Desain dan Analisis Rules Snort NIDS pada Local Area...

1

1. Pendahuluan

Keamanan jaringan merupakan hal yang penting untuk diperhatikan

mengingat semakin banyaknya ancaman terhadap integritas data pada suatu

jaringan komputer. Bentuk ancaman kian beragam dan berpeluang untuk

mengancam instansi apapun termasuk sekolah. Untuk itu dibutuhkan sebuah

sistem yang dapat mendeteksi ancaman sebagai tindakan perlindungan jaringan

dan data yang ada di dalamnya. Salah satu bentuk sistem ini adalah Intrusion

Detection System.

IDS (Intrusion Detection System) merupakan sistem yang mampu

mendeteksi dan menganalisa paket-paket data berbahaya yang melewati jaringan

secara real time. Terdapat dua jenis teknik IDS dalam mendeteksi serangan yaitu

signature based dan anomaly based. Signature based mendeteksi dengan cara

mecocokkan pola serangan pada signature yang tersimpan dalam database.

Sedangkan anomaly based membandingkan kebiasaan jaringan normal dengan

aktivitas baru yang mencurigakan pada jaringan.

Tools IDS yang paling banyak digunakan dan telah menjadi standar industri

adalah snort. Snort bersifat open source dan available pada banyak platform.

Akan tetapi, snort juga memiliki keterbatasan seperti yang terjadi pada Local Area

Network SMK Telekomunikasi Tunas Harapan, tempat dilakukannya penelitian

ini.

Untuk itu perlu diadakannya penelitian untuk mendesain dan menganalisis

rules snort NIDS untuk mengatasi permasalahan yang terjadi pada Local Area

Network SMK Telekomunikasi Tunas Harapan.

2. Tinjauan Pustaka

Penelitian yang berjudul “Aplikasi Web Untuk Metode Fuzzy Neural

Network Pada Intrusion Detection System Berbasis Snort”. Dalam penelitian ini

mengimplementasikan snort IDS dan menerapkan algoritma fuzzy neural network

dengan mengklasifikasikan serangan menjadi 3 kategori yaitu normal, high, dan

critical. Dilakukan dua kali percobaan yaitu membandingkan metode fuzzy neural

network dengan snort serta membandingkan metode fuzzy dan fuzzy neural

network dalam mendeteksi serangan[1].

Penelitian terdahulu yang lainnya berjudul “Deteksi Anomali Untuk

Identifikasi Botnet Kraken dan Conficker menggunakan Pendekatan Rule Based”.

Melakukan analisa berdasarkan parameter destination port, byte size, dan protokol

untuk mengidentifikasikan serangan kraken dan conficker[2].

Perbedaan dengan penelitian ini adalah menganalisa pola serangan dan pola

trafik Local Area Network SMK Telekomunikasi Tunas Harapan dengan beberapa

parameter serangan yaitu source address, protokol, byte size, interval waktu dan

bandwidth/detik. Berdasarkan nilai keterikatan antar parameter tersebut, maka

dapat dilakukan pendekatan rule sebagai solusi yang tepat dan sesuai dengan

Local Area Network SMK Telekomunikasi Tunas Harapan.

Intrusion Detection System (IDS) merupakan perangkat keras atau perangkat

lunak yang dapat mendeteksi aktivitas mencurigakan pada sebuah sistem atau

jaringan secara real time. Menurut (Dony Ariyus, 2005) intrusion detection

2

system memiliki 3 jenis, yaitu host based, network based, dan hybrid based [3].

IDS memiliki dua cara kerja dalam mendeteksi serangan. Pendekatan yang sering

digunakan untuk mengenali serangan yaitu anomaly detection dan signature

detection. Anomaly detection merupakan mengidentifikasi perilaku yang tidak

lazim dalam host atau network. Kelebihan anomaly detection adalah dapat

mengenali tipe-tipe serangan terbaru karena anomaly mempelajari tingkah laku

sistem, maka ketika ada kebiasaan baru yang mencurigakan, anomaly akan

mendeteksinya sebagai serangan. Anomaly detection juga memiliki kekurangan

yaitu adanya tingkat false positive yang tinggi. Cara kerja IDS yang kedua adalah

signature detection, yaitu mencocokkan pola serangan yang melewati jaringan

dengan signature yang tersimpan dalam database. Signature detection memiliki

tingkat deteksi false positive yang rendah akan tetapi akan sulit mendeteksi

serangan terbaru jika signature tidak diupdate secara berkala.

