ANALISA GENERALISASI RULES MENGGUNAKAN SNORT IDS.
ANALISA GENERALISASI RULES MENGGUNAKAN
SNORT IDS
SKRIPSI
Diajukan Untuk Memenuhi Per syaratan
Dalam Memperoleh Gelar Sarjana Komputer
J urusan Teknik Infor matika
Disusun Oleh :
WISNU HADI SUWANDONO
NPM. 0934010144
J URUSAN TEKNIK INFORMATIKA
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
2013
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
ANALISA GENERALISASI RULES MENGGUNAKAN
SNORT IDS
SKRIPSI
Disusun Oleh :
WISNU HADI SUWANDONO
NPM. 0934010144
J URUSAN TEKNIK INFORMATIKA
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
2013
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
ANALISA GENERALISASI RULES MENGGUNAKAN
SNORT IDS
SKRIPSI
Diajukan Untuk Memenuhi Per syaratan
Dalam Memperoleh Gelar Sarjana Komputer
J urusan Teknik Infor matika
Disusun Oleh :
WISNU HADI SUWANDONO
NPM. 0934010144
J URUSAN TEKNIK INFORMATIKA
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
2013
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
LEMBAR PENGESAHAN
ANALISA GENERALISASI RULES MENGGUNAKAN
SNORT IDS
Disusun Oleh :
Wisnu Hadi Suwandono
0934010144
Telah disetujui mengikuti Ujian Negara Lisan
Periode III Tahun Akademik 2013
Menyetujui,
Pembimbing Utama
Pembimbing Pendamping
I Made Suartana, S.Kom, M.Kom.
Kafi Ramadhani B, S.Kom.
NPT. 3 8904 13 0345 1
Mengetahui,
Ketua Program Studi Teknik Infor matika
Fakultas Teknologi Industri
Univer sitas Pembangunan Nasional “Veteran” J awa Timur
Dr. Ir. Ni Ketut Sari, M.T.
NIP. 19650731 199203 2 001
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
SKRIPSI
ANALISA GENERALISASI RULES MENGGUNAKAN SNORT IDS
Disusun Oleh :
Wisnu Hadi Suwandono
0934010144
Telah dipertahankan dan di terima oleh Tim Penguji Lisan
Program Studi Teknik Infor matika Fakultas Teknologi Industri
Univer sitas Pembangunan Nasional “Veteran” J awa Timur
Pada tanggal : 20 Desember 2013
Pembimbing :
1.
Tim Penguji :
1.
I Made Suartana, S.Kom., M.Kom.
I Gede Susrama, S.T., M.Kom.
NPT. 3 7006 060 211 1
2.
2.
Kafi Ramadhani B, S.Kom.
NPT. 3 8904 13 0345 1
Fetty Tri Anggraeny, S.Kom., M.Kom.
NPT. 3 8202 060 208 1
3.
Henni Endah Wahanani, S.Kom., M.Kom.
NPT. 3 7809 130 348 1
Mengetahui,
Dekan Fakultas Teknologi Industri
Univer sitas Pembangunan Nasional “Veteran” J awa Timur
Ir. Sutiyono, M.T.
NIP. 19600713 198703 1 001
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
KATA PENGANTAR
Assalamu’alaikum Wr. Wb.
Syukur Alhamdulillah atas segala limpahan karunia dan kasih sayang
Allah SWT, sehingga dengan segala keterbatasan waktu, tenaga, dan pikiran yang
dimiliki
oleh
penulis,
GENERALISASI
akhirnya
RULES
skripsi
yang
MENGGUNAKAN
berjudul
SNORT
“ANALISA
IDS“
dapat
terselesaikan sesuai dengan waktu yang telah ditetapkan.
Melalui Skripsi ini, penulis merasa mendapat kesempatan besar untuk
memperdalam ilmu pengetahuan yang diperoleh selama di perkuliahan, terutama
dengan implementasi Teknologi Informasi dalam kehidupan sehari-hari. Namun
demikian penulis menyadari bahwa Skripsi ini masih memiliki banyak kelemahan
dan kekurangan. Oleh karena itu, kritik dan saran yang bersifat membangun
sangatlah diharapkan dari berbagai pihak agar Skripsi ini bisa lebih baik lagi,
sehingga dapat memberikan manfaat bagi semua pihak yang membutuhkannya.
Pada penyusunan Skripsi ini, banyak pihak yang telah memberikan
bantuan baik materiil maupun spiritual ini, sehingga pada kesempatan ini penulis
mengucapkan rasa terima kasih yang sebesar-besarnya kepada:
1. ALLAH SWT dan RASUL-Nya. Alhamdulillah atas segala kelancaran dan
kemudahan yang selalu engkau limpahkan kepada penulis.
2. Ibu Dr.Ir. Ni Ketut Sari,M.T. selaku ketua jurusan Teknik Informatika,
UPN “Veteran” Jawa Timur.
ii
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
3. Bapak I Made Suartana, S.Kom, M.Kom dan Bapak Kafi Ramadhani
Borud, S.Kom. selaku dosen pembimbing . Terimakasih banyak telah
sabar membimbing dan memberi saran yang sangat bermanfaat kepada
penulis.
4. Teman-teman TFC’09, terimakasih selalu meramaikan dan memberi
hiburan disaat dalam kejenuhan.
5. For My Beloved Syilvia Nur Aini Terima kasih atas supportnya,waktu dan
doanya.
6. The last and the best, thanks to my beloved family Ibu, Alm.Ayah, Tante
ku yang selalu menjadi motivasi untuk cepat lulus kuliah.
Serta pihak-pihak lain yang ikut memberikan informasi dan data-data di
dalam menyelesaikan laporan Skripsi ini, penulis mengucapkan terima kasih.
Akhir kata penulis harap agar Skripsi yang disusun sesuai dengan kemampuan
dan pengetahuan yang sangat terbatas ini dapat bermanfaat bagi semua pihak yang
membutuhkan.
Wassalamu’alaikum Wr. Wb
Surabaya, Desember 2013
Penulis
iii
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
DAFTAR ISI
Halaman
ABSTRAK .......................................................... Er ror! Bookmar k not defined.
KATA PENGANTAR ......................................... Er ror! Bookmar k not defined.
DAFTAR ISI ...................................................................................................... iv
DAFTAR TABEL ............................................... Er ror! Bookmar k not defined.
DAFTAR GAMBAR ........................................... Er ror! Bookmar k not defined.
BAB I .................................................................. Er ror! Bookmar k not defined.
PENDAHULUAN ............................................... Er ror! Bookmar k not defined.
1.1
Latar Belakang ................................... Er ror! Bookmar k not defined.
1.2
Rumusan Masalah .............................. Er ror! Bookmar k not defined.
1.3
Batasan Masalah ................................. Er ror! Bookmar k not defined.
1.4
Tujuan ................................................ Er ror! Bookmar k not defined.
1.5
Manfaat .............................................. Er ror! Bookmar k not defined.
1.6
Metodologi Penelitian......................... Er ror! Bookmar k not defined.
1.7
Sistematika Penulisan ......................... Er ror! Bookmar k not defined.
BAB II ................................................................. Er ror! Bookmar k not defined.
TINJAUAN PUSTAKA....................................... Er ror! Bookmar k not defined.
2.1
Penelitian Terdahulu ........................... Er ror! Bookmar k not defined.
iv
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
2.2
Snort IDS ........................................... Er ror! Bookmar k not defined.
2.2.1
Network-based Intrusion Detection System (NIDS) ........... Er ror!
Bookmar k not defined.
2.2.2
Host-based Intrusion Detection System (HIDS)Er ror! Bookmar k
not defined.
2.3
Snort Rules ......................................... Er ror! Bookmar k not defined.
2.3.1
2.4
Rule Header ................................ Er ror! Bookmar k not defined.
Snort Engine ....................................... Er ror! Bookmar k not defined.
2.4.1
Alert ............................................ Er ror! Bookmar k not defined.
2.5
BASE ................................................. Er ror! Bookmar k not defined.
2.6
MySQL Server ................................... Er ror! Bookmar k not defined.
2.7
Php ..................................................... Er ror! Bookmar k not defined.
2.8
Aturan Generalisasi ............................ Er ror! Bookmar k not defined.
2.9
AWK .................................................. Er ror! Bookmar k not defined.
2.10
IPTables ............................................. Er ror! Bookmar k not defined.
2.11
Jenis Serangan SYN flooding attack ... Er ror! Bookmar k not defined.
BAB III................................................................ Er ror! Bookmar k not defined.
METODE DAN PERANCANGAN TUGAS AKHIREr ror!
Bookmar k
not
defined.
3.1
Tahapan dan Cara Penelitian............... Er ror! Bookmar k not defined.
3.2
Rancangan Jaringan Komputer ........... Er ror! Bookmar k not defined.
v
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
3.3
Rancangan Serangan SynFlood........... Er ror! Bookmar k not defined.
3.4
Kebutuhan Sistem............................... Er ror! Bookmar k not defined.
3.5
Perancangan Sistem ............................ Er ror! Bookmar k not defined.
3.5.1
Alur Installasi Snort .................... Er ror! Bookmar k not defined.
3.5.2
Alur Kerja Snort .......................... Er ror! Bookmar k not defined.
3.5.3
Alur Snort IDS ............................ Er ror! Bookmar k not defined.
3.5.4
Alur Aturan Generalisasi ............. Er ror! Bookmar k not defined.
3.5.5
Alur Implementasi Generalisasi Snort RulesEr ror!
Bookmar k
not defined.
3.5.6
Alur Kerja Keseluruhan Sistem ... Er ror! Bookmar k not defined.
3.5.7
Alur Uji Coba Dan Analisa ......... Er ror! Bookmar k not defined.
3.6
Instalasi Sistem Snort IDS .................. Er ror! Bookmar k not defined.
3.6.1
Instalasi Library Pendukung ........ Er ror! Bookmar k not defined.
3.6.2
Instalasi Dan Konfigurasi Snort IDSEr ror!
Bookmar k
not
defined.
3.6.3
Konfigurasi Snort Database ......... Er ror! Bookmar k not defined.
3.6.4
Instalasi BASE (Basic Analyze And Security Engine) ........ Er ror!
Bookmar k not defined.
3.7
Pembuatan Dan Penerapan Generalisasi RulesEr ror! Bookmar k not
defined.
3.7.1
Generalisasi removing ................. Er ror! Bookmar k not defined.
vi
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
3.7.2
Generalisasi Inverting ................. Er ror! Bookmar k not defined.
BAB IV ............................................................... Er ror! Bookmar k not defined.
UJI COBA dan ANALISA ................................... Er ror! Bookmar k not defined.
4.1
Kebutuhan Hardware .......................... Er ror! Bookmar k not defined.
4.2
Kebutuhan Software ........................... Er ror! Bookmar k not defined.
4.3
Uji Coba Serangan .............................. Er ror! Bookmar k not defined.
4.4
4.3.1
Serangan Port Scanning Zenmap . Er ror! Bookmar k not defined.
4.3.2
Serangan Hping3 SynFlood ......... Er ror! Bookmar k not defined.
4.3.3
Scapy SynFlood .......................... Er ror! Bookmar k not defined.
Pengumpulan Alerts ........................... Er ror! Bookmar k not defined.
4.4.1
Merged.alert ................................ Er ror! Bookmar k not defined.
4.4.2
Allow.alert .................................. Er ror! Bookmar k not defined.
4.4.3
Rejected.alert .............................. Er ror! Bookmar k not defined.
4.5
Merangkum Hasil Alert ...................... Er ror! Bookmar k not defined.
4.6
Hasil Perbandingan Rules ................... Er ror! Bookmar k not defined.
BAB V................................................................. Er ror! Bookmar k not defined.
KESIMPULAN DAN SARAN ............................ Er ror! Bookmar k not defined.
5.1
Kesimpulan ........................................ Er ror! Bookmar k not defined.
5.2
Saran .................................................. Er ror! Bookmar k not defined.
DAFTAR PUSTAKA .......................................... Er ror! Bookmar k not defined.
vii
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
viii
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
ANALISA GENERALISASI RULES MENGGUNAKAN SNORT IDS
DOSEN PEMBIMBING I
DOSEN PEMBIMBING II
PENYUSUN
: I MADE SUARTANA, S.Kom, M.Kom
: KAFI RAMADHANI BORUD, S.Kom
: WISNU HADI SUWANDONO
ABSTRAK
Perkembangan teknologi jaringan komputer semakin berkembang, seiring
dengan itu semakin banyak terjadi serangan pada jaringan komputer. Serangan
yang paling sering terjadi adalah Denial of Service (DOS attack), serangan SYN
Flood salah satunya, dimana serangan ini bisa berakibat fatal pada target apabila
dilakukan secara terus menerus.
