PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS)

SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR

SISTEM JARINGAN

(STUDI KASUS : PT. PLN (PERSERO) DISTRIBUSI JAKARTA RAYA

DAN TANGERANG)

IMAM SUTANTO

205091000057

PROGRAM STUDI TEKNIK INFORMATIKA

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI

SYARIF HIDAYATULLAH

JAKARTA

2010

i

PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS)

SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR

SISTEM KEAMANAN JARINGAN

(Studi Kasus : PT.PLN (Persero) DISTRIBUSI JAKARTA RAYA DAN

TANGERANG)

Oleh :

Imam Sutanto

NIM 205091000057

Skripsi

Sebagai Salah Satu Syarat untuk Memperoleh Gelar

Sarjana Komputer

Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

PROGRAM STUDI TEKNIK INFORMATIKA

FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI

SYARIF HIDAYATULLAH JAKARTA

JAKARTA

2010 M / 1431 H

ii

PENERAPAN EASY INTRUSION DETECTION SYSTEM (EASYIDS)

SEBAGAI PEMBERI PERINGATAN DINI KEPADA ADMINISTRATOR

SISTEM KEAMANAN JARINGAN

(Studi Kasus : PT.PLN (Persero) DISTRIBUSI JAKARTA RAYA DAN

TANGERANG)

Skripsi

Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer

Pada Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Oleh :Imam Sutanto

NIM. 205091000057

Menyetujui,

Pembimbing I Pembimbing II

Viva Arifin, MMSI Wahyudi, S.Si, MTNIP. 19730810 200604 2 001 NIP.19760904 200910 1 001

Mengetahui,

Ketua Program Studi Teknik Informatika

Yusuf Durachman, M.Sc, MITNIP. 19710522 200604 1 002

iii

LEMBAR PENGESAHAN UJIAN

Skripsi yang berjudul ”Penerapan Easy Intrusion Detection System (EASYIDS)

Sebagai Pemberi Peringatan Dini Kepada Administrator Sistem Keamanan

Jaringan (Studi Kasus : PT. PLN (Persero) Distribusi Jakarta Raya dan

Tangerang)” telah diuji dan dinyatakan lulus dalam sidang Munaqosyah, Fakultas

Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta pada

hari Rabu, 23 Juni 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk

memperoleh gelar Sarjana Strata Satu (S1) Jurusan Teknik Informatika.

Jakarta, Juni 2010

Menyetujui, Penguji I Penguji II

Herlino Nanang, MT Victor Amrizal, M.KomNIP. 19731209 200501 1 002 NIP. 150411288

Dosen Pembimbing I Dosen Pembimbing II

Viva Arifin, MMSI Wahyudi, S.Si, MTNIP. 19730810 200604 2 001 NIP. 19760904 200910 1 001

Mengetahui,

Dekan Fakultas Sains dan Teknologi Ketua Prodi Teknik Informatika

Dr. Syopiansyah Jaya Putra, M.Sis Yusuf Durachman, M.Sc, MITNIP. 19680117 200112 1 001 NIP. 19710522 200604 1 002

iv

LEMBAR PERNYATAAN

DENGAN INI SAYA MENYATAKAN BAHWA SKRIPSI INI BENAR-BENAR

HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI

SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU

LEMBAGA MANAPUN.

Jakarta, Juni 2010

Imam Sutanto NIM. 205091000057

vi

KATA PENGANTAR

Puji syukur penulis panjatkan kehadirat Allah SWT, karena berkat rahmat

dah ridhonyalah penulis dapat menyelesaikan Skripsi yang berjudul

Pengembangan Intruder Detection System (IDS) Sebagai Solusi Keamanan

Jaringan (Studi Kasus : PT.PLN (Persero) Distribusi Jakarta Raya dan Tangerang).

Skripsi ini penulis ajukan untuk memenuhi salah satu syarat mata kuliah program

studi S1 Teknik Informatika Fakultas Sains dan Teknologi, UIN Syarif

Hidayatullah Jakarta.

Pada kesempatan ini, penulis ingin mengucapkan terima kasih sebesar-

besarnya atas bimbingan dan pengarahan yang diberikan pada penulis selama

menyusun skripsi ini. Oleh karena itu, izinkanlah penulis menyampaikan ucapan

terima kasih kepada :

1. Bapak Dr.Syopiansyah Jayaputra, M.Sis, Dekan Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta.

2. Bapak Yusuf Durachman, M.Sc, MIT selaku ketua Program Studi Teknik

Informatika Fakultas Sains dan Teknologi.

3. Ibu Viva Arifin, MMSI, selaku dosen Pembimbing I sekaligus selaku

Koordinator Teknis Non Reguler karena beliaulah penulis dapat menyelesaikan

skripsi ini dengan sebagaimana mestinya yang telah banyak membantu dan

membimbing penulis dalam mengerjakan skripsi ini.

vii

4. Bapak Wahyudi, S.Si, MT, selaku dosen pembimbing II yang juga banyak

membantu dan membimbing penulis dalam menyusun dan mengerjakan skripsi

ini.

5. Seluruh dosen, staff akademik TI/SI dan karyawan Universitas Islam Negeri

Syarif Hidayatullah Jakarta Fakultas Sains dan Teknologi.

6. Kepada kedua orangtua dan kedua kakak saya yaitu Hary Nughroho dan Gatot

Sujianto yang telah memberikan banyak dukungan kepada penulis. Terima

kasih atas doa, kasih sayang dan dukungannya.

7. Teman-teman TI/SI diantaranya Uswatun Hasanah, Dian Puspita Sari,

Nurmalia, Rosa Rachtyani, Husin, Firman Hairulansa, Ihsandy, Julfi Rizona,

Syahroni, Hasnul Arief, Syaifurrahman, Irma Yuliawati, dan kepada badrotul

muniroh yang selalu berdoa, memberi inspirasi, dorongan, semangat, waktu,

bantuan segala hal dan kasih buat penulis.

8. Kepada semua pihak yang telah membantu penyusunan skripsi ini yang tidak

dapat penulis sebutkan satu-persatu.

Penulis menyadari bahwa sebagai manusia tidak dapat luput dari kesalahan

dan kekurangan sehingga masih jauh dari sempurna sehingga segala saran dan

kritik akan sangat membangun demi kesempurnaan skripsi ini.

