood ke IP server 192.168.134.1. Pada Gambar 5.15 dijelaskan bahwa paket yang telah dikirim sebanyak 425868 oleh Hping 100% gagal terkirim karena tersaring oleh Snort. Juga dapat dilihat dari log tcpdump yang telah dijelaskan pada Gambar 5.16.

Gambar 5.15 Hping gagal melakukan synflood

Gambar 5.16 Tampilan log tcpdump

Hak Cipta © milik UPN "Veteran" Jatim :

Dilarang mengutip sebagian atau seluruh kHak Cipta © milik UPN "Veteran" Jatim :

6.1

KesimpulanB

Setelah mengerti dan memahami serta mengimplementasikan metode IPS. Maka dapat ditarik kesimpulan dari bahasan Tugas Akhir diatas yaitu:

1. Metode IPS (Intruston Preventton System) dapat diterapkan jika sebuah Snort inline memiliki rule-rule yang handal.

2. Snort dapat dikembangkan menjadi modus tnltne dengan menggunakan IPTables sebagai ftrewall.

3. Implementasi IPS telah mampu mencegah serangan backdoor dan

synflood khususnya yang terjadi pada jaringan lokal. Hal ini terbukti dengan output alert yang dihasilkan oleh IPS.

4. Metode IPS lebih handal daripada Metode IDS karena IPS dapat melakukan drop upaya serangan dan memberikan respon atas serangan peretas. Sedangkan IDS hanya menganalisa paket yang ada dan memberikan peringatan bila terjadi serangan dari peretas.

6.2B Saran

Berikut ini beberapa saran yang dapat dilakukan pada masa yang akan datang untuk meningkatkan kemampuan sistem, antara lain:

70

Hak Cipta © milik UPN "Veteran" Jatim :

Dilarang mengutip sebagian atau seluruh kHak Cipta © milik UPN "Veteran" Jatim :

71

1. Diperlukan sebuah penambahan SMS alert agar memudahkan administrator untuk memperoleh informasi jika terjadi serangan terhadap sebuah jaringan komputer dimana pun administrator itu berada.

2. Diperlukan pengembangan Snort Inline untuk mendeteksi berbagai serangan terutama untuk mendeteksi serangan-serangan dalam sebuah web server. Sehingga server-server yang dimiliki aman dari traversal dtrektort,

FTP Bounce Attack, DNS Cache Potsontng dan sebagainya.

3. Menambahkan fitur penghapusan log alert secara otomatis, sehingga memudahkan administrator untuk memelihara sistem.

4. Diperlukan spesifikasi perangkat keras pada komputer khususnya processor dan .AM yang lebih besar. Hal ini dilakukan untuk mempercepat proses pemeriksaan data. Karena semakin banyak rule yang diterapkan akan berpengaruh terhadap kinerja komputer.

Hak Cipta © milik UPN "Veteran" Jatim :

Dilarang mengutip sebagian atau seluruh kHak Cipta © milik UPN "Veteran" Jatim :

Beasley, J, 2008, Networking Second Edition, Prentice-Hall, New Jersey.

Carter, Earl dan Jonathan Hogue, 2006, Intrusion Pretention Fundamentalsm, Cisco Press, Indianapolis.

C. Endorf, E. Schultz dan J.Mellander, 2004, Intrusion Detection & Pretention, McGraw-Hill/Osborne, Emeryville.

warunuddin, Rakhmat, 2005, Membangun Firewall dengan IP Tables di linux, Jakarta: PT Elex Media Komputindo.

Haniri, Anis, 2002, Integrasi Jaringan Unix-Windows, Jakarta: PT Elex Media Komputindo.

Nugroho, Bunafit, 2010, Panduan Lengkap Menguasai Perintah SQL, Jakarta: PT Media Kita.

Rafiudin, Rahmat, 2010, Mengganyang Hacker dengan SNORT, Yogyakarta: Andi.

Rash, Michael, 2005, Intrusion Pretention and Actite Response: Deploying Network and Host IPS, Syngress Publishing, Inc, Rockland.

Stiawan, Deris, 2005, Sistem Keamanan Komputer, Jakarta: PT Elex Media Komputindo.

Tittel, Ed, 2004, Schaum's Outline Computer Networking (Jaringan Komputer), Jakarta: PT Gelora Aksara Pratama.

Zam, Efvy, 2011, Buku Sakti Hacker, Jakarta: TransMedia.

71 Hak Cipta © milik UPN "Veteran" Jatim :

Dilarang mengutip sebagian atau seluruh kHak Cipta © milik UPN "Veteran" Jatim :