Salah satu pencegahan yang umum dilakukan adalah dengan
menambahkan Intrusion Detection System (IDS) yang memberikan lapisan
keamanan pada sistem komputer dan jaringan. IDS bertanggung jawab untuk
mendeteksi aktivitas jaringan yang mencurigakan atau tidak dapat diterima pada
sistem yang nantinya akan memberi peringatan (alert) kepada administrator
jaringan. Snort merupakan salah satu IDS yang populer digunakan dan secara
aktif mengembangkan open source yang menggunakan satu set Signature yang
dikenal dengan Snort Rules. Mencocokan pola atau Signature adalah metode yang
digunakan pada IDS untuk mendeteksi serangan yang kemudian akan
menghasilkan alert. Terkadang terdapat beberapa kelemahan dari alert yang
dihasilkan apakah alert menunjukan serangan yang sebenarnya terjadi (true alert)
atau menunjukan serangan yang bukan sebenarnya (false alert).
Dengan menambahkan generalisasi sederhana (removing dan inverting)
pada Snort Rules diharapkan IDS dapat menghasilkan alert yang lebih bervariasi
dan mampu mendeteksi dengan benar serangan yang terjadi khususnya disini
serangan SYN Flood. Terbukti dengan melakukan generalisasi sederhana mampu
meningkatkan akurasi dari alert yang dihasilkan dengan nilai prioritas yang lebih
kecil daripada Snort Rules standart.
Keyword : Deteksi anomali, Intrusioon Detection System, Snort, Snort Rules,
Generalisasi sederhana
i
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
BAB I
PENDAHULUAN
1.1
Latar Belakang
Penggunaan jaringan komputer saat ini semakin meluas tidak hanya
digunakan untuk perorangan tetapi juga dibutuhkan baik untuk organisasi, instansi
ataupun perusahaan. dikarenakan kemudahan untuk saling bertukar data dan
informasi. Terkadang data atau informasi bersifat pribadi dan sangat penting
sehingga diperlukan suatu pengaman tertentu agar tidak jatuh ke pihak yang tidak
bersangkutan. Keamanan jaringan merupakan hal yang harus diperhatikan dalam
membangun suatu jaringan komputer untuk menghindari serangan-serangan dari
pihak yang merugikan. saat ini banyak bermunculan cara dan teknik yang
dilakukan penyusup untuk masuk kedalam suatu jaringan komputer. Hal itu
diperlukan cara pencegahan dengan melakukan pendeteksian serangan secara
awal sehingga meminimalkan resiko dan kemudian dapat melakukan pencegahan
yang tepat. Salah satu contohnya menggunakan Sistem Deteksi Intrusi atau
Intrusion Detection System (IDS) pada jaringan tersebut. Menurut Onno Purbo
(2010), IDS merupakan usaha mengidentifikasi adanya penyusup yang memasuki
sistem tanpa otorisasi (misal cracker) atau seorang user yang sah tetapi
menyalahgunakan (abuse) sumber daya sistem.
IDS bertanggung jawab untuk mendeteksi tindakan atau hal, sistem yang
tidak dapat diterima dan aktivitas jaringan yang mencurigakan. Kemudian IDS
1
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
2
akan memberi peringatan (Alert) kepada Administrator bahwa telah terjadi
serangan didalam jaringan tersebut. Kebanyakan IDS menggunakan satu set tanda
tangan (Signature) yang mendefinisikan bahwa telah terjadi tindakan atau hal
yang mencurigakan dalam network traffic. Salah satu
serangan yang umum
dilakukan adalah serangan SynFlood, SynFlood merupakan serangan dengan cara
mengirimkan paket SYN sebanyak mungkin ke target tanpa mengirimkan paket
ACK,sehingga target tidak dapat lagi memberikan layanan atau menerima request
dari client lain. Serangan seperti ini biasanya dilakukan pada layanan-layanan
terbuka seperti layanan web/HTTP, FTP. Apabila serangan ini dilakukan secara
terus menerus maka target akan bisa mengalami hang atau crash.Snort merupakan
salah satu IDS populeryang banyak digunakan untuk mendeteksi suatu paket
jaringan dan Snort merupakanopen sourcyang aktif melakukan pengembangkan
menggunakan suatuset tanda tangan yang dikenal sebagai aturan Snort (Snort
Rule).
Maka dari itu penulis melakukan Generalisasi Rule Menggunakan SNORT
IDS (Intrusion Detection System)untuk mengidentifikasi cara di mana Snort dapat
dikembangkan lebih lanjut dengan Generalisasi Ruleagar dapat mendeteksi
serangan SynFlood atau bahkan serangan-serangan baru.
1.2
Rumusan Masalah
Berdasarkan dari uraian latar belakang di atas maka dapat dirumuskan
suatu permasalahan.
1. Bagaimana mendeteksi serangan atau intrusi yang akan terjadi
menggunakan Snort IDS.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
3
2. Bagaimana melakukan pola Rule Generalisasi Snort pada Rule standart
untuk dapat mengidentifikasi serangan SynFlood atau bahkan serangan
baru yang terjadi didalam network traffic.
3. Bagaimana menampilkan alert hasil dari generalisasi rule dan melakukan
analisa.
1.3
Batasan Masalah
Dalam melakukan Generalisasi Rule Menggunakan SNORT IDS
(Intrusion Detection System), mempunyai batasan masalah sebagai berikut:
1. Metode Generalisasi yang digunakan adalah generalisasi sederhana yaitu
generalisasi invert (menghilangkan salah satu parameter) dan generalisasi
content (melakukan pembalikan pada nilai atau isi dari
salah satu
parameter).
2. Pendeteksian serangan terbatas pada serangan Denial of Service attacks,
SynFlood attack, IP dan Port scanning.
3. Data Paket Jaringan yang digunakan adalah data paket yang berhasil di-log
oleh SNORT.
4. Pada penelitian tugas akhir ini parameter rules snort yang digunakan
untuk generalisasi rule adalah :
a) Depth
b) Offset
c) Content
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
4
1.4
Tujuan
Tujuan dari Tugas Akhir ini adalah :
1. Mengerti dan memahami jenis-jenis serangan pada serangan Denial of
Service attacks, SynFlood attack, IP dan Port scanning.
2. Memahami dan mampu mengaplikasikan Generalisasi Rule Menggunakan
SNORT IDS (Intrusion Detection System)untuk mengidentifikasi serangan
SynFlood dan serangan-serangan baru.
1.5
Manfaat
Manfaat dari Tugas Akhir ini adalah :
1. Meminimalisir adanya kesalahan dan celah keamanan dari sebuah sistem
jaringan komputer.
2. Meminimalisir kesalahan Alert yang dihasilkan dari IDS.
3. Mengamankan jaringan komputer berbasis client-server menggunakan
debian server agar dapat melakukan pencegahan yang sesuai bedasarkan
serangan yang terjadi.
1.6
Metodologi Penelitian
Langkah-langkah yang dilakukan untuk pembuatan Tugas Akhir ini dibagi
menjadi beberapa tahapan, sebagai berikut:
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
5
a) Studi Literatur
Pada tahap ini dilakukan studi literatur terhadap konsep dan
metode ysng akan digunakan dan pengumpulan data-data yang
dibutuhkan.
b) Menetapkan definisi kebutuhan
Pada tahap ini dilakukan pendefinisian terhadap kemampuan
perangkat lunak yang akan dirancang dan batasan-batasannya.
c) Perancangan Sistem
Pada tahap ini dilakukan Perancangan model jaringan, simulasi
serangan, analisa kebutuhan sistem, penyediaan Hardware dan Software
pendukung dan perancangan kerja sistem.
d) Implementasi Sistem
Pada tahap ini dilakukan pengimplementasian Instalasi, konfigurasi
dan pengetesan kerja sistem.
e) Uji coba dan Analisa
Pada tahap ini dilakukan uji coba dan analisa terhadap sistem
dengan melakukan penyerangan dan kemudian membandingkan hasil dari
pendeteksian sistem.
f) Penyusunan Naskah Tugas Akhir
Pada tahap ini dilakukan penulisan naskah, dimana didalamnya
menjelaskan teori yang dipergunakan serta penyusunan laporan.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
6
1.7
Sistematika Penulisan
Sistematika penulisan Tugas Akhir (TA) ini akan membantu mengarahkan
penulisan laporan agar tidak menyimpang dari batasan masalah yang dijadikan
sebagai acuan atau kerangka penulisan dalam mencapai tujuan penulisan laporan
Tugas Akhir (TA) sesuai dengan apa yang diharapkan. Tugas Akhir (TA) ini
terbagi dalam V Bab, yaitu :
BAB I
PENDAHULUAN
Pendahuluan ini berisi mengenai gambaran umum tentang latar belakang
masalah, perumusan masalah, batasan masalah, tujuan, manfaat, metodologi
penelitian dan sistematika penulisan.
BAB II
TINJ AUAN PUSTAKA
Tinjauan pustaka ini berisi tentang gambaran umum objek pekerjaan
pengertian - pengertian dasar dan teori - teori yang berhubungan dengan masalah
yang akan di bahas dalam Tugas Akhir (TA) ini sebagai landasan bagi pemecahan
yang di usulkan.
BAB III
METODOLOGI PENELITIAN
Metodologi Penelitian ini berisi tentang perencanaan, analisa kebutuhan
sistem dan perancangan sistem.
BAB IV
HASIL DAN PEMBAHASAN
Hasil dan Pembahasan ini berisi tentang pembuatan sistem, hasil dan
pembahasan mengenai pendeteksi serangan atau intrusi yang akan terjadi dan
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
7
pengenalan pola terhadap penyerangan menggunakan aturan generalisasi untuk
meng-generalisasi Snort Rules agar dapat mendeteksi serangan baru
BAB V
KESIMPULAN DAN SARAN
Berisi tentang kesimpulan yang di peroleh dari hasil pengana-lisaan data
dari bab-bab sebelumnya. Dimana berisi tentang saran-saran yang diharapkan
dapat bermanfaat dan dapat membangun serta mengembangkan isi laporan
tersebut sesuai dengan tujuan penulisan Laporan Tugas Akhir (TA).
LAMPIRAN
DAFTAR PUSTAKA
Pada bagian ini akan dipaparkan tentang sumber-sumber literatur yang
digunakan dalam pembuatan laporan tugas akhir ini.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
BAB II
TINJ AUAN PUSTAKA
Pada bab II ini akan dibahas beberapa teori dasar untuk menunjang
penyelesaian tugas akhir ini, antara lain: Penelitian terdahulu, Snort IDS, Snort
Rules,
SnortEngine,
Alert,
BASE,
MySql
Server,
PHP,
Generalisasi,
Pemrograman AWK, Iptables dan Jenis Serangan SYN floodingattack.
2.1.
Penelitian Terdahulu
Penelitian yang dilakukan oleh Uwe Aickelin, Jamie Twycross and
Thomas Hesketh-Roberts (2008) yang berjudul “Rule Generalisation in Intrusion
Detection Systems using SNORT”.
Penelitian ini
menunjukkan bagaimana,
menggunakan generalisasi sederhana, Alert Rules dapat dimodifikasi untuk
muncul varian baru dari serangan lama. Dengan menggunakan metode ini mampu
mengidentifikasi Rules yang memiliki kriteria yang ketat dan juga menemukan
varian baru dari Trojan yang dikenal.Saat ini hanya lapisan permukaan pada paket
jaringan saja yang bisa dikenali pencocokan generalisasi Rules NIDS dan sulit
untuk membuat kesimpulan yang pasti. Namun beberapa pencocokan yang tidak
biasa dari generalisasi Rules menjelaskan bagaimana melakukan generalisasi
dengan bantuan Snort atau memang ada NIDS dalam menemukan serangan
terdefinisi. Berbagai teknik-teknik telah diteliti, dikembangkan dan dianalisis
8
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
9
yang sebagian besar menemukan sejumlah peringatan palsu. sekali tanda tersebut
dieliminasi, beberapa Alerts berpotensi dapat dikenali.