Jakarta, 23 Juni 2010

Penulis

Imam Sutanto

viii

DAFTAR ISI

Halaman Judul .................................................................................................. i

Lembar pengesahan Pembimbing ..................................................................... ii

Lembar pengesahan Ujian ................................................................................. iii

Pernyataan ......................................................................................................... iv

Abstrak .............................................................................................................. v

Kata Pengantar .................................................................................................. vi

Daftar Isi ........................................................................................................... viii

Daftar Gambar .................................................................................................. xiv

Daftar Tabel ...................................................................................................... xvii

Daftar Istilah ..................................................................................................... xviii

BAB I PENDAHULUAN

1.1 Latar belakang ........................................................................... 1

1.2 Rumusan Masalah ..................................................................... 3

1.3 Batasan Masalah ....................................................................... 4

1.4 Tujuan dan Manfaat Penelitian ................................................. 4

1.4.1 Tujuan ............................................................................. 4

1.4.2 Manfaat ........................................................................... 5

1.5 Metodologi Penelitian ............................................................... 6

ix

1.6 Sistematika Penulisan ............................................................... 7

BAB II LANDASAN TEORI

2.1 Pengertian Penerapan EasyIDS, Peringatan

Dini, Administrator Sistem, Jaringan,

Keamanan Jaringan ................................................................... 9

2.2 Model Referensi TCP/IP ........................................................... 10

2.3 User Datagram Protocol ............................................................ 11

2.4 Jenis Serangan ........................................................................... 11

2.4.1 Port Scanning ................................................................ 11

2.4.2 Teardrop ........................................................................ 12

2.4.3 Spoofing ........................................................................ 13

2.4.4 Land Attack ................................................................... 16

2.4.5 Smurf Attack.................................................................. 16

2.4.6 UDP Flood .................................................................... 17

2.4.7 Packet Interception ........................................................ 17

2.4.8 ICMP Flood .................................................................. 18

2.4.9 Traceroute ..................................................................... 19

2.5 Tujuan Keamanan Komputer .................................................... 19

2.6 Access Control .......................................................................... 20

2.7 Definisi Firewall ....................................................................... 21

x

2.7.1 Karakteristik Firewall ................................................... 21

2.7.2 Jenis-jenis Firewall ........................................................ 22

2.7.3 Firewall Check Point atau Firewall-1 ............................ 24

2.8 Intrusion Detection System ....................................................... 25

2.9 Intrusion Prevention System ..................................................... 26

2.10 Skema Analisis IDS dan IPS .................................................... 31

2.11 Prinsip Kerja IDS Pada Jaringan Internal ................................. 32

2.11.1 Memonitor Akses Database .......................................... 32

2.11.2 Melindungi E-mail Server ............................................. 34

2.11.3 Memonitor Policy Security ........................................... 34

2.12 Tujuan Penggunaan IDS ........................................................... 35

2.12.1 Tipe Intrusion Detection System (IDS) ........................ 37

2.12.1.1 Host-Based ..................................................... 41

2.12.1.2 Network-Based .............................................. 44

2.12.1.3 Distrubusi Intrusion Detection

System ............................................................ 50

2.12.1.4 Hibrid Intrusion Detection System ................ 51

2.12.1.5 Skema Analisis IDS ....................................... 53

2.13 Snort .......................................................................................... 54

2.13.1 Fitur-fitur Snort ............................................................. 55

2.13.2 Komponen Snort ........................................................... 56

xi

BAB III METODOLOGI PENELITIAN

3.1 Metode Pengumpulan Data ....................................................... 59

3.1.1 Studi Lapangan / Observasi .......................................... 59

3.1.2 Studi Pustaka atau Literatur .......................................... 60

3.1.3 Wawancara .................................................................... 61

3.2 Metode Pengembangan Sistem NDLC ..................................... 62

3.2.1 Analysis ......................................................................... 63

3.2.2 Design ........................................................................... 63

3.2.3 Simulation Prototype .................................................... 64

3.2.4 Implementation ............................................................. 64

3.2.5 Monitoring .................................................................... 64

3.2.6 Management .................................................................. 65

BAB IV HASIL DAN PEMBAHASAN

4.1 Sejarah Singkat Berdirinya PT. PLN ........................................ 67

4.2 Struktur Organisasi PT. PLN .................................................... 72

4.3 Visi dan Misi PT. PLN .............................................................. 73

4.4 Tujuan dan Sasaran PT. PLN .................................................... 73

4.5 Selayang Pandang ..................................................................... 74

4.6 Sekilas Tentang Teknologi PT. PLN ........................................ 77

4.7 Sistem Jaringan di PT. PLN ...................................................... 78

xii

4.8 Data PT. PLN ............................................................................ 78

4.9 Peta Wilayah PT. PLN .............................................................. 79

4.10 Infrakstruktur Sistem Teknologi Informasi .............................. 80

4.11 Analysis ..................................................................................... 81

4.11.1 Identify .......................................................................... 82

4.11.2 Understand .................................................................... 83

4.11.3 Analyze ......................................................................... 83

4.11.4 Report ............................................................................ 85

4.12 Design ....................................................................................... 87

4.12.1 Perancangan Topologi .................................................. 88

4.12.2 Perancangan Sistem ...................................................... 90

4.13 Simulation Prototype ................................................................ 91

4.14 Implementation ......................................................................... 92

4.14.1 Implementasi Sistem Operasi ....................................... 92

4.14.2 Impelementasi dan Konfigurasi Mesin Sensor ............. 99

4.15 Impelementation BASE ............................................................. 109

4.16 Monitoring ................................................................................. 110

4.16.1 Pengujian Fungsionalitas Komponen IDS .................... 111

4.16.2 Analisa Data BASE ....................................................... 114

4.16.3 Solusi Mengatasi Serangan Ping Attack

dan Port Scanning ......................................................... 119

xiii

4.17 Management ............................................................................... 128

BAB V PENUTUP

5.1 Kesimpulan .................................................................................. 130

5.2 Saran ............................................................................................ 131

DAFTAR PUSTAKA ...................................................................................... 132

LAMPIRAN-LAMPIRAN

xiv

DAFTAR GAMBAR

Gambar 2.1 Standar Proses IPS .................................................................... 30

Gambar 2.2 Hubungan Antara Aktivitas Jaringan Baseline dan

Anomalous ................................................................................ 32

Gambar 2.3 Host-Based IDS ........................................................................ 41

Gambar 2.4 Network-Based IDS .................................................................. 45

Gambar 2.5 Distribusi Intrusion Detection System ...................................... 51

Gambar 3.1 Tahapan NDLC ......................................................................... 62

Gambar 3.2 Diagram Metode Penelitian ...................................................... 66

Gambar 4.1 Struktur Organisasi PT. PLN .................................................... 72

Gambar 4.2 Peta Wilayah PT. PLN .............................................................. 79

Gambar 4.3 Struktur Organisasi Bidang Perencanaan .................................. 80

Gambar 4.4 Topologi Jaringan Sebelumnya ................................................. 88

Gambar 4.5 Topologi Jaringan yang Diusulkan ........................................... 89

Gambar 4.6 Proses Instalasi Sistem Operasi EasyIDS ................................. 93