Snort merupakan suatu aplikasi open source yang berfungsi untuk

memeriksa data-data yang masuk dan melaporkan ke administrator apabila

terdapat aktivitas-aktivitas mencurigakan. Snort mampu melakukan analisa real

time traffic dan packet logger pada jaringan IP dan dapat menganalisa protokol

dan melakukan pendeteksian variasi penyerangan. Snort pertama kali dibuat dan

dikembangkan oleh Marti Roesh, lalu menjadi sebuah open source project. Versi

komersial snort dibuat oleh Sourcefire.

False positive adalah suatu kondisi dimana IDS(Intrusion Detection System)

mendeteksi suatu serangan, tetapi sebenarnya serangan tersebut bukan suatu

tindakan yang mencurigakan atau merusak (Hakim, Riffin Sukmana, 2009). False

positive merupakan alert yang memberitahu adanya aktivitas yang berpotensi

berupa serangan, tetapi masih ada kemungkinan bahwa ternyata aktivitas tersebut

bukan sebuah serangan. Kesulitannya dalah apabila jumlah alert yang muncul

banyak akan sulit menyaring mana yang benar-benar serangan dan mana yang

bukan serangan.

True positive adalah serangan dalam arti sebenarnya, true positive

merupakan alert yang muncul ketika ditemukan kecocokan dengan pola serangan

[4].

Denial of Service Attacks adalah jenis serangan terhadap sebuah komputer

atau server di dalam jaringan internet dengan cara menghabiskan sumber atau

resource yang dimiliki oleh komputer tersebut hingga tidak dapat menjalankan

fungsinya dengan benar dan secara tidak langsung mencegah pengguna lain untuk

memperoleh akses layanan dari server [5]. DoS ini akan menyerang dengan cara

mencegah seorang pengguna untuk melakukan akses terhadap sistem atau jaringan

yang dituju. Ada beberapa cara yang dilakukan oleh DoS untuk melakukan

serangan tersebut, yaitu membanjiri trafik atau lalu lintas jaringan dengan

banyaknya data-data sehingga lalu lintas jaringan yang berasal dari pengguna

menjadi tidak dapat masuk ke dalam sistem jaringan. Biasanya teknik ini disebut

sebagai “traffic flooding”, membanjiri jaringan dengan cara mengirimkan request

sebanyak-banyaknya terhadap sebuah layanan jaringan sehingga request yang

datang tidak dapat dilayani oleh layanan tersebut. Biasanya teknik ini disebut

sebagai request flooding, serta mengganggu komunikasi antara client satu dengan

client yang lainnya dengan menggunakan banyak cara, termasuk dengan cara

3

mengubah informasi sistem bahkan adanya perusakan fisik terhadap komponen

dan server.

3. Metode Penelitian

Metode penelitian yang digunakan dalam penyusunan artikel ilmiah ini

terdiri dari 5 tahap, antara lain pendefinisian masalah dan kebutuhan sistem,

desain NIDS (Network-based Intrusion Detection System), impelementasi,

ujicoba, dan analisis permasalahan.

SMK Telekomunikasi Tunas Harapan merupakan Sekolah Menengah

Kejuruan yang didalamnya terdapat beberapa jurusan berbasis IT (Information

Technology). Jurusan tersebut terdiri dari RPL (Rekayasa Perangkat Lunak), TKJ

(Teknik Komputer dan Jaringan), dan Multimedia. Karena bergerak dibidang IT,

tentunya pengguna jaringan pada SMK Telekomunikasi Tunas Harapan sangat

beragam dan beresiko mendapatkan ancaman berupa serangan. Pada dasarnya,

SMK Telekomunikasi Tunas Harapan belum memiliki sistem perlindungan

terhadap jaringannya, sehingga integritas data dan kinerja jaringan terancam.

Gambar 1. Topologi Jaringan SMK Telekomunikasi Tunas Harapan.

Gambar 1 merupakan topologi jaringan di SMK Telekomunikasi Tunas

Harapan tempat dilakukannya penelitian ini. Lantai 1 terdapat 3 lab TKJ, lantai 2

terdapat 3 lab RPL, dan lantai 3 terdapat 2 lab Multimedia.