Penelitian yang dilakukan oleh Bambang Wijanarko (2009) yang berjudul
“Algoritma fuzzy sebagai metode pengenal pola serangan pada jaringan berbasis
snort”. Penelitian ini menunjukan bahwa mencocokan pola atau signature adalah
metode yang paling umum untuk mendeteksi serangan dan ini berarti IDS harus
mampu mengenali setiap teknik serangan. IDS memiliki database yang besar
dengan ribuan signature yang memunkinkan IDS mencocokan signature atau pola
serangan.Respon otomatis yang biasanya dilakukan adalah memberikan alert,
logging , atau mengirim email. Kelemahan respon otomatis yang umum adalah
terjadinya respon terhadap false negative dan false positive. Adalah penting untuk
memahami mengapa signature memicu dan mengidentifikasi true dari false
positive. Penggunaan algoritma fuzzy sebagai metode pembacaan signature atau
pola tertentu dari suatu paket serangan yang umum. Hasil dari pengujian data
real-time di jaringan dan data serangan akan didefinisikan, sehingga nantinya
dengan pengunaan algoritma fuzzy ini dapat mendeteksi setiap jenis serangan
baru dalam range yang lebar dan membantu mengeliminasi false positive atau
false negative.
Dari beberapa penelitian yang telah diuraikan, dapat disimpulkan bahwa
penggunaan Snort dalam memantau dan mengamankan suatu jaringan komputer
dapat lebih ditingkat keakuratan dalam mengenali suatu serangan hingga dapat
mengenali serangan baru dan meminimalkan kesalahan dalam memberikan alerts.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
10
2.2.
Snort IDS
Gambar 2.1 Bagian-bagian IDS
Intrusion Detection System adalah sebuah aplikasi perangkat lunak atau
perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam
sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas
inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan
mencari bukti dari percobaan intrusion(penyusupan). ada dua jenis dari IDS,
yaitu:
1.2.1 Networ k-based Intrusion Detection System (NIDS)
Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis
untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam
sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan
penting di mana server berada atau terdapat pada "pintu masuk" jaringan.
Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
11
dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun
beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di
dalam switch buatannya untuk memonitor port atau koneksi. contoh:
melihat adanya network scanning.
1.2.2 Host-based Intrusion Detection System (HIDS)
Aktivitas sebuah host jaringan individual akan dipantau apakah
terjadi keanehan atau sesuatu yang tidak wajar, seperti sebuah percobaan
serangan atau penyusupan ke dalamnya atau tidak (anomali). HIDS
seringnya diletakkan pada server-server kritis di jaringan, seperti halnya
firewall, web server, atau server yang terkoneksi ke Internet
Gambar 2.2 Anomali deteksi serangan
(Sumber: http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
12
Seperti pada gambar 2.2. IDS melakukan deteksi gangguan
keamanan dengan melihat Anomali pada jaringan. Anomali dapat
dijelaskan sebagai traffic atau aktivitas yang tidak sesuai dengan kebijakan
yang dibuat (policy). Contoh Anomali yang dijelaskan sebagai traffic/
aktivitas yang tidak sesuai dengan policy, adalah:
a. Akses dari atau menuju ke host yang terlarang.
b. Memllki Content atau Pattern yang terlarang (virus).
c. Menjalankan program yang terlarang.
SNORT merupakan salah satu contoh program dari NIDS yang
bersifat open source dimana dapat memantau dan mendeteksi apabila
terjadi tindakan penyusupan pada sebuah jaringan komputer. salah satu
kelebihannya adalah mampu mengirimkan alert dari mesin Unix atupun
Linux ke platform Microsoft Windows dengan melalui SMB. Snort dapat
berkerja dalam 3 mode:
a. sniffer mode (penyadap), Untuk melihat paket yang lewati jaringan
komputer dimana snort diletakkan.
b. packet logger, Untuk melakukan pencatatan semua paket yang
lewat di jaringan untuk disimpan ke dalam disk untuk kemudian
dianalisa.
c. network intrusion detection mode, Pada mode ini snort akan
berfungsi untuk mendeteksi serangan yang dilakukan melalui
jaringan komputer. Untuk menggunakan mode IDS ini di perlukan
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
13
setup dari berbagai rules / aturan yang akan membedakan sebuah
paket normal dengan paket yang membawa serangan.
Tentunya mode kerja yang akan digunakan dalam membangun
sistem pencegahan penyusupan dalam mode kerja network intrusion
dection. Penyusupan (intrusion) didefinisikan sebagai kegiatan yang
bersifat anomaly, incorrect atau inappropriate yang terjadi di jaringan atau
di host. Komponen-komponen Snort IDS meliputi:
a. Snort Rules
b. Snort Engine
c. Alert
(Sumber referensi:Sistem deteksi intrusi,
http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi. 18 Juni 2013, 14.46
WIB)
2.3.
Snort Rules
Merupakan database yang berisi pola-pola serangan berupa Signature
jenis-jenis serangan. Rule Snort IDS ini, harus diupdate secara rutin agar ketika
ada suatu teknik serangan yang baru sehingga serangan tersebut dapat terdeteksi.
kebanyakan rule snort ditulis dalam satu baris (single line). Aturan Snort dibagi
menjadi dua bagian logis, Rule Headersdan Rule Options. Rule Headers berisi
Actions Rule, Protocols, Source dan Destination IP Address dan netmasks, dan
Source dan Destination Port sedangkan Rule Options berisi Alert Message dan
informasi di bagian mana dari paket harus diperiksa untuk menentukan apakah
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
14
tindakan aturan harus diambil.( Chapter 7 • Playing by the Rules, Snort Intrusion
Detection and Prevention Toolkit, 2007 : 302)
Gambar 2.3 Contoh sederhana Snort Rule
1.3.1 Rule Header
Rule Header berisi dari beberapa bagian yang memiliki tugas dan
fungsi masing-masing, diantaranya adalah: Action Rule, Protocols, IP
Address, Ports Numbers, Direction Operator, Activate/Dynamic Rules
dan Rule Options.
2.3.1.1.
Actions Rule
berisi informasi yang mendefinisikan siapa, di mana, dan
apa isi dari sebuah paket, serta apa yang harus dilakukan dalam hal
paket dengan semua atribut ditunjukkan dalam aturan harus muncul.
Dengan kata lain tindakan pertama dalam Action Rule adalah
membertitahukan kepada snort apa yang harus dilakukan oleh snort
ketika menemukan paket yang sesuai dengan criteria rule yang ada.
Ada lima actions yang terdapat didalam snort yaitu alert, log, pass,
active dan dynamic. Jika kita menjalankan snort dalam mode inline
maka kita memiliki pilihan tambahan yang meliputi include drop,
reject dan sdrop.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
15
-
Alert : menghasilkan peringatan dengan menggunakan metode
peringatan yang dipilih, dan kemudian mencatat paket.
-
Log : Mencatat paket yang ada.
-
Pass : Mengabaikan paket.
-
Activate : Waspada dan kemudian menghidupkan aturan lain
Dynamic Rule.
-
Dynamic : Tetap diam sampai diaktifkan oleh Active rule,
kemudian bertindak sebagai Log rule.
-
Drop : Memblokir dan mencatat paket.
-
Reject : Memblokir paket, mencatat paket, dan kemudian
mengirim ulang jika TCP protokol adalah TCP atau ICMP port
unreachable.
-
Message : jika protokol yang digunakan adalah UDP.
-
Sdrop : Memblokir paket tetapi tidak mencatatnya.
2.3.1.2.
Protocols
Bagian berikutnya dalam sebuah Rule Header adalah
protokol. Ada empat protokol yang Snort gunakan saat menganalisis
perilaku yang mencurigakan, yaitu: TCP, UDP, ICMP, dan IP. Di
masa depan mungkin ada lebih seperti ARP, IGRP, GRE, OSPF, RIP,
IPX, dll.
2.3.1.3.
IP Addr ess
Bagian berikutnya dari Rule Header adalah Alamat IP dan
informasi port untuk aturan tertentu. Penulisan alamat IP pada snort
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
16
rule bisa ditulis dengan alamat IP secara lengkap beserta netmasknya
dan nilai CIDR atau menggunakan kata kunci “Any” untuk
menentukan banyak alamat IP. Ada penggunaan operator yang dapat
diterapkan ke alamat IP yaitu, operator negasi. Operator ini
memberitahu Snort untuk menyesuaikan Alamat IP kecuali yang
ditunjukkan oleh alamat IP yang terdaftar. Operator negasi ditandai
dengan!. Sebagai contoh, kemudahan modifikasi dengan contoh awal
adalah untuk membuatnya waspada pada setiap lalu lintas yang
berasal dari luar jaringan lokal dengan operator negasi seperti yang
ditunjukkan pada Gambar 2.2.
Gambar 2.4 Contoh IP Address Dengan Aturan Negasi.
2.3.1.4.
Ports Number s
Nomor port dapat ditentukan dengan berbagai cara,
termasuk penggunaan semua port, definisi port statis, rentang port dan
dengan negasi. Port statis ditandai dengan nomor port tetap, seperti
111 untuk portmapper, 23 untuk telnet, atau 80 untuk http, dll.
Penulisan nomor port juga bisa dilakukan dengan menggunakan port
range dimana telah ditentukan batasan dalam port, contoh 1:1024
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
17
Gambar 2.5 Contoh Penulisan Port Range
2.3.1.5.
Direction Operator
Direction Operator “->” menunjukkan orientasi, atau arah
dari lalu lintas terhadap aturan yang berlaku. Alamat IP dan nomor
port di sisi kiri dari operator arah dianggap lalu lintas yang datang dari
sumber host ( source host ) dan alamat beserta informasi port pada sisi
kanan operator adalah host tujuan ( destination host). Ada juga
Operator dua arah bidirectional operator, yang ditandai dengan
simbol“”. Ini memberitahu Snort untuk mempertimbangkan alamat
/ pasangan port baik dalam sumber atau orientasi tujuan. bidirectional
operator berguna untuk merekam / menganalisis kedua sisi percakapan
suatu, seperti telnet atau sesi POP3. Sebuah contoh dari operator
bidirectional sedang digunakan untuk merekam kedua sisi dari sesi
telnet seperti pada contoh gambar 2.4.
Gambar 2.6 Contoh Bidirectional Operator
2.3.1.6.
Activate/Dynamic Rules
Activate/Dynamic Rules memberikan Snort kemampuan
yang kuat karena memiliki satu aturan untuk mengaktifkan aturan lain
ketika berjalan/berlaku untuk sejumlah set paket. Hal ini sangat
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
18
berguna jika ingin mengatur Snort untuk melakukan tindakan
pencatatan/perekaman ketika salah satu rule dimatikan. Activate Rules
bertindak seperti Alert Rule, kecuali mereka memiliki * required *
Opsi yang telah ditentukan. bidang: mengaktifkan. Dynamic Rules
bertindak seperti Log Rule, tetapi mereka memiliki perbedaan bidang
opsi yaitu pengaktifannya.
ActivateRule
seperti
sebuah
peringatan
tetapi
juga
memberitahu Snort untuk menambahkan aturan ketika peristiwa
jaringan tertentu terjadi. Dynamic Rule sama seperti halnya Log Rule
kecuali DynamicRule diaktifkan ketika Activate Rule id padam.
Gambar 2.7 Activate/Dynamic Rules
2.3.1.7.
Rule Options
Membentuk
inti dari
mesin
deteksi
intrusi
Snort,
menggabungkan kemudahan penggunaan dengan kekuatan dan
fleksibilitas. semua Rule Option Snort terpisah satu sama lain
menggunakan koma (;) karakter. Kata kunci Rule Option dipisahkan
dari argumen mereka dengan titik dua (:) karakter. Ada empat kategori
utama dalam Rule option, antara lain:
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
19
a. General, Opsi ini memberikan informasi tentang aturan tapi
tidak
punya
pengaruh
apapun
selama
pendeteksian
berlangsung.
b. Payload, Opsi ini untuk mencari semua data di dalam payload
paket dan dapat saling berhubungan.
c. Non-payload, Opsi ini untuk mencari data diluar payload.
d. Post-detection, Opsi ini sebagai pemicu spesifik aturan yang
terjadi setelah aturan telah "dimatikan".
(Chapter 7 • Playing by the Rules, Snort Intrusion Detection and
Prevention Toolkit, 2007 : 302-305).
2.4.
Snort Engine
Snort Engine merupakan program yang berjalan sebagai daemon proses
yang selalu bekerja untuk membaca paket data dan kemudian membandingkannya
dengan rule Snort. Dalam sistem Linux, untuk mendeteksi apakah snort engine
dalam keadaan aktif atau tidak dengan melihat prosesnya seperti contoh di bawah
ini.