Gambar 4.7 Jenis Keyboard .......................................................................... 94

Gambar 4.8 Root Password dibutuhkan Saat Login Mesin Sensor .............. 94

Gambar 4.9 Setting Time Zone ..................................................................... 95

Gambar 4.10 Format Harddisk ....................................................................... 96

Gambar 4.11 Package Installation .................................................................. 96

xv

Gambar 4.12 Instalasi Snort ............................................................................ 97

Gambar 4.13 Ekstrak Rule Snort .................................................................... 98

Gambar 4.14 Login Mesin Sensor IDS ........................................................... 98

Gambar 4.15 Setelah Login Mesin Sensor EassyIDS ..................................... 99

Gambar 4.16 Tampilan Login Web Based ke Mesin Sensor .......................... 100

Gambar 4.17 Tampilan Welcome EasyIDS .................................................... 101

Gambar 4.18 Tampilan Change Password MySQL ........................................ 102

Gambar 4.19 Tampilan Setelah Passwords Dimasukkan ............................... 102

Gambar 4.20 Tampilan Awal EasyIDS Berbasis Web GUI ........................... 103

Gambar 4.21 Snort Configuration .................................................................. 104

Gambar 4.22 Snort Network Settings ............................................................. 104

Gambar 4.23 Snort Rule Updates ................................................................... 105

Gambar 4.24 Notify Settings .......................................................................... 106

Gambar 4.25 Snort Rulesets ........................................................................... 107

Gambar 4.26 Systems Status .......................................................................... 108

Gambar 4.27 System Information ................................................................... 109

Gambar 4.28 Tampilan Halaman BASE ......................................................... 110

Gambar 4.29 Ping Attack ................................................................................ 112

Gambar 4.30 Ujicoba Nmap Client ke Mesin Sensor IDS ............................. 113

Gambar 4.31 Halaman Utama BASE ............................................................. 114

Gambar 4.32 Diagram Batang Berdasarkan Time dan Jumlah Alert ............ 116

xvi

Gambar 4.33 Tampilan Daftar Alert Berdasarkan Protokol TCP ................... 117

Gambar 4.34 Detail Profile Traffic Alert ........................................................ 119

Gambar 4.35 Memblok Client Dalam Melakukan Ping Attack ...................... 120

Gambar 4.36 Nmap Pada Mesin Client .......................................................... 121

Gambar 4.37 Grafik Dropped Packet dan Alert Per Second Snort ................. 122

Gambar 4.38 Grafik Mbits Per Second dan Kpackets Per Second Snort ....... 123

Gambar 4.39 Grafik SYN+SYN/ACK Packet Session Event Snort .............. 124

Gambar 4.40 Grafik Open Session dan Stream Event .................................... 125

Gambar 4.41 Grafik Frag Event dan Average Byte Per Packet ...................... 126

Gambar 4.42 Grafik Sistem ............................................................................ 127

Gambar 4.43 Network Graphs ........................................................................ 128

xvii

DAFTAR TABEL

Tabel 2.1 Point dan Jenis Serangan ................................................................ 19

Tabel 2.2 Perbedaan IDS dan IPS ................................................................... 30

Tabel 2.3 Perbedaan NIDS dan HIDS ............................................................ 50

Tabel 3.1 Studi Literatur ................................................................................. 60

Tabel 4.1 Spesifikasi Sistem Yang Akan Dibangun ....................................... 85

Tabel 4.2 Spesifikasi Perangkat Lunak (Software) ......................................... 86

Tabel 4.3 Spesifikasi Perangkat Keras (Hardware) ........................................ 87

Tabel 4.4 Komponen Sistem ........................................................................... 91

xviii

DAFTAR ISTILAH

BASE : Suatu aplikasi berbasis web based untuk

monitoring dan analisis alert.

Detection Engine : Menggunakan detection plugins, jika

ditemukan paket yang cocok maka snort

akan menginisialisasi paket tersebut

sebagai suatu serangan.

Decoder : Sesuai dengan paket yang di capture

dalam bentuk struktur data dan

melakukan identifikasi protokol, decode

IP dan kemudian TCP atau UDP

tergantung informasi yang dibutuhkan

Distribusi IDS : Mengatur atau arsitekstur probe dengan

menggunakan lebih dari satu NIDS.

Global Section : Mengizinkan untuk mapping file untuk

IIS Unicode, Configure alert untuk

proxy server dengan proxy_alert (jika

menggunakan proxy server) atau

konfigurasi deteksi lalu-lintas HTTP

pada nonauthorized port dengan

menggunakan detect_anomalous_traffic.

Host Based IDS : Mendeteksi serangan yang tidak dapat

dikenali oleh network-based IDS.

Host-Target Co-Location : IDS yang dijalankan pada sistem yang

akan di lindungi.

xix

Host-Target Separation : IDS diletakkan pada komputer yang

berbeda dengan yang akan di lindungi.

Hibrid IDS : Solusi network-base dan host-based IDS

yang memliki keunggulan dan manfaat

yang saling berbeda.

Inline Mode : Snort membaca, menganalisis traffic,

logging dan berinteraksi dengan firewall

untuk memblok traffic intrusi memicu.

Intruder : Orang yang melakukan penyusupan

Network Based IDS : Menampilkan network traffic untuk

beragam sistem yang akan diamati

sehingga sistem ini tidak memerlukan

perangkat lunak untuk digunakan dan

diatur pada banyak host.

Network intrusion detection mode : Snort membaca dan menganalisis traffic

menggunakan ruleset/signatures untuk

mendeteksi aktivitas intrusi dan

melakukan logging aktivitas sensor.

Nmap : Program untuk melakukan uji coba port

scanning.

Output Plugins : Merupakan suatu modul yang mengatur

format dari keluaran untuk alert dan file

logs yang bisa di akses dengan berbagai

cara, seperti console, exteren files,

database dan sebagainya.

xx

Packet Logger Mode : Snort membaca traffic dan melakukan

logging (pencatatan dan penyimpanan)

aktivitas sensor.

Pre Processors : Suatu jaringan yang mengindentifikasi

berbagai hal yang harus diperiksa seperti

Detection Engine.

Rules Files : Merupakan suatu file teks yang berisi

daftar aturan yang sintaksnya sudah

diketahui. Sintaks ini meliputi protocol,

address, output plugins dan hal-hal yang

berhubungan dengan berbagai hal. Rules

file akan selalu diperbaharui setiap ada

kejadian di dunia maya.

Server Section : Mengizinkan untuk setting HTTP server

profiles yang berbeda untuk beberapa

server yang berbeda. Konfigurasi tipe

serangan dan menormalisasikan

berdasarkan server yang ada.

Sniffer Mode : Snort membaca traffic atau paket-paket

yang berada di dalam sistem jaringan

dan menampilkan ke layar console.