Berdasarkan kondisi diatas, SMK Telekomunikasi Tunas Harapan

membutuhkan adanya sebuah sistem yang mampu mendeteksi berbagai ancaman

4

yang datang sehingga jaringannya terlindungi sebagai bentuk antisipasi terhadap

kerusakan yang lebih parah.

Berdasarkan permasalahan yang ada, maka dirancang sebuah sistem NIDS

untuk mendeteksi berbagai serangan dengan aplikasi snort yang bekerja dengan

signature-based yang mendeteksi serangan berdasarkan pola serangan yang

tersimpan dalam database dan menampilkan serangan berbasis web dengan BASE

(Basic Analysis and Security Engine).

Gambar 2. Desain Jaringan NIDS

Gambar 2 merupakan topologi desain jaringan NIDS, server NIDS

diletakkan pada segmen penting sebuah jaringan. NIDS akan menganalisa semua

lalu lintas yang melewati jaringan, dan akan mencocokkan paket data yang lewat

dengan pola serangan. Dalam hal ini NIDS diletakkan sejajar dengan router

sebagai pintu masuk jaringan dengan tujuan setiap paket data yang terjadi pada

Local Area Network SMK Telekomunikasi Tunas Harapan akan dianalisa

berdasarkan pola paket masing-masing.

5

N

Y

Gambar 3. Diagram alir cara kerja NIDS

Gambar 3 menunjukkan cara kerja NIDS. Dimulai dari paket data yang

memasuki interface jaringan yang sudah dikonfigurasi dalam snort. Paket data

tersebut dicocokkan dengan signature yang ada dalam database snort. Kemudian

apabila paket data tersebut merupakan sebuah intrusi akan disimpan ke database,

jika bukan paket data akan diteruskan. Paket data intrusi yang disimpan ke

database akan diolah dan dianalisa oleh BASE (Basic Analysis and Security

Engine), BASE merupakan aplikasi berbasis GUI yang dapat menganalisa data

snort. BASE mencari dan memproses kegiatan mencurigakan yang tersimpan

dalam database berdasarkan tools untuk memonitoring jaringan, seperti firewall

dan IDS. BASE menggunakan bahasa pemrograman PHP dan menampilkan

informasi dari database melalui tampilan web yang user friendly. BASE juga

dapat menampilkan grafik dan statistik berdasarkan waktu, sensor, signature,

protokol, alamat IP, TCP/UDP port, atau klasifikasi. Hasil yang ditampilkan akan

menjadi acuan administrator dalam mengambil tindakan.

Start

Paket data

memasuki interface

Membandingkan

paket data dengan

signature yang ada

Apakah

intrusi? Paket

diteruskan

Paket data masuk

ke database

Paket data

ditampilkan BASE

Admin melakukan

tindakan

End

6

Gagal

Berhasil

Gagal

Berhasil

Gambar 4. Diagram alir installasi dan konfigurasi NIDS

Gambar 4 menunjukkan diagram alir proses installasi dan konfigurasi IDS.

Dimulai dari melakukan install paket apache2, php5, dan mysql server serta

membuat database dan user baru pada root. Langkah selanjutnya adalah

menginstall snort-mysql dan mengkonfigurasinya, jika pengujian snort berhasil

maka dilanjutkan dengan mendownload BASE, akan tetapi jika gagal ulangi

Start

Install paket apache2,

php5, dan mysql-server

Buat database dan

user dalam root

Install snort-mysql

Konfigurasi

snort

Pengujian

snort

Download BASE

Konfigurasi BASE

BASE

menampilkan

alert

End

7

konfigurasi snort. Setelah mendownload dan mengkonfigurasi BASE, dilakukan

pengujian terhadap BASE. Jika BASE mampu menampilkan alert maka pengujian

berhasil, tapi jika tidak maka ulangi konfigurasi BASE.

Ujicoba ini dilakukan untuk mengetahui kinerja snort NIDS dalam

mendeteksi adanya serangan. Berdasarkan ujicoba yang telah dilakukan pada

Local Area Network SMK Telekomunikasi Tunas Harapan didapatkan 30 sampel

serangan. Tabel 1. 30 sampel hasil ujicoba.