Gambar 2.8 Snort Engine
(Sumber : Hartono Puji, 2006. Sistem Pencegahan Penyusupan pada Jaringan
berbasis Snort IDS dan IPTables Firewall: 10)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
20
Gambar diatas menunjukkan bahwa snort engine dalam keadaan aktif
dengan proses ID 3060 dan dijalankan oleh user ”root”. (Sumber referensi :
Hartono Puji, 2006: 10)
1.4.1 Alert
Alert merupakan hasil output pada sistem deteksi penyusupan yang
berisi tentang catatan serangan yang terjadi. Snort engine akan
mencocokan
paket data yang melewati jaringan, apabila
terdapat
kecocokan dengan rules yang telah ditentukan sebelumnya maka akan
dianggap sebagai serangan, maka snort engine akan mengirimkan alert
berupa log file.
Gambar 2.9 Sistem Deteksi Snort
(Sumber : Chapter 4, Introducing snort. How to Cheat at Configuring Open
Source Security Tools. 2007: 192)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
21
Untuk kebutuhan analisa, alert dapat disimpan di dalam database,
sebagai contoh ACID (Analysis Console for Intrusion Databases) sebagai
modul tambahan pada Snort. Contoh alert sebagai berikut :
Gambar 2.10 Snort Alert
Contoh alert di atas merupakan alert ketika terdapat paket data
dalam ukuran besar dari IP Address 10.1.4.113 ke 10.1.3.126 yang
dianggap sebagai serangan oleh Snort karena pola paket data tersebut
terdapat dalam rule Snort.
2.5.
BASE
merupakan (Basic Analysis and Security Engine). Hal ini didasarkan pada
kode dari Konsol Analisis untuk DatabaseIntrusion (ACID) proyek. Aplikasi ini
menyediakan web front-end untuk query dan menganalisa alert yang berasal dari
sistem IDS Snort. BASE adalah antarmuka web untuk melakukan analisis
gangguan yang telah terdeteksi oleh snort pada suatu jaringan. Base menggunakan
otentikasi pengguna dan sistem peran-base, sehingga sebagai admin keamanan
dapat memutuskan apa dan bagaimana informasi setiap pengguna dapat di lihat.
BASE memiliki kemudahan untuk digunakan, program pengopersian berbasis
web memudahkan
orang yang tidak nyaman dengan mengedit file secara
langsung.BASE menawarkan panduan untuk membantu pengguna yang baru
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
22
terhadap desain basis data (atau baru terhadap BASE) untuk membuat Tabel,
Query, Form, dan Report, bersama dengan sekumpulan definisi tabel yang sudah
didefinisikan untuk melacak Asset, Konsumen, Penjualan, Invoice, dan banyak
lagi. Ketika hanya memerlukan basis data personal, BASE menawarkan mesin
basis data relasional HSQL, dikonfigurasi untuk pengguna tunggal, dengan data
tersimpan pada dokumen BASE, beserta dengan dukungan native untuk dokumen
dBase.
Untuk kebutuhan yang lebih besar, BASE mendukung berbagai basis data
yang populer secara native: MySQL, Adabas D, Microsoft Access, dan
PostgreSQL Sebagai tambahan, dukungan untuk driver standar JDBC dan ODBC
juga mengijinkan untuk terhubung secara virtual pada sembarang basis data yang
ada. BASE terintegrasi dengan aplikasi OpenOffice.org yang lain, misalnya
1. menyediakan data buku alamat untuk mail merge pada WRITER
menggunakan standar industri protokol LDAP, atau format buku alamat
yang umum seperti Microsoft Outlook, Microsoft Windows dan Mozilla.
2. membuat jangkauan data yang terhubung pada dokumen CALC untuk
analisa data pilot atau sebagai dasar untuk bagan.
(Sumber referensi: http://base.secureideas.net/about.php. 22 Juni 2013, 18.22
WIB)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
23
Gambar 2.11 Tampilan BASE
2.6.
MySQL Server
MySQL adalah sebuah implementasi dari sistem manajemen basisdata
relasional (RDBMS) yang didistribusikan secara gratis dibawah lisensi GPL
(General Public License). Setiap pengguna dapat secara bebas menggunakan
MySQL, namun dengan batasan perangkat lunak tersebut tidak boleh dijadikan
produk turunan yang bersifat komersial. MySQL sebenarnya merupakan turunan
salah satu konsep utama dalam basisdata yang telah ada sebelumnya; SQL
(Structured Query Language). SQL adalah sebuah konsep pengoperasian basis
data, terutama untuk pemilihan atau seleksi dan pemasukan data, yang
memungkinkan
pengoperasian
data
dikerjakan
dengan
mudah
secara
otomatis.Kehandalan suatu sistem basisdata (DBMS) dapat diketahui dari cara
kerja pengoptimasi-nya dalam melakukan proses perintah-perintah SQL yang
dibuat oleh pengguna maupun program-program aplikasi yang memanfaatkannya.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
24
Sebagai peladen basis data, MySQL mendukung operasi basisdata transaksional
maupun operasi basisdata non-transaksional. Pada modus operasi nontransaksional, MySQL dapat dikatakan unggul dalam hal unjuk kerja
dibandingkan perangkat lunak peladen basisdata kompetitor lainnya. Namun
demikian pada modus non-transaksional tidak ada jaminan atas reliabilitas
terhadap data yang tersimpan, karenanya modus non-transaksional hanya cocok
untuk jenis aplikasi yang tidak membutuhkan reliabilitas data seperti aplikasi
blogging berbasis web (wordpress), CMS, dan sejenisnya. Untuk kebutuhan
sistem yang ditujukan untuk bisnis sangat disarankan untuk menggunakan modus
basisdata transaksional, hanya saja sebagai konsekuensinya unjuk kerja MySQL
pada modus transaksional tidak secepat unjuk kerja pada modus nontransaksional.
(Sumber referensi: http://id.wikipedia.org/wiki/MySQL, 22 Juni 2013. 19.47
WIB)
2.7.
Php
PHP Hypertext Preprocessor atau biasa disebut PHP adalah. bahasa
pemrograman yang digunakan secara luas untuk penanganan pembuatan dan
pengembangan sebuah situs web dan bisa digunakan bersamaan dengan HTML.
Bahasa Pemrogramman PHP memiliki file extensi *.php dan tidak bisa di access
secara langsung tanpa adanya sebuah web server. Syntax-Syntax PHP diawali dan
di akhiri dengan atau . Syntax PHP juga dapat di sisipkan
pada tag-tag html. File PHP yang ditempatkan pada file yang ber-extensi *.html
tidak akan di eksekusi atau tidak bisa di access.Pembuatan variable pada PHP
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
25
diawali dengan simbol $ (dolar), jika simbol tersebut tidak ada maka variabel
tersebut tidak akan dapat di eksekusi atau error. Misalnya : $nama != nama
variable $nama pasti akan di kenali oleh program, namun sebaliknya variable
nama tidak akan di eksekusi oleh program karena tidak di kenali, dan tidak
andanya symbol $ (dolar). PHP juga membunyai banyak tipe data antara lain
Integer, String, Float, Double dan tipe data yang lainnya. PHP juga memiliki
statement atau disebut juga dengan baris perintah. Baris perintah itu sendiri yaitu
suatu syntax yang terdiri dari satu line yang di akhiri dengan ; (titik koma). Jika
tidak diakhiri dengan ; (titik koma) maka akan terjadi error pada statement
tersebut. Jika anda mempunyai sebuah variable yang digunakan untuk
menampung value yang bertipe String maka harus diberi tanda " " (petik dua 2x).
Namun jika tidak bertipe String maka tidak perlu diberi " " (petik dua 2x) [4].
Berikut ini adalah contoh penulisan syntax PHP:
atau
Output Pada Web Browser akan tampil seperti ini:
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
26
Hallo Nama Saya Muhammad (sulaeman, dede : 2009, 1-5)
2.8.
Aturan Generalisasi
Tujuan dari pembuatan aturan generalisasi adalah menghasilkan rules baru
dari rules original Snort agar didapat variasi alerts yang dihasilkan dari
pembacaan suatu paket jaringan. Dengan kondisi yang telah ditentukan :
1. Melakukan penghapusan salah satu parameter didalam snort rules agar
didapat lebih banyak kemungkinan paket akan cocok dengan generalisasi
rules (Removing).
2. Melakukan pembalikan salah satu nilai parameter didalam snort rules agar
didapat pencarian lebih banyak kemungkinan untuk menghasilkan alerts
yang berbeda (Inverting).
Pada
Removing,
parameter
yang
digunakan
adalah
depth
dan
offset.Keyworddepth memungkinkan penulis rule untuk menetapkan seberapa jauh
snort harus mencari pola tertentu dalam sebuah paket. Misalkan (depth:5) akan
memberitahu Snort untuk hanya mencari pola tertentu dalam 5 byte pertama dari
payload. Keywordoffset memungkinkan penulis rule untuk menentukan dimana
memulai melakukan pencarian suatu pola didalam sebuah paket. Misalkan
(offset:5) akan memberitahu Snort untuk mulai mencari pola tertentu setelah 5
byte pertama dalam payload.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
27
Gambar 2.12 Rule pencarian content, depth dan offset
Pada rule diatas menginstruksikan untuk melewati 4 byte pertama dan
mencari “cgi-bin/phf” dalam 20 byte berikutnya. Pada Inverting, parameter yang
digunakan adalah content. Keyword content merupakan salah satu dari fitur
Snort yang cukup penting, memungkinkan untuk mengeset rule yang mencari
konten spesifik dalam payload paket
dan memicu respons bedasarkan data
tersebut. Data opsi untuk keyword content terkadang rumit, karena bisa
mengandung campuran data teks dan binary.
Gambar 2.13 Rule pencarian content
Pada gambar diatas, pengubah “!” melarang hasil dari pencarian seluruh
konten dan disana hanya terdapat 5 byte payload serta tidak ada “A” dalam 5 byte
tersebut, maka hasilnya cocok. Pada gambar diatas, pengubah “!” melarang hasil
dari pencarian seluruh konten dan disana hanya terdapat 5 bytepayload serta tidak
ada “A” dalam 5 byte tersebut, maka hasilnya cocok. (Rafiudin, Rahmat. 2010
“Mengganyang Hacker dengan SNORT” Halaman: 74 - 78 )
2.9.
AWK
AWK adalah bahasa pemrograman yang ditafsirkan untuk pengolahan teks
dan secara khusus dirancang untuk digunakan sebagai alat ekstraksi data dan
pelaporan. Ini adalah fitur standar dari sebagian besar sistem operasi Unix-like.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
28
AWK sangat populer di akhir 1970-an dan 1980-an, tetapi dari tahun 1990-an
sebagian besar telah oleh Perl. AWK diciptakan di Bell Labs pada tahun 1970,
dan namanya berasal dari nama keluarga penulisnya - Alfred Aho, Peter
Weinberger, dan Brian Kernighan. Tujuan pemrograman AWK yaitu untuk
memberikan UNIX suatu tujuan umum bahasa pemrogramn yang dapat
menghandle text (string) semudah mengolah angka – angka. Dan AWK adalah
adalah salah satu fasilitas UNIX yang sangat baik untuk melakukan hal tersebut.
Area proses AWK yaitu proses berdasarkan baris – baris prosesnya. AWK
merupakan suatu standart permograman untuk nawk ( new awk) yang memiliki
fasilitas yang lebih besar dari awk program.
Sumber – sumber input pemrograman AWK yaitu :
a. File – file : input AWK dapat dari file – file yang kita upload kedalam
program untuk dijadikan sebagi input dalamprogram
b. redirection (pembelokan) : input – input yang diberikan dapat dialihkan
sebagai input yang lain.
c. pipes (pipa) : proses pipa dimana output suatu proses akan dijadikan
sebagai input untuk proses yang lain
d. Standart input : input yang berasal dari keybord sebagai input untuk suatu
proses.
(Sumber referensi : http://ms.wikipedia.org/wiki/AWK. 22 Juni 2013
22.04 WIB)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
29
2.10.
IPTables
IPTables merupakan command untuk menentukan sebuah rule-rule
firewall dalam tugasnya menjaga sebuah jaringan. IPTables memiliki tiga fungsi
utama untuk menentukan arah putaran paket data. Ketiga fungsi tersebut yaitu
Packet Filtering, NAT, Packet Mangling. Packet Filtering digunakan untuk
memilah dan memberikan ijin ACCEPT/DROP pada suatu paket data, sedangkan
NAT digunakan untuk mengubah alamat ip sumber atau tujuan dari suatu paket
dalam jaringan, dan untuk Packet Manglilng digunakan untuk memodifikasi paket
QoS (Quality of Service).