Snort : Suatu perangkat lunak untuk mendeteksi

penyusup dan mampu menganalisis

paket yang melintas jaringan secara real

time traffic dan logging ke dalam

database serta mampu mendeteksi

berbagai serangan yang berasal dari luar

jaringan.

1

BAB I

PENDAHULUAN

1.1 Latar Belakang

Keamanan jaringan komputer sebagai bagian dari sebuah sistem

sangat penting untuk menjaga validitas dan integritas data serta menjamin

ketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segala

macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak

yang tidak berhak. Sistem pertahanan terhadap aktivitas gangguan saat ini

umumnya dilakukan secara manual oleh administrator. Hal ini

mengakibatkan integritas sistem bergantung pada ketersediaan dan kecepatan

administrator dalam merespons gangguan. Apabila gangguan tersebut

berhasil membuat suatu jaringan mengalami malfungsi, administrator tidak

dapat lagi mengakses sistem secara remote sehingga ia tidak akan dapat

melakukan pemulihan sistem dengan cepat. Intrusion Detection System (IDS)

adalah suatu perangkat lunak (software) atau suatu sistem perangkat keras

(hardware) yang bekerja secara otomatis untuk memonitor kejadian pada

jaringan komputer dan dapat menganalisis masalah keamanan jaringan.

Serangan yang terjadi terhadap jaringan komputer selalu meningkat pada

infrakstruktur keamanan perusahaan dan organisasi yang menggunakan

komputer sebagai alat bantu untuk menyelesaikan pekerjaan. Bagaimana

mendeteksi intruder yang menyerang suatu jaringan, serta bagaimana

2

mengatur Intrusion Detection System yang berfungsi sebagai level keamanan

di tingkat aplikasi setelah suatu paket melewati suatu firewall. Deteksi

penyusup adalah aktivitas untuk mendeteksi penyusup secara cepat dengan

menggunakan program khusus yang otomatis dan real-time respons. (Ariyus,

2007).

PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang merupakan

salah satu Perusahaan milik Negara yang bergerak di bidang penjualan tenaga

listrik dan pelayanan pelanggan dalam melayani pelanggan diwilayah DKI

Jakarta, Kotamadya Tangerang, Kabupaten Tangerang. PT. PLN (Persero)

Distribusi Jakarta Raya dan Tangerang saat ini sistem jaringan pada kantor

distribusi Gambir sering terjadinya serangan dari pihak dalam (internal) yaitu

serangan DDos attack. Dimana PC Router hanya dapat melihat paket apa saja

yang lewat, tetapi tidak dapat mengenali jenis serangan jika terjadi serangan

atau adanya suatu intruder dari pihak dalam maupun luar. Pada saat terjadi

serangan administrator sistem jaringan hanya mengandalkan berupa log-log

file PC Router dan firewall. Log-log file tersebut berupa text.

Disinilah fungsi EasyIDS (Easy Intrusion Detection System)

dibutuhkan. EasyIDS (Easy Intrusion Detection System) adalah sebuah

sistem yang melakukan pengawasan terhadap traffic jaringan dan

pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah

sistem jaringan. Jika terjadi serangan atau kegiatan-kegiatan yang

mencurigakan pada jaringan, maka EasyIDS akan memberikan alert

(peringatan) kepada administrator sistem jaringan.

3

Dengan demikian, pengamanan sistem firewall dan EasyIDS sangat

diperlukan bagi PT. PLN Persero Distibusi Jakarta Raya dan Tangerang

untuk mendeteksi adanya penyusup baik dari dalam maupun luar, karena itu

dibutuhkan sistem pendeteksi, sistem yang secara intensif dapat mendeteksi

terjadinya aktivitas intrusi terhadap sumber daya perusahaan. Berdasarkan

hal-hal tersebut, maka penulis tertarik mengambil topik penulisan dengan

judul Penerapan EASYIDS Sebagai Pemberi Peringatan Dini Kepada

Administrator Sistem Jaringan (Studi Kasus : PT. PLN (Persero)

Distribusi Jakarta Raya dan Tangerang).

1.2 Rumusan Masalah

Atas dasar Latar belakang dikemukakan diatas, maka rumusan

masalah yang di bahas untuk Skripsi ini adalah :

1. Bagaimana melakukan konfigurasi EasyIDS, sehingga EasyIDS yang

dapat mendeteksi adanya intrusi (penyusup) pada firewall.

2. Bagaimana menerapkan EasyIDS sehingga dapat bekerjasama dengan

firewall dalam melakukan monitoring jaringan dari serangan pihak dalam

dan luar.

4

1.3 Batasan Masalah

Sesuai dengan inti dari penulisan skripsi maka penulis akan membatasi

ruang lingkup agar penelitian lebih terarah. Dengan demikian permasalahan

penelitian ini dibatasi pada :

1. Menggunakan software open source yaitu EasyIDS.

2. Pengguna EasyIDS adalah administrator jaringan.

3. Peringatan dini untuk administrator jaringan dalam bentuk berbasis web

GUI (Grafic User Interface).

4. Sistem operasi yang digunakan untuk mesin sensor adalah Centos.

5. Hasil diperlihatkan dalam bentuk diagram batang (chart).

1.4 Tujuan dan Manfaat Penelitian

1.4.1 Tujuan

Penerapan EasyIDS yang digunakan agar dapat memberikan

alert (peringatan) kepada administrator sistem jaringan dalam

mengetahui adanya suatu intruder dari sistem jaringan PT. PLN

(Persero) Distribusi Jakarta Raya dan Tangerang.

5

1.4.2 Manfaat

a. Bagi Mahasiswa :

1. Mahasiswa mampu menerapkan EasyIDS (easy intrusion

detection system) dalam meningkatkan kualitas aspek sistem

keamanan jaringan komputer.

2. Memperluas wawasan dan memperdalam pemahaman penulis

terhadap penggunaan sistem operasi berbasis Unix yaitu Centos

dan Windows serta pemanfaatan program keamanan jaringan

berbasis open source.

3. Menerapkan ilmu yang pernah di dapat penulis di perkuliahan.

b. Bagi Institusi Perguruan Tinggi

1. Sebagai sarana pengenalan, perkembangan ilmu pengetahuan dan

teknologi dan khususnya jurusan Teknik Informatika konsentrasi

Networking di Universitas Islam Negeri Syarif Hidayatullah

Jakarta.

2. Sebagai bahan masukan dan evaluasi program Teknik Informatika

di Universitas Islam Negeri Syarif Hidayatullah Jakarta untuk

menghasilkan tenaga-tenaga terampil sesuai dengan kebutuhan.

c. Bagi Perusahaan

Dengan dapat memanfaatkan fasilitas yang ada pada

EasyIDS untuk diterapkan sebagai pemberi peringatan dini kepada

6

administrator jaringan sehingga dapat mengetahui sekiranya ada

penyusup.