No Waktu Alert Source Address Protokol Byte Size Interval

Waktu

Prioritas Bandwidth /

detik

1 10:41:46 ICMP PING

CyberKit 2.2

Windows

180.197.10.10 ICMP 32 1 menit 3 215 kbps

2 20:52:12 ICMP PING 180.197.10.23 ICMP 32767,5 1 menit 3 32 kbps

3 10:41:46 ICMP PING 180.197.10.10 ICMP 32 5 menit 3 120 kbps

4 20:52:12 ICMP Echo Reply 180.197.10.23 ICMP 32767,5 1 menit 3 32 kbps

5 10:41:46 ICMP Echo Reply 180.197.10.10 ICMP 32 5 menit 3 120 kbps

6 10:41:48 ICMP Destination

Unreachable Port

Unreachable

180.197.10.6 ICMP 548 1 menit 3 227 kbps

7 06:32:10 ICMP Destination

Unreachable Port

Unreachable

180.197.10.6 ICMP 548 4 menit 3 227 kbps

8 10:41:49 MS-SQL Probe

Response

Overflow Attempt

180.197.10.10 UDP 18041 1 menit 1 -

9 06:47:42 MS-SQL Probe

Response

Overflow Attempt

180.197.10.4 UDP 1472 1 menit 1 -

10 10:42:27 ICMP Fragment

Reassembly Time

Exceeded

180.197.10.6 ICMP 548 3 menit 3 500 kbps

11 17:51:37 DNS UDP Inverse

Query Overflow

180.197.10.19 UDP 1472 1 menit 1 1,472 kbps

12 10:45:41 DOS Teardrop

Attack

180.197.10.41 UDP 1472 1 menit 2 1,472 kbps


Attack

180.197.10.8 UDP 1472 1 menit 2 1,472 kbps


Attack

180.197.10.21 UDP 1472 1 menit 2 1,472 kbps


Attack

180.197.10.23 UDP 1472 1 menit 2 1,472 kbps

16 10:47:47 SNMP Request

UDP

180.197.10.14 UDP 1472 3 menit 2 9872 kbps

17 11:21:27 SNMP Request

TCP

180.197.10.23 TCP 48 2 menit 2 400 kbps

18 11:21:27 SNMP Trap TCP 180.197.10.23 TCP 52 2 menit 2 300 kbps

19 11:21:34 SNMP

AgentX/TCP

Request

180.197.10.23 TCP 52 2 menit 2 455 kbps

20 20:52:12 ICMP PING

Windows

180.197.10.23 ICMP 32.767,5 1 menit 3 32 kbps

21 17:31:53 ICMP PING 180.197.10.4 ICMP 10000 4 menit 3 1kbps

8

Tabel 1 merupakan hasil ujicoba yang dilakukan pada Local Area Network

SMK Telekomunikasi Tunas Harapan. Berdasarkan Ujicoba yang dilakukan

terdapat 30 sampel serangan yang berhasil dideteksi oleh snort IDS, hal ini

menunjukkan bahwa kinerja snort IDS yang telah diimplementasikan pada Local

Area Network berjalan dengan baik dan sebagaimana mestinya.

Berdasarkan pengujian yang telah dilakukan didapatkan 30 sampel serangan

dengan 6 parameter indikator serangan yaitu source address, protokol, byte size,

interwal waktu, prioritas, dan bandwidth/detik. Prioritas yang dimaksud adalah

level serangan berdasarkan acuan snort. Prioritas snort terbagi menjadi 4 level,

yaitu 1 high, 2 medium, 3 low, dan 4 very low. Prioritas pada snort ternyata tidak

sesuai dengan kondisi Local Area Nework SMK Telekomunikasi Tunas Harapan.

Misalnya pada serangan “MISC bootp hardware address length overflow”