IPTables juga memiliki tiga macam daftar aturan
bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall
(firewall chain) atau sering disebut juga chain saja. Ketiga chai
SNORT IDS
SKRIPSI
Diajukan Untuk Memenuhi Per syaratan
Dalam Memperoleh Gelar Sarjana Komputer
J urusan Teknik Infor matika
Disusun Oleh :
WISNU HADI SUWANDONO
NPM. 0934010144
J URUSAN TEKNIK INFORMATIKA
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
2013
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
ANALISA GENERALISASI RULES MENGGUNAKAN
SNORT IDS
SKRIPSI
Disusun Oleh :
WISNU HADI SUWANDONO
NPM. 0934010144
J URUSAN TEKNIK INFORMATIKA
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
2013
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
ANALISA GENERALISASI RULES MENGGUNAKAN
SNORT IDS
SKRIPSI
Diajukan Untuk Memenuhi Per syaratan
Dalam Memperoleh Gelar Sarjana Komputer
J urusan Teknik Infor matika
Disusun Oleh :
WISNU HADI SUWANDONO
NPM. 0934010144
J URUSAN TEKNIK INFORMATIKA
FAKULTAS TEKNOLOGI INDUSTRI
UNIVERSITAS PEMBANGUNAN NASIONAL “VETERAN”
J AWA TIMUR
2013
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
LEMBAR PENGESAHAN
ANALISA GENERALISASI RULES MENGGUNAKAN
SNORT IDS
Disusun Oleh :
Wisnu Hadi Suwandono
0934010144
Telah disetujui mengikuti Ujian Negara Lisan
Periode III Tahun Akademik 2013
Menyetujui,
Pembimbing Utama
Pembimbing Pendamping
I Made Suartana, S.Kom, M.Kom.
Kafi Ramadhani B, S.Kom.
NPT. 3 8904 13 0345 1
Mengetahui,
Ketua Program Studi Teknik Infor matika
Fakultas Teknologi Industri
Univer sitas Pembangunan Nasional “Veteran” J awa Timur
Dr. Ir. Ni Ketut Sari, M.T.
NIP. 19650731 199203 2 001
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
SKRIPSI
ANALISA GENERALISASI RULES MENGGUNAKAN SNORT IDS
Disusun Oleh :
Wisnu Hadi Suwandono
0934010144
Telah dipertahankan dan di terima oleh Tim Penguji Lisan
Program Studi Teknik Infor matika Fakultas Teknologi Industri
Univer sitas Pembangunan Nasional “Veteran” J awa Timur
Pada tanggal : 20 Desember 2013
Pembimbing :
1.
Tim Penguji :
1.
I Made Suartana, S.Kom., M.Kom.
I Gede Susrama, S.T., M.Kom.
NPT. 3 7006 060 211 1
2.
2.
Kafi Ramadhani B, S.Kom.
NPT. 3 8904 13 0345 1
Fetty Tri Anggraeny, S.Kom., M.Kom.
NPT. 3 8202 060 208 1
3.
Henni Endah Wahanani, S.Kom., M.Kom.
NPT. 3 7809 130 348 1
Mengetahui,
Dekan Fakultas Teknologi Industri
Univer sitas Pembangunan Nasional “Veteran” J awa Timur
Ir. Sutiyono, M.T.
NIP. 19600713 198703 1 001
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
KATA PENGANTAR
Assalamu’alaikum Wr. Wb.
Syukur Alhamdulillah atas segala limpahan karunia dan kasih sayang
Allah SWT, sehingga dengan segala keterbatasan waktu, tenaga, dan pikiran yang
dimiliki
oleh
penulis,
GENERALISASI
akhirnya
RULES
skripsi
yang
MENGGUNAKAN
berjudul
SNORT
“ANALISA
IDS“
dapat
terselesaikan sesuai dengan waktu yang telah ditetapkan.
Melalui Skripsi ini, penulis merasa mendapat kesempatan besar untuk
memperdalam ilmu pengetahuan yang diperoleh selama di perkuliahan, terutama
dengan implementasi Teknologi Informasi dalam kehidupan sehari-hari. Namun
demikian penulis menyadari bahwa Skripsi ini masih memiliki banyak kelemahan
dan kekurangan. Oleh karena itu, kritik dan saran yang bersifat membangun
sangatlah diharapkan dari berbagai pihak agar Skripsi ini bisa lebih baik lagi,
sehingga dapat memberikan manfaat bagi semua pihak yang membutuhkannya.
Pada penyusunan Skripsi ini, banyak pihak yang telah memberikan
bantuan baik materiil maupun spiritual ini, sehingga pada kesempatan ini penulis
mengucapkan rasa terima kasih yang sebesar-besarnya kepada:
1. ALLAH SWT dan RASUL-Nya. Alhamdulillah atas segala kelancaran dan
kemudahan yang selalu engkau limpahkan kepada penulis.
2. Ibu Dr.Ir. Ni Ketut Sari,M.T. selaku ketua jurusan Teknik Informatika,
UPN “Veteran” Jawa Timur.
ii
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
3. Bapak I Made Suartana, S.Kom, M.Kom dan Bapak Kafi Ramadhani
Borud, S.Kom. selaku dosen pembimbing . Terimakasih banyak telah
sabar membimbing dan memberi saran yang sangat bermanfaat kepada
penulis.
4. Teman-teman TFC’09, terimakasih selalu meramaikan dan memberi
hiburan disaat dalam kejenuhan.
5. For My Beloved Syilvia Nur Aini Terima kasih atas supportnya,waktu dan
doanya.
6. The last and the best, thanks to my beloved family Ibu, Alm.Ayah, Tante
ku yang selalu menjadi motivasi untuk cepat lulus kuliah.
Serta pihak-pihak lain yang ikut memberikan informasi dan data-data di
dalam menyelesaikan laporan Skripsi ini, penulis mengucapkan terima kasih.
Akhir kata penulis harap agar Skripsi yang disusun sesuai dengan kemampuan
dan pengetahuan yang sangat terbatas ini dapat bermanfaat bagi semua pihak yang
membutuhkan.
Wassalamu’alaikum Wr. Wb
Surabaya, Desember 2013
Penulis
iii
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
DAFTAR ISI
Halaman
ABSTRAK .......................................................... Er ror! Bookmar k not defined.
KATA PENGANTAR ......................................... Er ror! Bookmar k not defined.
DAFTAR ISI ...................................................................................................... iv
DAFTAR TABEL ............................................... Er ror! Bookmar k not defined.
DAFTAR GAMBAR ........................................... Er ror! Bookmar k not defined.
BAB I .................................................................. Er ror! Bookmar k not defined.
PENDAHULUAN ............................................... Er ror! Bookmar k not defined.
1.1
Latar Belakang ................................... Er ror! Bookmar k not defined.
1.2
Rumusan Masalah .............................. Er ror! Bookmar k not defined.
1.3
Batasan Masalah ................................. Er ror! Bookmar k not defined.
1.4
Tujuan ................................................ Er ror! Bookmar k not defined.
1.5
Manfaat .............................................. Er ror! Bookmar k not defined.
1.6
Metodologi Penelitian......................... Er ror! Bookmar k not defined.
1.7
Sistematika Penulisan ......................... Er ror! Bookmar k not defined.
BAB II ................................................................. Er ror! Bookmar k not defined.
TINJAUAN PUSTAKA....................................... Er ror! Bookmar k not defined.
2.1
Penelitian Terdahulu ........................... Er ror! Bookmar k not defined.
iv
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
2.2
Snort IDS ........................................... Er ror! Bookmar k not defined.
2.2.1
Network-based Intrusion Detection System (NIDS) ........... Er ror!
Bookmar k not defined.
2.2.2
Host-based Intrusion Detection System (HIDS)Er ror! Bookmar k
not defined.
2.3
Snort Rules ......................................... Er ror! Bookmar k not defined.
2.3.1
2.4
Rule Header ................................ Er ror! Bookmar k not defined.
Snort Engine ....................................... Er ror! Bookmar k not defined.
2.4.1
Alert ............................................ Er ror! Bookmar k not defined.
2.5
BASE ................................................. Er ror! Bookmar k not defined.
2.6
MySQL Server ................................... Er ror! Bookmar k not defined.
2.7
Php ..................................................... Er ror! Bookmar k not defined.
2.8
Aturan Generalisasi ............................ Er ror! Bookmar k not defined.
2.9
AWK .................................................. Er ror! Bookmar k not defined.
2.10
IPTables ............................................. Er ror! Bookmar k not defined.
2.11
Jenis Serangan SYN flooding attack ... Er ror! Bookmar k not defined.
BAB III................................................................ Er ror! Bookmar k not defined.
METODE DAN PERANCANGAN TUGAS AKHIREr ror!
Bookmar k
not
defined.
3.1
Tahapan dan Cara Penelitian............... Er ror! Bookmar k not defined.
3.2
Rancangan Jaringan Komputer ........... Er ror! Bookmar k not defined.
v
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
3.3
Rancangan Serangan SynFlood........... Er ror! Bookmar k not defined.
3.4
Kebutuhan Sistem............................... Er ror! Bookmar k not defined.
3.5
Perancangan Sistem ............................ Er ror! Bookmar k not defined.
3.5.1
Alur Installasi Snort .................... Er ror! Bookmar k not defined.
3.5.2
Alur Kerja Snort .......................... Er ror! Bookmar k not defined.
3.5.3
Alur Snort IDS ............................ Er ror! Bookmar k not defined.
3.5.4
Alur Aturan Generalisasi ............. Er ror! Bookmar k not defined.
3.5.5
Alur Implementasi Generalisasi Snort RulesEr ror!
Bookmar k
not defined.
3.5.6
Alur Kerja Keseluruhan Sistem ... Er ror! Bookmar k not defined.
3.5.7
Alur Uji Coba Dan Analisa ......... Er ror! Bookmar k not defined.
3.6
Instalasi Sistem Snort IDS .................. Er ror! Bookmar k not defined.
3.6.1
Instalasi Library Pendukung ........ Er ror! Bookmar k not defined.
3.6.2
Instalasi Dan Konfigurasi Snort IDSEr ror!
Bookmar k
not
defined.
3.6.3
Konfigurasi Snort Database ......... Er ror! Bookmar k not defined.
3.6.4
Instalasi BASE (Basic Analyze And Security Engine) ........ Er ror!
Bookmar k not defined.
3.7
Pembuatan Dan Penerapan Generalisasi RulesEr ror! Bookmar k not
defined.
3.7.1
Generalisasi removing ................. Er ror! Bookmar k not defined.
vi
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
3.7.2
Generalisasi Inverting ................. Er ror! Bookmar k not defined.
BAB IV ............................................................... Er ror! Bookmar k not defined.
UJI COBA dan ANALISA ................................... Er ror! Bookmar k not defined.
4.1
Kebutuhan Hardware .......................... Er ror! Bookmar k not defined.
4.2
Kebutuhan Software ........................... Er ror! Bookmar k not defined.
4.3
Uji Coba Serangan .............................. Er ror! Bookmar k not defined.
4.4
4.3.1
Serangan Port Scanning Zenmap . Er ror! Bookmar k not defined.
4.3.2
Serangan Hping3 SynFlood ......... Er ror! Bookmar k not defined.
4.3.3
Scapy SynFlood .......................... Er ror! Bookmar k not defined.
Pengumpulan Alerts ........................... Er ror! Bookmar k not defined.
4.4.1
Merged.alert ................................ Er ror! Bookmar k not defined.
4.4.2
Allow.alert .................................. Er ror! Bookmar k not defined.
4.4.3
Rejected.alert .............................. Er ror! Bookmar k not defined.
4.5
Merangkum Hasil Alert ...................... Er ror! Bookmar k not defined.
4.6
Hasil Perbandingan Rules ................... Er ror! Bookmar k not defined.
BAB V................................................................. Er ror! Bookmar k not defined.
KESIMPULAN DAN SARAN ............................ Er ror! Bookmar k not defined.
5.1
Kesimpulan ........................................ Er ror! Bookmar k not defined.
5.2
Saran .................................................. Er ror! Bookmar k not defined.
DAFTAR PUSTAKA .......................................... Er ror! Bookmar k not defined.
vii
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
viii
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
ANALISA GENERALISASI RULES MENGGUNAKAN SNORT IDS
DOSEN PEMBIMBING I
DOSEN PEMBIMBING II
PENYUSUN
: I MADE SUARTANA, S.Kom, M.Kom
: KAFI RAMADHANI BORUD, S.Kom
: WISNU HADI SUWANDONO
ABSTRAK
Perkembangan teknologi jaringan komputer semakin berkembang, seiring
dengan itu semakin banyak terjadi serangan pada jaringan komputer. Serangan
yang paling sering terjadi adalah Denial of Service (DOS attack), serangan SYN
Flood salah satunya, dimana serangan ini bisa berakibat fatal pada target apabila
dilakukan secara terus menerus.