1.5 Metodologi Penelitian

Metode yang digunakan penulis dalam penulisan penelitian dibagi

menjadi dua, yaitu metode pengumpulan data dan metode pengembangan

sistem.

Berikut penjelasan kedua metode tersebut :

1. Metode Pengumpulan data

Merupakan metode yang digunakan penulis dalam melakukan analisis data

dan menjadikannya informasi yang akan digunakan untuk mengetahui

permasalahan yang dihadapi.

a. Studi Lapangan

Metode pengumpulan data dengan melakukan pengamatan atau datang

langsung ke lokasi.

b. Wawancara

Metode pengumpulan data dengan melakukan wawancara adalah proses

memperoleh keterangan untuk tujuan penelitian dengan cara tanya

jawab, sambil bertatap muka antara si penanya atau pewawancara

dengan si penjawab atau responden.

7

c. Studi Pustaka atau literatur

Metode pengumpulan data melalui buku atau browsing internet yang

dijadikan sebagai acuan analisa penelitian yang dilakukan.

2. Metode Pengembangan Sistem menggunakan NDLC (Network

Development Life Cycle).

a. Analysis

b. Design

c. Simulation Prototyping

d. Implementation

e. Monitoring

f. Management

1.6 SISTEMATIKA PENULISAN

Dalam penyusunan tugas akhir ini, penulis mensajikan dalam 5 bab

yang digambarkan sebagai berikut :

BAB I PENDAHULUAN

Pada bab ini akan diuraikan tentang Latar Belakang, Permasalahan,

Tujuan dan Manfaat Penelitian, Metodologi Penelitian, Sistematika

Penulisan laporan penelitian skripsi.

BAB II LANDASAN TEORI

Pada bab ini akan diuraikan secara singkat teori yang mendukung

penyusunan dan penulisan tugas akhir ini.

8

BAB III METODOLOGI PENELITIAN

Pada bab ini akan dibahas mengenai pemaparan metode yang

penulis pakai dalam pencarian data maupun pengembangan sistem

yang dilakukan pada penelitian.

BAB IV ANALISIS DAN PEMBAHASAN

Pada bab ini akan membahas mengenai penerapan dan pengujian

sistem IDS (Intrusion Detection System) dalam mengatasi adanya

intruder.

BAB V KESIMPULAN DAN SARAN

Pada bab ini penulis memberikan kesimpulan dari apa yang telah

dibahas dalam bab-bab sebelumnya dan memberikan saran untuk

pengembangan yang lebih baik lagi.

9

BAB II

LANDASAN TEORI

2.1 Pengertian Penerapan, EasyIDS, Peringatan Dini, Administrator Sistem

Jaringan dan Keamanan Jaringan

Penerapan adalah proses, cara, perbuatan untuk menerapkan. (KBBI,

2008). EasyIDS adalah sistem deteksi intrusi yang mudah untuk diinstal dan

dikonfigurasi untuk Snort. Berdasarkan panduan instalasi Patrick Harper's

Snort dan dimodelkan setelah instalasi cd trixbox, EasyIDS dirancang untuk

keamanan jaringan Linux pemula dengan pengalaman minimal. (Patrick,

2009). Peringatan adalah nasihat untuk memperingatkan, sesuatu yang

dipakai memperingati, catatan. (KBBI, 2008). Sedangkan dini adalah awal,

lekas, diagnosis. Jadi Peringatan dini adalah suatu peringatan/catatan yang

dipakai untuk memperingatkan adanya kesalahan yang lebih awal.

Administrator Sistem Jaringan adalah orang atau tim yang

bertanggung jawab dalam administrasi dan pengelolaan sistem level pada

level root. Untuk lingkungan workstation tunggal, penggunanya adalah juga

sistem administrator dari workstation tersebut pada saat bekerja pada level

root. Seorang administrator dapat juga disebut sebagai sistem manajer atau

sistem programmer. (Doss, 2000). Sedangkan Keamanan jaringan secara

umum adalah komputer yang terhubung ke network, mempunyai ancaman

10

keamanan lebih besar daripada komputer yang tidak terhubung ke mana-

mana. (Ariyus, 2007)

2.2 Model Referensi TCP/IP

TCP/IP adalah singkatan dari Transmission Control Protocol/Internet

Protocol. Meskipun TCP/IP baru-baru ini saja menjadi protocol standard,

namun umumnya telah lebih dari 20 tahun, digunakan pertama kali untuk

menghubungkan komputer-komputer pemerintah (USA) dan sekarang telah

menjadi dasar bagi internet, jaringan terbesar dari jaringan komputer

diseluruh dunia. Pada saat ini, TCP/IP memiliki keunggulan sehubungan

dengan kompatibilitasnya dengan beragam perangkat keras dan sistem

operasi.

Tugas utama TCP adalah menerima pesan elektronik dengan panjang

sembarang dan membaginya ke dalam bagian-bagian, maka perangkat lunak

yang mengontrol komunikasi jaringan dapat mengirim tiap bagian dan

menyerahkan ke prosedur pemeriksaan bagian demi bagian. Apabila suatu

bagian mengalami kerusakan selama transmisi, maka program pengirim

hanya perlu mengulang transmisi bagian itu dan tidak perlu mengulang dari

awal.

Sedangkan Internet Protocol (IP) mengambil bagian-bagian,

memeriksa ketepatan bagian-bagian, mengalamatkan ke sasaran yang dituju

dan memastikan apakah bagian-bagian tersebut sudah dikirim dengan urutan

11

yang benar. IP memiliki informasi tentang berbagai skema pengalamatan

yang berbeda-beda. (Wahana, 2003).

2.3 User Datagram Protocol (UDP)

Menurut Ariyus (2007). Sebagai tambah dari TCP, terdapat satu

protocol level transport lain yang umum digunakan sebagai bagian dari suite

protocol TCP/IP yang disebut dengan User Datagram Protocol (UDP). UDP

menyediakan layanan nirkoneksi untuk prosedur-prosedur pada level aplikasi.

Pada dasarnya UDP merupakan suatu layanan protokol yang kurang bisa

diandalkan karena kurang memberikan perlindungan dalam pengiriman dan

duplikasi data. Datagram merupakan suatu paket switching, sebuah paket

yang terpisah-pisah dari paket lain yang membawa informasi yang memadai

untuk routing dari Data Terminal Equipment (DTE) sumber ke DTE tujuan

tanpa harus menetapkan koneksi antara DTE dan jaringan.