memiliki prioritas 3 (low), akan tetapi pada parameter bandwidth/detik

menunjukkan besar bandwidthnya sebesar 1472 Kbps. Hal ini menunjukkan

bahwa prioritas serangan menurut snort, belum tentu sesuai dengan kondisi

jaringan masing-masing. Kondisi koneksi internet di SMK Telekomunikasi Tunas

Harapan berasal dari ISP Grahamedia Salatiga dengan maksimal bandwidth

Windows

22 17:31:53 ICMP Large ICMP

Packet

180.197.10.4 ICMP 10000 4 menit 2 10000 kbps

23 20:52:12 ICMP Large ICMP

Packet

180.197.10.23 ICMP 32.767,5 1 menit 2 327675 kbps

24 20:52:35 COMMUNITY

SIP TCP/IP

Message Flooding

Directed to SIP

Proxy

180.197.10.6 ICMP 1480 1 menit 2 1480 kbps


SIP TCP/IP

Message Flooding

Directed to SIP

Proxy

180.197.10.23 UDP 1480 1 menit 2 1480 kbps


SIP TCP/IP

Message Flooding

Directed to SIP

Proxy

180.197.10.4 UDP 1024 1 menit 2 1024 kbps


SIP TCP/IP

Message Flooding

Directed to SIP

Proxy

180.197.10.4 ICMP 1480 1 menit 2 1480 kbps

28 17:52:16 NETBIOS Name

Query Overflow

Attempt UDP

180.197.10.19 UDP 1472 1 menit 1 1472 kbps

29 17:53:10 MISC Bootp

Invalid Hardware

Type

180.197.10.19 UDP 1472 1 menit 3 1472 kbps

30 17:53:10 MISC Bootp

Hardware Address

Length Overflow

180.197.10.19 UDP 1472 1 menit 3 1472 kbps

9

sebesar 8 Mbps dan limit bandwidthnya sebesar 128 Kbps. Berdasarkan kondisi

Local Area Network SMK Telekomunikasi Tunas Harapan tersebut, apabila suatu

trafik jaringan besar bandwidthnya >128 Kbps merupakan ancaman dan

mengakibatkan jaringan terganggu karena melebihi limit bandwidth yang telah

ditentukan sehingga perlu dilakukan tindakan untuk mengatasinya.

4. Hasil dan Pembahasan

Berdasarkan implementasi dan pengujian yang dilakukan, pada tahap ini

akan menjelaskan tentang hasil dan pembahasan yang didapatkan dalam

penelitian.

Tabel 2. Klasifikasi serangan dan false positive.

Serangan False Positive

ICMP Fragment Reassembly Time

Exceeded

ICMP PING CyberKit 2.2 Windows

DNS UDP Inverse Query Overflow ICMP PING

DOS Teardrop Attack ICMP Echo Reply

SNMP Request UDP ICMP Destination Unreachable Port

Unreachable

SNMP Request TCP MS-SQL Probe Response Overflow

Attempt

SNMP Trap TCP ICMP PING Windows

SNMP AgentX/TCP Request

ICMP Large ICMP Packet

COMMUNITY SIP TCP/IP

Message Flooding Directed to SIP

Proxy

NETBIOS Name Query Overflow

Attempt UDP

MISC Bootp Invalid Hardware

Type

MISC Bootp Hardware Address

Length Overflow

Dari hasil pengujian yang dilakukan didapatkan 30 sampel alert, alert-alert

tersebut dapat diklasifikasikan menjadi serangan dan false positive. Terdapat 12

jenis alert yang merupakan serangan dan 6 jenis alert merupakan false positive,

jumlah false positive menempati sebesar 20% dari total alert yang berhasil

dideteksi IDS. Alert “ICMP PING CyberKit 2.2 Windows, ICMP PING, ICMP

Echo Reply, dan ICMP PING Windows” merupakan alert notifikasi ketika ada

kegiatan ping dari klien menuju NIDS server, berdasarkan parameter

bandwidth/detik juga tidak menunjukkan suatu aktivitas yang membebani

jaringan. Kemudian alert “ICMP Destination Unreachable Port Unreachable”

juga bukan merupakan aktivitas mencurigakan atau false positive karena alert

tersebut hanya notifikasi bahwa port yang dituju unreachable. Berikutnya adalah

alert ”MS-SQL Probe Response Overflow Attempt”, merupakan notifikasi bahwa

10

database mysql dibanjiri oleh respon terhadap klien, parameter bandwith/detik

juga mtidak menunjukkan trafik apapun.

Tabel 3. Jenis serangan dan dampaknya.