Salah satu pencegahan yang umum dilakukan adalah dengan
menambahkan Intrusion Detection System (IDS) yang memberikan lapisan
keamanan pada sistem komputer dan jaringan. IDS bertanggung jawab untuk
mendeteksi aktivitas jaringan yang mencurigakan atau tidak dapat diterima pada
sistem yang nantinya akan memberi peringatan (alert) kepada administrator
jaringan. Snort merupakan salah satu IDS yang populer digunakan dan secara
aktif mengembangkan open source yang menggunakan satu set Signature yang
dikenal dengan Snort Rules. Mencocokan pola atau Signature adalah metode yang
digunakan pada IDS untuk mendeteksi serangan yang kemudian akan
menghasilkan alert. Terkadang terdapat beberapa kelemahan dari alert yang
dihasilkan apakah alert menunjukan serangan yang sebenarnya terjadi (true alert)
atau menunjukan serangan yang bukan sebenarnya (false alert).
Dengan menambahkan generalisasi sederhana (removing dan inverting)
pada Snort Rules diharapkan IDS dapat menghasilkan alert yang lebih bervariasi
dan mampu mendeteksi dengan benar serangan yang terjadi khususnya disini
serangan SYN Flood. Terbukti dengan melakukan generalisasi sederhana mampu
meningkatkan akurasi dari alert yang dihasilkan dengan nilai prioritas yang lebih
kecil daripada Snort Rules standart.
Keyword : Deteksi anomali, Intrusioon Detection System, Snort, Snort Rules,
Generalisasi sederhana
i
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
BAB I
PENDAHULUAN
1.1
Latar Belakang
Penggunaan jaringan komputer saat ini semakin meluas tidak hanya
digunakan untuk perorangan tetapi juga dibutuhkan baik untuk organisasi, instansi
ataupun perusahaan. dikarenakan kemudahan untuk saling bertukar data dan
informasi. Terkadang data atau informasi bersifat pribadi dan sangat penting
sehingga diperlukan suatu pengaman tertentu agar tidak jatuh ke pihak yang tidak
bersangkutan. Keamanan jaringan merupakan hal yang harus diperhatikan dalam
membangun suatu jaringan komputer untuk menghindari serangan-serangan dari
pihak yang merugikan. saat ini banyak bermunculan cara dan teknik yang
dilakukan penyusup untuk masuk kedalam suatu jaringan komputer. Hal itu
diperlukan cara pencegahan dengan melakukan pendeteksian serangan secara
awal sehingga meminimalkan resiko dan kemudian dapat melakukan pencegahan
yang tepat. Salah satu contohnya menggunakan Sistem Deteksi Intrusi atau
Intrusion Detection System (IDS) pada jaringan tersebut. Menurut Onno Purbo
(2010), IDS merupakan usaha mengidentifikasi adanya penyusup yang memasuki
sistem tanpa otorisasi (misal cracker) atau seorang user yang sah tetapi
menyalahgunakan (abuse) sumber daya sistem.
IDS bertanggung jawab untuk mendeteksi tindakan atau hal, sistem yang
tidak dapat diterima dan aktivitas jaringan yang mencurigakan. Kemudian IDS
1
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
2
akan memberi peringatan (Alert) kepada Administrator bahwa telah terjadi
serangan didalam jaringan tersebut. Kebanyakan IDS menggunakan satu set tanda
tangan (Signature) yang mendefinisikan bahwa telah terjadi tindakan atau hal
yang mencurigakan dalam network traffic. Salah satu
serangan yang umum
dilakukan adalah serangan SynFlood, SynFlood merupakan serangan dengan cara
mengirimkan paket SYN sebanyak mungkin ke target tanpa mengirimkan paket
ACK,sehingga target tidak dapat lagi memberikan layanan atau menerima request
dari client lain. Serangan seperti ini biasanya dilakukan pada layanan-layanan
terbuka seperti layanan web/HTTP, FTP. Apabila serangan ini dilakukan secara
terus menerus maka target akan bisa mengalami hang atau crash.Snort merupakan
salah satu IDS populeryang banyak digunakan untuk mendeteksi suatu paket
jaringan dan Snort merupakanopen sourcyang aktif melakukan pengembangkan
menggunakan suatuset tanda tangan yang dikenal sebagai aturan Snort (Snort
Rule).
Maka dari itu penulis melakukan Generalisasi Rule Menggunakan SNORT
IDS (Intrusion Detection System)untuk mengidentifikasi cara di mana Snort dapat
dikembangkan lebih lanjut dengan Generalisasi Ruleagar dapat mendeteksi
serangan SynFlood atau bahkan serangan-serangan baru.
1.2
Rumusan Masalah
Berdasarkan dari uraian latar belakang di atas maka dapat dirumuskan
suatu permasalahan.
1. Bagaimana mendeteksi serangan atau intrusi yang akan terjadi
menggunakan Snort IDS.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
3
2. Bagaimana melakukan pola Rule Generalisasi Snort pada Rule standart
untuk dapat mengidentifikasi serangan SynFlood atau bahkan serangan
baru yang terjadi didalam network traffic.
3. Bagaimana menampilkan alert hasil dari generalisasi rule dan melakukan
analisa.
1.3
Batasan Masalah
Dalam melakukan Generalisasi Rule Menggunakan SNORT IDS
(Intrusion Detection System), mempunyai batasan masalah sebagai berikut:
1. Metode Generalisasi yang digunakan adalah generalisasi sederhana yaitu
generalisasi invert (menghilangkan salah satu parameter) dan generalisasi
content (melakukan pembalikan pada nilai atau isi dari
salah satu
parameter).
2. Pendeteksian serangan terbatas pada serangan Denial of Service attacks,
SynFlood attack, IP dan Port scanning.
3. Data Paket Jaringan yang digunakan adalah data paket yang berhasil di-log
oleh SNORT.
4. Pada penelitian tugas akhir ini parameter rules snort yang digunakan
untuk generalisasi rule adalah :
a) Depth
b) Offset
c) Content
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
4
1.4
Tujuan
Tujuan dari Tugas Akhir ini adalah :
1. Mengerti dan memahami jenis-jenis serangan pada serangan Denial of
Service attacks, SynFlood attack, IP dan Port scanning.
2. Memahami dan mampu mengaplikasikan Generalisasi Rule Menggunakan
SNORT IDS (Intrusion Detection System)untuk mengidentifikasi serangan
SynFlood dan serangan-serangan baru.
1.5
Manfaat
Manfaat dari Tugas Akhir ini adalah :
1. Meminimalisir adanya kesalahan dan celah keamanan dari sebuah sistem
jaringan komputer.
2. Meminimalisir kesalahan Alert yang dihasilkan dari IDS.
3. Mengamankan jaringan komputer berbasis client-server menggunakan
debian server agar dapat melakukan pencegahan yang sesuai bedasarkan
serangan yang terjadi.
1.6
Metodologi Penelitian
Langkah-langkah yang dilakukan untuk pembuatan Tugas Akhir ini dibagi
menjadi beberapa tahapan, sebagai berikut:
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
5
a) Studi Literatur
Pada tahap ini dilakukan studi literatur terhadap konsep dan
metode ysng akan digunakan dan pengumpulan data-data yang
dibutuhkan.
b) Menetapkan definisi kebutuhan
Pada tahap ini dilakukan pendefinisian terhadap kemampuan
perangkat lunak yang akan dirancang dan batasan-batasannya.
c) Perancangan Sistem
Pada tahap ini dilakukan Perancangan model jaringan, simulasi
serangan, analisa kebutuhan sistem, penyediaan Hardware dan Software
pendukung dan perancangan kerja sistem.
d) Implementasi Sistem
Pada tahap ini dilakukan pengimplementasian Instalasi, konfigurasi
dan pengetesan kerja sistem.
e) Uji coba dan Analisa
Pada tahap ini dilakukan uji coba dan analisa terhadap sistem
dengan melakukan penyerangan dan kemudian membandingkan hasil dari
pendeteksian sistem.
f) Penyusunan Naskah Tugas Akhir
Pada tahap ini dilakukan penulisan naskah, dimana didalamnya
menjelaskan teori yang dipergunakan serta penyusunan laporan.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
6
1.7
Sistematika Penulisan
Sistematika penulisan Tugas Akhir (TA) ini akan membantu mengarahkan
penulisan laporan agar tidak menyimpang dari batasan masalah yang dijadikan
sebagai acuan atau kerangka penulisan dalam mencapai tujuan penulisan laporan
Tugas Akhir (TA) sesuai dengan apa yang diharapkan. Tugas Akhir (TA) ini
terbagi dalam V Bab, yaitu :
BAB I
PENDAHULUAN
Pendahuluan ini berisi mengenai gambaran umum tentang latar belakang
masalah, perumusan masalah, batasan masalah, tujuan, manfaat, metodologi
penelitian dan sistematika penulisan.
BAB II
TINJ AUAN PUSTAKA
Tinjauan pustaka ini berisi tentang gambaran umum objek pekerjaan
pengertian - pengertian dasar dan teori - teori yang berhubungan dengan masalah
yang akan di bahas dalam Tugas Akhir (TA) ini sebagai landasan bagi pemecahan
yang di usulkan.
BAB III
METODOLOGI PENELITIAN
Metodologi Penelitian ini berisi tentang perencanaan, analisa kebutuhan
sistem dan perancangan sistem.
BAB IV
HASIL DAN PEMBAHASAN
Hasil dan Pembahasan ini berisi tentang pembuatan sistem, hasil dan
pembahasan mengenai pendeteksi serangan atau intrusi yang akan terjadi dan
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
7
pengenalan pola terhadap penyerangan menggunakan aturan generalisasi untuk
meng-generalisasi Snort Rules agar dapat mendeteksi serangan baru
BAB V
KESIMPULAN DAN SARAN
Berisi tentang kesimpulan yang di peroleh dari hasil pengana-lisaan data
dari bab-bab sebelumnya. Dimana berisi tentang saran-saran yang diharapkan
dapat bermanfaat dan dapat membangun serta mengembangkan isi laporan
tersebut sesuai dengan tujuan penulisan Laporan Tugas Akhir (TA).
LAMPIRAN
DAFTAR PUSTAKA
Pada bagian ini akan dipaparkan tentang sumber-sumber literatur yang
digunakan dalam pembuatan laporan tugas akhir ini.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
BAB II
TINJ AUAN PUSTAKA
Pada bab II ini akan dibahas beberapa teori dasar untuk menunjang
penyelesaian tugas akhir ini, antara lain: Penelitian terdahulu, Snort IDS, Snort
Rules,
SnortEngine,
Alert,
BASE,
MySql
Server,
PHP,
Generalisasi,
Pemrograman AWK, Iptables dan Jenis Serangan SYN floodingattack.
2.1.
Penelitian Terdahulu
Penelitian yang dilakukan oleh Uwe Aickelin, Jamie Twycross and
Thomas Hesketh-Roberts (2008) yang berjudul “Rule Generalisation in Intrusion
Detection Systems using SNORT”.
Penelitian ini
menunjukkan bagaimana,
menggunakan generalisasi sederhana, Alert Rules dapat dimodifikasi untuk
muncul varian baru dari serangan lama. Dengan menggunakan metode ini mampu
mengidentifikasi Rules yang memiliki kriteria yang ketat dan juga menemukan
varian baru dari Trojan yang dikenal.Saat ini hanya lapisan permukaan pada paket
jaringan saja yang bisa dikenali pencocokan generalisasi Rules NIDS dan sulit
untuk membuat kesimpulan yang pasti. Namun beberapa pencocokan yang tidak
biasa dari generalisasi Rules menjelaskan bagaimana melakukan generalisasi
dengan bantuan Snort atau memang ada NIDS dalam menemukan serangan
terdefinisi. Berbagai teknik-teknik telah diteliti, dikembangkan dan dianalisis
8
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
9
yang sebagian besar menemukan sejumlah peringatan palsu. sekali tanda tersebut
dieliminasi, beberapa Alerts berpotensi dapat dikenali.