2.4 Jenis Serangan

Menurut Ariyus (2007). Jenis dan serangan yang mengganggu

jaringan komputer beraneka macam. Serangan-serangan yang terjadi pada

sistem komputer di antaranya adalah :

2.4.1 Port Scanning : merupakan suatu proses untuk mencari dan membuka

port pada suatu jaringan komputer. Dari hasil scanning akan didapat

12

letak kelemahan sistem tersebut. Pada dasarnya sistem port scanning

mudah untuk dideteksi, tetapi penyerang akan menggunakan berbagai

metode untuk menyembunyikan serangan. Sebagai contoh, banyak

jaringan tidak membuat file log koneksi, sehingga penyerang dapat

mengirimkan initial packet dengan suatu SYN tetapi tidak ada ACK,

dan mendapatkan respons kembali (selain SYN jika suatu port

terbuka) dan kemudian berhenti di port tersebut. Hal ini sering disebut

dengan SYN scan atau half open scan. Walaupun tidak mendapatkan

log, sebagai contoh, mungkin akan berakhir sebagai serangan denial

service attack pada host atau device lain yang terhubung dengan

jaringan atau port untuk koneksi terbuka.

Penyerang akan mengirimkan paket lain pada port yang masih

belum ada pada jaringan tersebut tetapi tidak terjadi respons apapun

pada file log, kesalahan file atau device lainnya. Beberapa kombinasi

dari flag selain SYN dengan sendirinya dapat di gunakan untuk tujuan

port scanning. Berbagai kemungkinan yang kadang disebut dengan

Christmas tree (beberapa jaringan decive menampilkan option seperti

Christmas tree) dan null yang akan memberikan efek kepada jaringan

TCP/IP, sehingga protokol TCP/IP akan mengalami down (out of

service), banyak tool yang ada yang bisa membuat suatu protokol

TCP/IP menjadi crash atau tidak bisa berfungsi sebagaimana mestinya.

2.4.2 Teardrop : merupakan suatu teknik yang dikembangkan dengan

mengeksploitasi proses disassembly-reassembly paket data. Dalam

13

jaringan internet seringkali data harus dipotong kecil-kecil untuk

menjamin reliabilitas dan proses multiple akses jaringan. Potongan

paket data ini kadang harus dipotong ulang menjadi lebih kecil lagi

pada saat disalurkan melalui saluran Wide Area Network (WAN) agar

pada saat melalui saluran WAN tidak reliable maka proses pengiriman

data itu menjadi reliable. Pada proses pemotongan data paket yang

normal, setiap potongan diberi informasi offset data yang kira-kira

berbunyi ”potongan paket ini merupakan potongan 600 byte dari total

800 byte paket yang dikirim”. Program teardrop akan memanipulasi

offset potongan data sehingga akhirnya terjadi overlapping antara

paket yang diterima di bagian penerima setelah potongan-potongan

paket ini disassembly-reassembly. Seringkali overlapping ini

menimbulkan sistem yang crash, hang dan reboot diujung sebelah

sana.

2.4.3 Spoofing : adalah suatu serangan teknis yang rumit yang terdiri dari

beberapa komponen. Ini adalah eksploitasi keamanan yang bekerja

dengan menipu komputer, seolah-olah yang menggunakan komputer

tersebut adalah orang lain. Hal ini terjadi karena design flaw (salah

rancang). Lubang keamanan yang dapat dikategorikan ke dalam

kesalahan desain adalah desain urutan nomor (sequence numbering)

dari paket TCP/IP. Kesalahan ini dapat dieksploitasi sehingga timbul

masalah.

14

IP Spoofing melakukan aktivitasnya dengan menulis ke raw

socket. Program dapat mengisi header field dari suatu paket IP apapun

yang diingini. Dalam sistem linux, user yang melakukan proses ini

memerlukan ijin dari root. Karena routing hanya berdasarkan IP

destination address (tujuan), maka IP source address (alamat IP

sumber) dapat diganti dengan alamat apa saja. Dalam beberapa kasus,

attacker menggunakan satu IP source address yang spesifik pada

semua paket IP yang keluar untuk membuat semua pengembalian

paket IP dan ICMP message ke pemilik address tersebut untuk

menyembunyikan lokasi mereka pada jaringan. Pada bahasan Smurf:

ICMP Flood memperlihatkan serangan dengan menggunakan IP

spoofing untuk membanjiri korban dengan ECHO REQUEST.

Filterisasi yang ditempatkan pada router dapat mengeliminasi

secara efektif IP Spoofing. Router mencocokkan IP source address

dari masing-masing paket keluar terhadap IP address yang ditetapkan.

Jika IP source address ditemukan tidak cocok, paket dihilangkan.

Sebagai contoh, router di MIT, rute paket keluar hanya dari IP source

address dari subnet 18.0.0.0/8. Walaupun IP Spoofing adalah suatu

senjata bagi attacker untuk melakukan penyerangan, dalam banyak

kasus penggunaan IP spoofing ini oleh attacker hanya sebatas dalam

pemakaian sementara IP address tersebut. Banyak attacker dilibatkan

dalam suatu serangan, masing-masing operasi dari jaringan yang

berbeda, sehingga kebutuhan IP spoofing menjadi berkurang.

15

Filterisasi Ingress dan Egress membuat seorang attacker lebih sulit

melakukan serangan, walaupun cara ini belum menjamin dapat

mengatasi IP spoofing.

Sebuah host memalsukan diri seolah-olah menjadi host lain

dengan membuat paket palsu setelah mengamati urutan paket dari host

yang hendak di serang. Bahkan dengan mengamati cara mengurutkan

nomor paket bisa dikenali sistem yang digunakan. Ada tiga jawaban

yang tidak dipedulikan oleh penyerang pada kasus IP spoofing ke

anataran adalah :

1. Penyerang bisa menginterupsi jawaban dari komputer yang dituju :

Jika suatu penyerang pada suatu tempat ke antara jaringan yang

dituju dengan jaringan yang dipakai penyerang, dengan ini

penyerang akan bisa melihat jawaban yang dari komunikasi suatu

jaringan tanpa diketahui oleh orang lain. Hal ini merupakan dasar

dari hijacking attack.

2. Penyerang tidak harus melihat jawaban dari komputer yang dituju :

Penyerang kadang-kadang tidak begitu memperdulikan jawaban apa

yang diberikan suatu komputer korban. Penyerang bisa membuat

perubahan yang diinginkan dari komputer korban tanpa

memperdulikan jawaban atau tanggapan dari jaringan tersebut.

3. Penyerang tidak ingin jawaban, dan pokok dari suatu serangan

untuk membuat jawaban ke tempat lain : Beberapa serangan bisa

16

membuat respons yang diberikan tidak masuk ke komputer

penyerang. Hal ini penyerang tidak ingin tahu respons apa yang

diberikan oleh komputer korban. Jadi respons atau jawaban akan

dikirim secara otomatis ke komputer lain sehingga penyerang bisa

dengan leluasa menjalankan misinya karena penyerang yang dikenal

oleh komputer korban adalah komputer lain.