Serangan Dampak


Exceeded

Membebani trafik jaringan

DNS UDP Inverse Query Overflow Jika terus menerus akan merusak

DNS Server

DOS Teardrop Attack Membebani trafik jaringan

SNMP Request UDP Merupakan teknik scanning dengan

melihat port mana yang terbuka, jika

dibiarkan lebih lanjut akan

berdampak menjadi serangan Dos

SNMP Request TCP

SNMP Trap TCP

SNMP AgentX/TCP Request

ICMP Large ICMP Packet Jaringan Lemot/Request Time Out

COMMUNITY SIP TCP/IP

Message Flooding Directed to SIP

Proxy

Memperlambat kinerja jaringan


Attempt UDP

Jika dibiarkan, maka ada

kemungkinan percobaan pencurian

data dalam jaringan.

MISC Bootp Invalid Hardware

Type

Merupakan bentuk remote trojan

horse, yang bertujuan untuk

membuat server rusak atau mati. MISC Bootp Hardware Address

Length Overflow

Tabel 3 menunjukkan 12 jenis alert serangan beserta dampaknya terhadap

Local Area Network SMK Telekomunikasi Tunas Harapan. Dampak serangan-

serangan tersebut sangat beragam, diantaranya beberapa jenis serangan

mengakibatkan trafik jaringan SMK Telekomunikasi Tunas Harapan terbebani

dan memperlambat kinerja jaringan, adanya percobaan untuk merusak DNS

Server, percobaan port scanning, percobaan pencurian data dalam jaringan,

bahkan percobaan untuk membuat server mati atau rusak.

Tabel 4. Klasifikasi ancaman dan serangan.

Ancaman Serangan


Exceeded

SNMP Request TCP

DNS UDP Inverse Query Overflow SNMP Trap TCP

DOS Teardrop Attack SNMP AgentX/TCP Request

SNMP Request UDP

ICMP Large ICMP Packet

COMMUNITY SIP TCP/IP Message

Flooding Directed to SIP Proxy


Attempt UDP

MISC Bootp Invalid Hardware Type

MISC Bootp Hardware Address Length

Overflow

11

Dari jumlah serangan yang didapatkan, maka serangan tersebut

diklasifikasikan lagi menjadi ancaman dan serangan menurut kondisi Local Area

Network SMK Telekomunikasi Tunas Harapan. Ancaman merupakan jenis

serangan yang menimbulkan dampak buruk terhadap jaringan dan perlu

dilakukannya tindakan untuk mengatasi serangan tersebut. Sedangkan serangan

merupakan jenis serangan yang tidak begitu berdampak pada jaringan.

Pola serangan dengan kriteria berasal dari port 53 dan memiliki besar

bandwith/detik >128 Kbps dengan interval waktu 1 menit merupakan jenis alert

“DNS UDP Inverse Query Overflow” yang menandai suatu percobaan untuk

merusak DNS server, ketika trafik jaringan menunjukkan paket data yang berasal

dari port 137 dan parameter bandwidth/detik besarnya >128 Kbps dengan interval

waktu 1 menit menunjukkan percobaan pencurian terhadap data yang ada dalam

jaringan, jenis alertnya adalah “NETBIOS Name Query Overflow Attempt UDP”.

Serta ketika trafik jaringan menunjukkan paket data yang berasal dari port 67 dan

parameter bandwidth/detik menunjukkan >128 Kbps dengan interval waktu 1

menit merupakan suatu percobaan yang menandai remote trojan horse yang

bertujuan membuat server rusak atau mati, akan ditunjukkan dengan alert “MISC

Bootp Invalid Hardware Type dan MISC Bootp Hardware Address Length

Overflow”.

Apabila trafik jaringan berasal dari dynamic port dan parameter

bandwidth/detik >128 Kbps dengan interval waktu 1 menit terdapat dua jenis

kemungkinan alert yaitu “DOS Teardrop Attack” dan “Community SIP TCP/IP

message flooding directed to SIP Proxy”, jika terus diabaikan kedua jenis alert ini

akan mengganggu kinerja jaringan.

Paket data yag berasal dari port 161 dan parameter bandwidth/detik sebesar

>128 Kbps dengan interval waktu lebih dari 1 menit akan terdeteksi sebagai alert

“SNMP Request UDP”. Selain itu terdapat 2 jenis alert yang berasal dari dynamic

port dan parameter bandwidth/detik menunjukkan >128 Kbps dengan interval

waktu lebih dari 1 menit, akan terdeteksi sebagai alert “ICMP Fragment

Reassembly Time Exceeded” dan “ICMP Large ICMP Packet”. Apabila kondisi-

kondisi tersebut tidak terpenuhi maka paket akan dilepas.