Penelitian yang dilakukan oleh Bambang Wijanarko (2009) yang berjudul
“Algoritma fuzzy sebagai metode pengenal pola serangan pada jaringan berbasis
snort”. Penelitian ini menunjukan bahwa mencocokan pola atau signature adalah
metode yang paling umum untuk mendeteksi serangan dan ini berarti IDS harus
mampu mengenali setiap teknik serangan. IDS memiliki database yang besar
dengan ribuan signature yang memunkinkan IDS mencocokan signature atau pola
serangan.Respon otomatis yang biasanya dilakukan adalah memberikan alert,
logging , atau mengirim email. Kelemahan respon otomatis yang umum adalah
terjadinya respon terhadap false negative dan false positive. Adalah penting untuk
memahami mengapa signature memicu dan mengidentifikasi true dari false
positive. Penggunaan algoritma fuzzy sebagai metode pembacaan signature atau
pola tertentu dari suatu paket serangan yang umum. Hasil dari pengujian data
real-time di jaringan dan data serangan akan didefinisikan, sehingga nantinya
dengan pengunaan algoritma fuzzy ini dapat mendeteksi setiap jenis serangan
baru dalam range yang lebar dan membantu mengeliminasi false positive atau
false negative.
Dari beberapa penelitian yang telah diuraikan, dapat disimpulkan bahwa
penggunaan Snort dalam memantau dan mengamankan suatu jaringan komputer
dapat lebih ditingkat keakuratan dalam mengenali suatu serangan hingga dapat
mengenali serangan baru dan meminimalkan kesalahan dalam memberikan alerts.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
10
2.2.
Snort IDS
Gambar 2.1 Bagian-bagian IDS
Intrusion Detection System adalah sebuah aplikasi perangkat lunak atau
perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam
sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas
inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan
mencari bukti dari percobaan intrusion(penyusupan). ada dua jenis dari IDS,
yaitu:
1.2.1 Networ k-based Intrusion Detection System (NIDS)
Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis
untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam
sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan
penting di mana server berada atau terdapat pada "pintu masuk" jaringan.
Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
11
dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun
beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di
dalam switch buatannya untuk memonitor port atau koneksi. contoh:
melihat adanya network scanning.
1.2.2 Host-based Intrusion Detection System (HIDS)
Aktivitas sebuah host jaringan individual akan dipantau apakah
terjadi keanehan atau sesuatu yang tidak wajar, seperti sebuah percobaan
serangan atau penyusupan ke dalamnya atau tidak (anomali). HIDS
seringnya diletakkan pada server-server kritis di jaringan, seperti halnya
firewall, web server, atau server yang terkoneksi ke Internet
Gambar 2.2 Anomali deteksi serangan
(Sumber: http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
12
Seperti pada gambar 2.2. IDS melakukan deteksi gangguan
keamanan dengan melihat Anomali pada jaringan. Anomali dapat
dijelaskan sebagai traffic atau aktivitas yang tidak sesuai dengan kebijakan
yang dibuat (policy). Contoh Anomali yang dijelaskan sebagai traffic/
aktivitas yang tidak sesuai dengan policy, adalah:
a. Akses dari atau menuju ke host yang terlarang.
b. Memllki Content atau Pattern yang terlarang (virus).
c. Menjalankan program yang terlarang.
SNORT merupakan salah satu contoh program dari NIDS yang
bersifat open source dimana dapat memantau dan mendeteksi apabila
terjadi tindakan penyusupan pada sebuah jaringan komputer. salah satu
kelebihannya adalah mampu mengirimkan alert dari mesin Unix atupun
Linux ke platform Microsoft Windows dengan melalui SMB. Snort dapat
berkerja dalam 3 mode:
a. sniffer mode (penyadap), Untuk melihat paket yang lewati jaringan
komputer dimana snort diletakkan.
b. packet logger, Untuk melakukan pencatatan semua paket yang
lewat di jaringan untuk disimpan ke dalam disk untuk kemudian
dianalisa.
c. network intrusion detection mode, Pada mode ini snort akan
berfungsi untuk mendeteksi serangan yang dilakukan melalui
jaringan komputer. Untuk menggunakan mode IDS ini di perlukan
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
13
setup dari berbagai rules / aturan yang akan membedakan sebuah
paket normal dengan paket yang membawa serangan.
Tentunya mode kerja yang akan digunakan dalam membangun
sistem pencegahan penyusupan dalam mode kerja network intrusion
dection. Penyusupan (intrusion) didefinisikan sebagai kegiatan yang
bersifat anomaly, incorrect atau inappropriate yang terjadi di jaringan atau
di host. Komponen-komponen Snort IDS meliputi:
a. Snort Rules
b. Snort Engine
c. Alert
(Sumber referensi:Sistem deteksi intrusi,
http://id.wikipedia.org/wiki/Sistem_deteksi_intrusi. 18 Juni 2013, 14.46
WIB)
2.3.
Snort Rules
Merupakan database yang berisi pola-pola serangan berupa Signature
jenis-jenis serangan. Rule Snort IDS ini, harus diupdate secara rutin agar ketika
ada suatu teknik serangan yang baru sehingga serangan tersebut dapat terdeteksi.
kebanyakan rule snort ditulis dalam satu baris (single line). Aturan Snort dibagi
menjadi dua bagian logis, Rule Headersdan Rule Options. Rule Headers berisi
Actions Rule, Protocols, Source dan Destination IP Address dan netmasks, dan
Source dan Destination Port sedangkan Rule Options berisi Alert Message dan
informasi di bagian mana dari paket harus diperiksa untuk menentukan apakah
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
14
tindakan aturan harus diambil.( Chapter 7 • Playing by the Rules, Snort Intrusion
Detection and Prevention Toolkit, 2007 : 302)
Gambar 2.3 Contoh sederhana Snort Rule
1.3.1 Rule Header
Rule Header berisi dari beberapa bagian yang memiliki tugas dan
fungsi masing-masing, diantaranya adalah: Action Rule, Protocols, IP
Address, Ports Numbers, Direction Operator, Activate/Dynamic Rules
dan Rule Options.
2.3.1.1.
Actions Rule
berisi informasi yang mendefinisikan siapa, di mana, dan
apa isi dari sebuah paket, serta apa yang harus dilakukan dalam hal
paket dengan semua atribut ditunjukkan dalam aturan harus muncul.
Dengan kata lain tindakan pertama dalam Action Rule adalah
membertitahukan kepada snort apa yang harus dilakukan oleh snort
ketika menemukan paket yang sesuai dengan criteria rule yang ada.
Ada lima actions yang terdapat didalam snort yaitu alert, log, pass,
active dan dynamic. Jika kita menjalankan snort dalam mode inline
maka kita memiliki pilihan tambahan yang meliputi include drop,
reject dan sdrop.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
15
-
Alert : menghasilkan peringatan dengan menggunakan metode
peringatan yang dipilih, dan kemudian mencatat paket.
-
Log : Mencatat paket yang ada.
-
Pass : Mengabaikan paket.
-
Activate : Waspada dan kemudian menghidupkan aturan lain
Dynamic Rule.
-
Dynamic : Tetap diam sampai diaktifkan oleh Active rule,
kemudian bertindak sebagai Log rule.
-
Drop : Memblokir dan mencatat paket.
-
Reject : Memblokir paket, mencatat paket, dan kemudian
mengirim ulang jika TCP protokol adalah TCP atau ICMP port
unreachable.
-
Message : jika protokol yang digunakan adalah UDP.
-
Sdrop : Memblokir paket tetapi tidak mencatatnya.
2.3.1.2.
Protocols
Bagian berikutnya dalam sebuah Rule Header adalah
protokol. Ada empat protokol yang Snort gunakan saat menganalisis
perilaku yang mencurigakan, yaitu: TCP, UDP, ICMP, dan IP. Di
masa depan mungkin ada lebih seperti ARP, IGRP, GRE, OSPF, RIP,
IPX, dll.
2.3.1.3.
IP Addr ess
Bagian berikutnya dari Rule Header adalah Alamat IP dan
informasi port untuk aturan tertentu. Penulisan alamat IP pada snort
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
16
rule bisa ditulis dengan alamat IP secara lengkap beserta netmasknya
dan nilai CIDR atau menggunakan kata kunci “Any” untuk
menentukan banyak alamat IP. Ada penggunaan operator yang dapat
diterapkan ke alamat IP yaitu, operator negasi. Operator ini
memberitahu Snort untuk menyesuaikan Alamat IP kecuali yang
ditunjukkan oleh alamat IP yang terdaftar. Operator negasi ditandai
dengan!. Sebagai contoh, kemudahan modifikasi dengan contoh awal
adalah untuk membuatnya waspada pada setiap lalu lintas yang
berasal dari luar jaringan lokal dengan operator negasi seperti yang
ditunjukkan pada Gambar 2.2.
Gambar 2.4 Contoh IP Address Dengan Aturan Negasi.
2.3.1.4.
Ports Number s
Nomor port dapat ditentukan dengan berbagai cara,
termasuk penggunaan semua port, definisi port statis, rentang port dan
dengan negasi. Port statis ditandai dengan nomor port tetap, seperti
111 untuk portmapper, 23 untuk telnet, atau 80 untuk http, dll.
Penulisan nomor port juga bisa dilakukan dengan menggunakan port
range dimana telah ditentukan batasan dalam port, contoh 1:1024
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
17
Gambar 2.5 Contoh Penulisan Port Range
2.3.1.5.
Direction Operator
Direction Operator “->” menunjukkan orientasi, atau arah
dari lalu lintas terhadap aturan yang berlaku. Alamat IP dan nomor
port di sisi kiri dari operator arah dianggap lalu lintas yang datang dari
sumber host ( source host ) dan alamat beserta informasi port pada sisi
kanan operator adalah host tujuan ( destination host). Ada juga
Operator dua arah bidirectional operator, yang ditandai dengan
simbol“”. Ini memberitahu Snort untuk mempertimbangkan alamat
/ pasangan port baik dalam sumber atau orientasi tujuan. bidirectional
operator berguna untuk merekam / menganalisis kedua sisi percakapan
suatu, seperti telnet atau sesi POP3. Sebuah contoh dari operator
bidirectional sedang digunakan untuk merekam kedua sisi dari sesi
telnet seperti pada contoh gambar 2.4.
Gambar 2.6 Contoh Bidirectional Operator
2.3.1.6.
Activate/Dynamic Rules
Activate/Dynamic Rules memberikan Snort kemampuan
yang kuat karena memiliki satu aturan untuk mengaktifkan aturan lain
ketika berjalan/berlaku untuk sejumlah set paket. Hal ini sangat
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
18
berguna jika ingin mengatur Snort untuk melakukan tindakan
pencatatan/perekaman ketika salah satu rule dimatikan. Activate Rules
bertindak seperti Alert Rule, kecuali mereka memiliki * required *
Opsi yang telah ditentukan. bidang: mengaktifkan. Dynamic Rules
bertindak seperti Log Rule, tetapi mereka memiliki perbedaan bidang
opsi yaitu pengaktifannya.
ActivateRule
seperti
sebuah
peringatan
tetapi
juga
memberitahu Snort untuk menambahkan aturan ketika peristiwa
jaringan tertentu terjadi. Dynamic Rule sama seperti halnya Log Rule
kecuali DynamicRule diaktifkan ketika Activate Rule id padam.
Gambar 2.7 Activate/Dynamic Rules
2.3.1.7.
Rule Options
Membentuk
inti dari
mesin
deteksi
intrusi
Snort,
menggabungkan kemudahan penggunaan dengan kekuatan dan
fleksibilitas. semua Rule Option Snort terpisah satu sama lain
menggunakan koma (;) karakter. Kata kunci Rule Option dipisahkan
dari argumen mereka dengan titik dua (:) karakter. Ada empat kategori
utama dalam Rule option, antara lain:
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
19
a. General, Opsi ini memberikan informasi tentang aturan tapi
tidak
punya
pengaruh
apapun
selama
pendeteksian
berlangsung.
b. Payload, Opsi ini untuk mencari semua data di dalam payload
paket dan dapat saling berhubungan.
c. Non-payload, Opsi ini untuk mencari data diluar payload.
d. Post-detection, Opsi ini sebagai pemicu spesifik aturan yang
terjadi setelah aturan telah "dimatikan".
(Chapter 7 • Playing by the Rules, Snort Intrusion Detection and
Prevention Toolkit, 2007 : 302-305).
2.4.
Snort Engine
Snort Engine merupakan program yang berjalan sebagai daemon proses
yang selalu bekerja untuk membaca paket data dan kemudian membandingkannya
dengan rule Snort. Dalam sistem Linux, untuk mendeteksi apakah snort engine
dalam keadaan aktif atau tidak dengan melihat prosesnya seperti contoh di bawah
ini.