2.4.4 Land Attack : merupakan serangan kepada sistem dengan

menggunakan program yang bernama land. Apabila serangan yang

ditujukan pada sistem Windows 95, maka sistem yang tidak diproteksi

akan menjadi hang (dan bisa keluar layar biru). Demikian pula apabila

serangan diarahkan ke beberapa jenis UNIX versi lama, maka sistem

akan hang. Jika serangan diarahkan ke sistem Windows NT, maka

sistem akan sibuk dengan penggunaan CPU mencapai 100% untuk

beberapa saat sehingga sistem seperti macet. Dapat dibayangkan

apabila hal ini dilakukan secara berulang-ulang. Serangan land ini

membutuhkan nomor IP dan nomor port dari server yang dituju. Untuk

sistem berbasis Windows, port 139 merupakan jalan masuknya

serangan.

2.4.5 Smurf Attack : Serangan jenis ini biasanya dilakukan dengan

menggunakan IP spoofing, yaitu mengubah nomor IP dari datangnya

request. Dengan menggunakan IP spoofing, respons dari ping tadi di

alamatkan ke komputer yang IP-nya di-spoof. Akibatnya, komputer

tersebut akan menerima banyak paket. Hal ini dapat mengakibatkan

17

pemborosan penggunaan (bandwidth) jaringan yang menghubungkan

komputer tersebut.

2.4.6 UDP Flood : Pada dasarnya mengaitkan dua sistem tanpa di sadari.

Dengan cara spoofing, User Datagram Protocol (UDP) flood attack

akan menempel pada servis UDP chargen disalah satu mesin, yang

untuk keperluan “percobaan” akan megirimkan sekelompok karakter

ke mesin lain, yang diprogram untuk meng-echo setiap kiriman

karakter yang diterima melalui servis chargen. Karena paket UDP

tersebut dispoofing diantara kedua mesin tersebut maka yang terjadi

adalah banjir tanpa henti kiriman karakter yang tidak berguna di antara

kedua mesin tersebut. Untuk menanggulangi UDP flood, dapat

mendisable semua servis UDP disemua mesin jaringan, atau yang

lebih mudah adalah dengan memfilter pada firewall semua servis UDP

yang masuk.

2.4.7 Packet Interception : Membaca suatu paket disaat paket tersebut

dalam perjalanan disebut dengan packet sniffing. Ini adalah suatu cara

penyerang untuk mendapatkan informasi yang ada didalam paket

tersebut. Ada baiknya suatu paket yang akan dikirim di enkripsi

terlebih dahulu sehingga penyerang mengalami kesulitan untuk

membuka paket tersebut. Untuk dapat membaca suatu paket yang

sedang lewat suatu jaringan, penyerang berusaha untuk mendapatkan

paket yang diinginkan dengan berbagai cara. Yang paling mudah bagi

penyerang adalah dengan mendapatkan kontrol lalu-lintas jaringan,

18

bisa dengan menggunakan tool yang disediakan untuk melakukan

serangan yang banyak tersedia diinternet. Tool ini akan mencari dan

dengan mudah memanfaatkan kelemahan dari protokol yang ada.

2.4.8 ICMP Flood : Seorang penyerang melakukan eksploitasi sistem

dengan tujuan untuk membuat suatu target host menjadi hang, yang

disebabkan oleh pengiriman sejumlah paket yang besar ke arah target

host. Exploting sistem ini dilakukan dengan mengirimkan suatu

command ping dengan tujuan broadcast atau multicast dimana si

pengirim dibuat seolah-olah adalah target host. Hal inilah yang

membuat target host menjadi hang dan menurunkan kinerja jaringan.

Bahkan hal ini dapat mengakibatkan terjadinya denial of service.

2.4.9 Traceroute : Suatu tool (alat bantu) yang digunakan untuk memetakan

konfigurasi suatu target adalah dengan menggunakan sebuah command

sederhana yang dikenal dengan traceroute. Kegunaannya adalah untuk

mengirimkan secara serempak sebuah urutan paket dengan

menambahkan nilai TTL (Time to Live). Ketika sebuah router lanjutan

menerima sebuah paket terusan maka mengurangi nilai TTL sebelum

meneruskannya ke router berikutnya. Pada saat itu jika nilai TTL pada

sebuah paket mencapai nilai nol maka pesan time exceeded akan

dikirim balik ke host asal. Dengan mengirimkan paket dengan nilai

TTL 1 akan memperbolehkan router pertama di dalam jalur paket

untuk mengembalikan pesan time exceeded yang akan mengizinkan

penyerang untuk mengetahui IP address router pertama. Paket

19

berikutnya kemudian dikirimkan dengan menambahkan nilai 1 pada

TTL, sehingga penyerang akan mengetahui setiap loncatan antara host

asal dengan host target.

Tabel 2.1 Point dan Jenis Serangan

(

(Sumber : Ariyus, 2007)

2.5 Tujuan Keamanan Komputer

Menurut Ariyus (2007), Mengapa Intrusion Detection Sistem (IDS)

ditambahkan untuk meningkatkan keamanan komputer? Pada dasarnya

tujuan dari keamanan komputer, yang disingkat dengan CIA, yang

merupakan singkatan dari :

1. Confidentiality : Merupakan usaha untuk menjaga informasi dari orang

yang tidak berhak mengakses. Confidentiality biasanya berhubungan

dengan informasi yang diberikan ke pihak lain.

2. Integrity : Keaslian pesan yang dikirim melalui sebuah jaringan dan dapat

dipastikan bahwa informasi yang dikirim tidak di modifikasi oleh orang

yang tidak dalam perjalanan informasi tersebut.

Point Serangan

Internal User External User

Denial of Service Menganggu Menganggu

Increase Privilege Serius menganggu Resiko yang serius

Superuser Priviliege

Sangat serius Bencana

20

3. Availability : Aspek availability atau ketersediaan berhubungan dengan

ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang

atau dijebol dapat menghambat atau meniadakan akses ke informasi.

2.6 Access Control

Menurut Rafiudin (2005). Access Control adalah proses pembatasan

privilege (hak istimewa) untuk user atas penggunaan sumber daya sistem.

Terdapat tiga tipe pengendalian akses :

1. Administrative Control : Pengendalian berdasarkan kebijakan (policy),

informasi kebijakan sekuriti harus sejalan dengan sasaran-sasaran bisnis

organisasi.

2. Physical Control : Pengontrolan akses terhadap perangkat-perangkat fisik

jaringan, termasuk node-node, pengkabelan, ruangan/bangunan dan asset-

aset privat lainnya.