12

Dynamic

Port 53 137 161 67

>128

Kbps

Network

Traffic

Start

>1 menit

Normal Traffic

ICMP Fragment

Reassembly Time Exceeded

DNS UDP Inverse

Query Overflow

DOS Teardrop Attack

Community SIP TCP/IP

message flooding directed

to SIP Proxy

Netbios Name Query

Overflow Attempt UDP

ICMP Large ICMP Packet SNMP Request UDP

MISC Bootp Invalid

Hardware Type

MISC Bootp Hardware

Address Length

Overflow

13

Gambar 5. Diagram alir rule module serangan.

Gambar 5 merupakan diagram alir yang menjelaskan kriteria-kriteria yang

akan mendasari snort dalam mendeteksi serangan berdasarkan kondisi Local Area

Network SMK Telekomunikasi Tunas Harapan. Apabila suatu trafik memenuhi

kondisi-kondisi sesuai dengan jenis serangannya masing-masing, maka IDS akan

mendeteksinya sebagai serangan, tetapi jika semua kondisi tersebut tidak

terpenuhi maka aktivitas tersebut termasuk dengan trafik yang normal. Desain

rule module ini dapat digunakan sebagai acuan untuk membuat atau mengubah

rules snort default menjadi rules yang sesuai dengan kondisi Local Area Network

SMK Telekomunikasi Tunas Harapan.

5. Simpulan

Berdasarkan analisis dan pembahasan yang telah dilakukan, maka dapat

diambil kesimpulan dari penelitian ini, yaitu implementasi IDS (Intrusion

Detection System) berjalan dengan baik dan sebagaimana mestinya. Berdasarkan

permasalahan yang ada metode pendekatan rule dengan analisis pola serangan dan

pola trafik jaringan dapat membantu dalam penyelesaian masalah yang sesuai

dengan kondisi Local Area Network SMK Telekomunikasi Tunas Harapan.

Desain rule module yang didapatkan merupakan acuan untuk membuat atau

mengubah rules yang ada di snort menjadi rules yang sesuai dengan kondisi Local

Area Network SMK Telekomunikasi Tunas Harapan.

Sistem yang dibangun masih memiliki banyak kekurangan, saran-saran yang

dapat diberikan antara lain, administrator jaringan dapat mengembangkan

pemberian notifikasi snort, seiring dengan berkembangnya teknologi, IDS yang

telah dibangun dapat dikembangkan lagi menjadi sebuah IPS (Intrusion

Prevention System) untuk mengoptimalkan jaringan, berdasarkan pendekatan rule

yang sudah ada dapat diaplikasikan dalam bentuk rule-rule snort yang baru sesuai

dengan kondisi jaringan lokal SMK Telekomunikasi Tunas Harapan.

6. Daftar Pustaka

[1] Tiyas, Feriana Istining, Moch Zen Samsono Hadi, Entin Martiana K., 2010,

“Aplikasi Web untuk Metode Fuzzy Neural Network Pada Intrusion Detection

System Berbasis Snort”, Jurusan Telekomunikasi Politeknik Elektronika Negeri

Surabaya, Institut Teknologi Sepuluh Nopember Surabaya.

[2] Karima, Aisyatul, 2012, “Deteksi Anomali untuk Identifikasi Botnet Kraken dan

Conficker Menggunakan Pendekatan Rule Based”, Fakultas Ilmu Komputer,

Universitas Dian Nuswantoro Semarang.

[3] Ariyus, Dony, 2007, INTRUSION DETECTION SYSTEM Sistem Pendeteksi

Penyusup Pada Jaringan Komputer, Yogyakarta:Andi.

[4] Hakim, Riffin Sukmana, Idris Winarno, ST., M.Kom.,Wiratmoko Yuwono, ST.,

2009, “Verifikasi Alert Berdasarkan Klasifikasi Serangan pada Deteksi Intrusi

Kolaboratif”, Program D IV Jurusan Teknik Informatika Poloteknik

Elektronika Negeri Surabaya, Institut Teknologi Sepuluh Nopember Surabaya.

[5] Ariyus, Dony, 2005, Computer Security, Yogyakarta:Andi.

Desain dan Analisis Rules Snort NIDS pada Local Area...

Documents

Transcript of Desain dan Analisis Rules Snort NIDS pada Local Area...