Gambar 2.8 Snort Engine
(Sumber : Hartono Puji, 2006. Sistem Pencegahan Penyusupan pada Jaringan
berbasis Snort IDS dan IPTables Firewall: 10)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
20
Gambar diatas menunjukkan bahwa snort engine dalam keadaan aktif
dengan proses ID 3060 dan dijalankan oleh user ”root”. (Sumber referensi :
Hartono Puji, 2006: 10)
1.4.1 Alert
Alert merupakan hasil output pada sistem deteksi penyusupan yang
berisi tentang catatan serangan yang terjadi. Snort engine akan
mencocokan
paket data yang melewati jaringan, apabila
terdapat
kecocokan dengan rules yang telah ditentukan sebelumnya maka akan
dianggap sebagai serangan, maka snort engine akan mengirimkan alert
berupa log file.
Gambar 2.9 Sistem Deteksi Snort
(Sumber : Chapter 4, Introducing snort. How to Cheat at Configuring Open
Source Security Tools. 2007: 192)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
21
Untuk kebutuhan analisa, alert dapat disimpan di dalam database,
sebagai contoh ACID (Analysis Console for Intrusion Databases) sebagai
modul tambahan pada Snort. Contoh alert sebagai berikut :
Gambar 2.10 Snort Alert
Contoh alert di atas merupakan alert ketika terdapat paket data
dalam ukuran besar dari IP Address 10.1.4.113 ke 10.1.3.126 yang
dianggap sebagai serangan oleh Snort karena pola paket data tersebut
terdapat dalam rule Snort.
2.5.
BASE
merupakan (Basic Analysis and Security Engine). Hal ini didasarkan pada
kode dari Konsol Analisis untuk DatabaseIntrusion (ACID) proyek. Aplikasi ini
menyediakan web front-end untuk query dan menganalisa alert yang berasal dari
sistem IDS Snort. BASE adalah antarmuka web untuk melakukan analisis
gangguan yang telah terdeteksi oleh snort pada suatu jaringan. Base menggunakan
otentikasi pengguna dan sistem peran-base, sehingga sebagai admin keamanan
dapat memutuskan apa dan bagaimana informasi setiap pengguna dapat di lihat.
BASE memiliki kemudahan untuk digunakan, program pengopersian berbasis
web memudahkan
orang yang tidak nyaman dengan mengedit file secara
langsung.BASE menawarkan panduan untuk membantu pengguna yang baru
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
22
terhadap desain basis data (atau baru terhadap BASE) untuk membuat Tabel,
Query, Form, dan Report, bersama dengan sekumpulan definisi tabel yang sudah
didefinisikan untuk melacak Asset, Konsumen, Penjualan, Invoice, dan banyak
lagi. Ketika hanya memerlukan basis data personal, BASE menawarkan mesin
basis data relasional HSQL, dikonfigurasi untuk pengguna tunggal, dengan data
tersimpan pada dokumen BASE, beserta dengan dukungan native untuk dokumen
dBase.
Untuk kebutuhan yang lebih besar, BASE mendukung berbagai basis data
yang populer secara native: MySQL, Adabas D, Microsoft Access, dan
PostgreSQL Sebagai tambahan, dukungan untuk driver standar JDBC dan ODBC
juga mengijinkan untuk terhubung secara virtual pada sembarang basis data yang
ada. BASE terintegrasi dengan aplikasi OpenOffice.org yang lain, misalnya
1. menyediakan data buku alamat untuk mail merge pada WRITER
menggunakan standar industri protokol LDAP, atau format buku alamat
yang umum seperti Microsoft Outlook, Microsoft Windows dan Mozilla.
2. membuat jangkauan data yang terhubung pada dokumen CALC untuk
analisa data pilot atau sebagai dasar untuk bagan.
(Sumber referensi: http://base.secureideas.net/about.php. 22 Juni 2013, 18.22
WIB)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
23
Gambar 2.11 Tampilan BASE
2.6.
MySQL Server
MySQL adalah sebuah implementasi dari sistem manajemen basisdata
relasional (RDBMS) yang didistribusikan secara gratis dibawah lisensi GPL
(General Public License). Setiap pengguna dapat secara bebas menggunakan
MySQL, namun dengan batasan perangkat lunak tersebut tidak boleh dijadikan
produk turunan yang bersifat komersial. MySQL sebenarnya merupakan turunan
salah satu konsep utama dalam basisdata yang telah ada sebelumnya; SQL
(Structured Query Language). SQL adalah sebuah konsep pengoperasian basis
data, terutama untuk pemilihan atau seleksi dan pemasukan data, yang
memungkinkan
pengoperasian
data
dikerjakan
dengan
mudah
secara
otomatis.Kehandalan suatu sistem basisdata (DBMS) dapat diketahui dari cara
kerja pengoptimasi-nya dalam melakukan proses perintah-perintah SQL yang
dibuat oleh pengguna maupun program-program aplikasi yang memanfaatkannya.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
24
Sebagai peladen basis data, MySQL mendukung operasi basisdata transaksional
maupun operasi basisdata non-transaksional. Pada modus operasi nontransaksional, MySQL dapat dikatakan unggul dalam hal unjuk kerja
dibandingkan perangkat lunak peladen basisdata kompetitor lainnya. Namun
demikian pada modus non-transaksional tidak ada jaminan atas reliabilitas
terhadap data yang tersimpan, karenanya modus non-transaksional hanya cocok
untuk jenis aplikasi yang tidak membutuhkan reliabilitas data seperti aplikasi
blogging berbasis web (wordpress), CMS, dan sejenisnya. Untuk kebutuhan
sistem yang ditujukan untuk bisnis sangat disarankan untuk menggunakan modus
basisdata transaksional, hanya saja sebagai konsekuensinya unjuk kerja MySQL
pada modus transaksional tidak secepat unjuk kerja pada modus nontransaksional.
(Sumber referensi: http://id.wikipedia.org/wiki/MySQL, 22 Juni 2013. 19.47
WIB)
2.7.
Php
PHP Hypertext Preprocessor atau biasa disebut PHP adalah. bahasa
pemrograman yang digunakan secara luas untuk penanganan pembuatan dan
pengembangan sebuah situs web dan bisa digunakan bersamaan dengan HTML.
Bahasa Pemrogramman PHP memiliki file extensi *.php dan tidak bisa di access
secara langsung tanpa adanya sebuah web server. Syntax-Syntax PHP diawali dan
di akhiri dengan atau . Syntax PHP juga dapat di sisipkan
pada tag-tag html. File PHP yang ditempatkan pada file yang ber-extensi *.html
tidak akan di eksekusi atau tidak bisa di access.Pembuatan variable pada PHP
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
25
diawali dengan simbol $ (dolar), jika simbol tersebut tidak ada maka variabel
tersebut tidak akan dapat di eksekusi atau error. Misalnya : $nama != nama
variable $nama pasti akan di kenali oleh program, namun sebaliknya variable
nama tidak akan di eksekusi oleh program karena tidak di kenali, dan tidak
andanya symbol $ (dolar). PHP juga membunyai banyak tipe data antara lain
Integer, String, Float, Double dan tipe data yang lainnya. PHP juga memiliki
statement atau disebut juga dengan baris perintah. Baris perintah itu sendiri yaitu
suatu syntax yang terdiri dari satu line yang di akhiri dengan ; (titik koma). Jika
tidak diakhiri dengan ; (titik koma) maka akan terjadi error pada statement
tersebut. Jika anda mempunyai sebuah variable yang digunakan untuk
menampung value yang bertipe String maka harus diberi tanda " " (petik dua 2x).
Namun jika tidak bertipe String maka tidak perlu diberi " " (petik dua 2x) [4].
Berikut ini adalah contoh penulisan syntax PHP:
atau
Output Pada Web Browser akan tampil seperti ini:
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
26
Hallo Nama Saya Muhammad (sulaeman, dede : 2009, 1-5)
2.8.
Aturan Generalisasi
Tujuan dari pembuatan aturan generalisasi adalah menghasilkan rules baru
dari rules original Snort agar didapat variasi alerts yang dihasilkan dari
pembacaan suatu paket jaringan. Dengan kondisi yang telah ditentukan :
1. Melakukan penghapusan salah satu parameter didalam snort rules agar
didapat lebih banyak kemungkinan paket akan cocok dengan generalisasi
rules (Removing).
2. Melakukan pembalikan salah satu nilai parameter didalam snort rules agar
didapat pencarian lebih banyak kemungkinan untuk menghasilkan alerts
yang berbeda (Inverting).
Pada
Removing,
parameter
yang
digunakan
adalah
depth
dan
offset.Keyworddepth memungkinkan penulis rule untuk menetapkan seberapa jauh
snort harus mencari pola tertentu dalam sebuah paket. Misalkan (depth:5) akan
memberitahu Snort untuk hanya mencari pola tertentu dalam 5 byte pertama dari
payload. Keywordoffset memungkinkan penulis rule untuk menentukan dimana
memulai melakukan pencarian suatu pola didalam sebuah paket. Misalkan
(offset:5) akan memberitahu Snort untuk mulai mencari pola tertentu setelah 5
byte pertama dalam payload.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
27
Gambar 2.12 Rule pencarian content, depth dan offset
Pada rule diatas menginstruksikan untuk melewati 4 byte pertama dan
mencari “cgi-bin/phf” dalam 20 byte berikutnya. Pada Inverting, parameter yang
digunakan adalah content. Keyword content merupakan salah satu dari fitur
Snort yang cukup penting, memungkinkan untuk mengeset rule yang mencari
konten spesifik dalam payload paket
dan memicu respons bedasarkan data
tersebut. Data opsi untuk keyword content terkadang rumit, karena bisa
mengandung campuran data teks dan binary.
Gambar 2.13 Rule pencarian content
Pada gambar diatas, pengubah “!” melarang hasil dari pencarian seluruh
konten dan disana hanya terdapat 5 byte payload serta tidak ada “A” dalam 5 byte
tersebut, maka hasilnya cocok. Pada gambar diatas, pengubah “!” melarang hasil
dari pencarian seluruh konten dan disana hanya terdapat 5 bytepayload serta tidak
ada “A” dalam 5 byte tersebut, maka hasilnya cocok. (Rafiudin, Rahmat. 2010
“Mengganyang Hacker dengan SNORT” Halaman: 74 - 78 )
2.9.
AWK
AWK adalah bahasa pemrograman yang ditafsirkan untuk pengolahan teks
dan secara khusus dirancang untuk digunakan sebagai alat ekstraksi data dan
pelaporan. Ini adalah fitur standar dari sebagian besar sistem operasi Unix-like.
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
28
AWK sangat populer di akhir 1970-an dan 1980-an, tetapi dari tahun 1990-an
sebagian besar telah oleh Perl. AWK diciptakan di Bell Labs pada tahun 1970,
dan namanya berasal dari nama keluarga penulisnya - Alfred Aho, Peter
Weinberger, dan Brian Kernighan. Tujuan pemrograman AWK yaitu untuk
memberikan UNIX suatu tujuan umum bahasa pemrogramn yang dapat
menghandle text (string) semudah mengolah angka – angka. Dan AWK adalah
adalah salah satu fasilitas UNIX yang sangat baik untuk melakukan hal tersebut.
Area proses AWK yaitu proses berdasarkan baris – baris prosesnya. AWK
merupakan suatu standart permograman untuk nawk ( new awk) yang memiliki
fasilitas yang lebih besar dari awk program.
Sumber – sumber input pemrograman AWK yaitu :
a. File – file : input AWK dapat dari file – file yang kita upload kedalam
program untuk dijadikan sebagi input dalamprogram
b. redirection (pembelokan) : input – input yang diberikan dapat dialihkan
sebagai input yang lain.
c. pipes (pipa) : proses pipa dimana output suatu proses akan dijadikan
sebagai input untuk proses yang lain
d. Standart input : input yang berasal dari keybord sebagai input untuk suatu
proses.
(Sumber referensi : http://ms.wikipedia.org/wiki/AWK. 22 Juni 2013
22.04 WIB)
Hak Cipta © milik UPN "Veteran" Jatim :
Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
29
2.10.
IPTables
IPTables merupakan command untuk menentukan sebuah rule-rule
firewall dalam tugasnya menjaga sebuah jaringan. IPTables memiliki tiga fungsi
utama untuk menentukan arah putaran paket data. Ketiga fungsi tersebut yaitu
Packet Filtering, NAT, Packet Mangling. Packet Filtering digunakan untuk
memilah dan memberikan ijin ACCEPT/DROP pada suatu paket data, sedangkan
NAT digunakan untuk mengubah alamat ip sumber atau tujuan dari suatu paket
dalam jaringan, dan untuk Packet Manglilng digunakan untuk memodifikasi paket
QoS (Quality of Service).
IPTables juga memiliki tiga macam daftar aturan
bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall
(firewall chain) atau sering disebut juga chain saja. Ketiga chai