3. Logical Control : Kendali hardware dan software, pembatasan akses atas

konfigurasi-konfigurasi Access Control List (ACL) protokol-protokol

komunikasi dan sistem kriptografi.

21

2.7 Definisi Firewall

Menurut Stallings (2003). Firewall merupakan suatu perangkat yang

dapat melindungi sebuah sistem lokal jaringan dan sistem jaringan secara

efektif dari ancaman keamanan sementara pada waktu mengakses keluar

jaringan lewat Wide Area Network dan melalui jaringan internet.

2.7.1 Karakterikstik Firewall

Berikut adalah tujuan desain untuk firewall :

1. Semua traffic dari dalam ke luar jaringan, dan sebaliknya harus

melewati firewall. Dengan firewall ini adalah untuk menghalangi

semua akses kepada jaringan lokal kecuali melalui firewall. Mungkin

macam konfigurasi firewall sebagai menjelaskan didalam section.

2. Hanya memberikan hak akses traffic sebagai kebijakan keamanan

jaringan yang diizinkan lewat. Tipe macam firewall yang digunakan

tipe firewall security policy.

3. Firewall itu sendiri mempertahankan. Firewall sistem yang

dipercaya dengan sebuah operating system yang aman.

Empat teknik umum yang firewall gunakan untuk control akses dan

melaksanakan security policy. Sesungguhnya, firewall diutamakan

focus dalam service control, tetapi firewall telah menyediakan empat

dalam service control :

22

a. Service Control : Menentukan tipe dari internet service yang dapat

diakses dalam ataupun luar jaringan internet. Firewall

membolehkan filter packet dalam basis IP address dan TCP nomor

port: software proxy yang menerima dan setiap sebelum meminta

service melewati proxy atau mungkin host server yang di buat

sendiri, seperti web atau mail service.

b. Direction Control : Menentukan petunjuk dimana teliti dalam

meminta service mungkin mengizinkan melewati firewall.

c. User Control : Mengendalikan akses ke sebuah service yang user

yang inginkan. Biasanya menerapkan user didalam parameter

firewall (local users). Ini mungkin juga menerapkan incoming

traffic dari external users, yang belakangan memerlukan dari

keamanan teknologi authentication seperti disediakan IPsec.

d. Behavior Control : Mengontrol dengan teliti bagaimana service

yang digunakan. Untuk contoh, firewall membolehkan filter email

untuk membersihkan SPAM atau membolehkan mengaktifkan akses

eksternal ke hanya informasi sebuah web server.

2.7.2 Jenis-jenis Firewall

Firewall terbagi menjadi tiga jenis, yakni sebagai berikut :

a. Packet-Filtering Router : Sebuah packet-filtering router

menerapkan aturan (rule) ke setiap paket IP yang masuk atau datang

23

dan kemudian diforward atau dibuang paket tersebut. Biasanya

konfigurasi router untuk memfilter paket dikedua arah (dari dan ke

jaringan internal). Filtering rules didasarkan atas informasi yang

terdapat dipaket jaringan.

b. Application-Level Gateway : Application-level gateway juga

disebut sebuah proxy server, yang bertindak sebagai meletakkan

dari application-level gateway yang menggunakan apliaksi TCP/IP,

seperti Telnet atau FTP dan gateway meminta user untuk

mengakses yaitu meremote host. Bila user dan informasi otentikasi.

Application Gateway dalam remote host dan meletekakan pada

bagian segment TCP yang berisi aplikasi data diantara kedua

endpoint (titik terakhir).

c. Circuit-Level Gateway : Ketiga dari jenis firewall adalah circuit-

level gateway. Circuit-level gateway sistem yang dapat berdiri

sendiri atau bisa merupakan suatu fungsi yang melakukan dengan

application-level gateway untuk aplikasi. Circuit-level gateway

pintu gerbang tidak mengizinkan end-to-end koneksi TCP, satu

diantaranya adalah kumpulan dua koneksi. Satu diantaranya

gateway dan sebuah user TCP diluar host.

Dalam hal ini penulis menggunakan jenis Firewall Check

Point atau Firewall-1 yaitu Firewall Nokia IP 390.

24

2.7.3 Firewall Check Point atau Firewall-1

Menurut (Baroto, 2003) Pembuatan firewall-1 berbasis pada

teknologi arsitektur stateful Inspection yang akan menjamin

keamanan jaringan hingga tingkat tertinggi. Modul inpeksi pada

Firewall-1 berisi mesin inspeksi (INSPECT) yang mampu dengan

seksama memeriksa seluruh muatan paket pada lapisan komunikasi

serta mengambil sari informasi dari kondisi komunikasi dan aplikasi

yang sesuai. (Baroto : 2003)

Produk Firewall-1 Entreprise :

1. Modul Manajemen : Manajemen sistem keamanan terpusat

berbasis grafis baik untuk satu atau lebih hingga tak terbatas

terhadap titik-titik penyelengaraan (enforcement) keamanan atau

modul Firewall itu sendiri.

2. Modul Inspeksi : Kontrol akses, Autentikasi klien dan session,

Network Address Translation (NAT) dan Auditing.

3. Modul Firewall : Termasuk Modul Inspeksi. Autentikasi User,

Sinkronisasi Firewall jamak dan Keamanan Muatan (Content

Security).

4. Modul Enkripsi : Menyediakan metode enkripsi DES dan

enkripsi FWZ-1.

5. Manajemen Keamanan Router : Manajemen keamanan bagi

kegiatan control akses baik terhadap satu router hingga lebih.

25

6. Manajer Keamanan Terbuka : Manajemen keamanan terpusat

baik bagi router produksi 3Com, Cisco dan server Microsoft NT

hingga ke Firewall PLX Cisco.

2.8 Intrusion Detecction System

Menurut (Stalling, 2003). Penyusupan (intruders) salah satu dari dua

yang paling mempubilkasikan ancaman keamanan dari intruder/penyusup

(virus-virus lainnya), biasanya menunjukan sebagai hacker atau cracker.

Pentingnya diawal mempelajari intrusion (gangguan), ada tiga kelas dari

intruder :

1. Masquerader : Seseorang yang tidak diberikan hak untuk menggunakan

komputer dan siapa yang memasuki sistem, akses control mengeksploitasi

penggunaan account.

2. Misfeasor : User yang mengakses data, program atau sumber daya

dimana tidak diberikan hak akses tersebut. Atau seseorang yang diberikan

hak akses tetapi disalahgunakan.

3. Clandestine user : Seseorang yang mengambil kendali pengawasan sistem

dan menggunakan control untuk menghindari atau mengontrol, menahan

pemeriksaan.

Menurut (Stallings, 2003) Teknik Intrusion detection adalah secara

objektif intruder memperoleh hak akses ke sebuah sistem. Biasanya, intruder

26

memerlukan informasi dari password user dengan beberapa pengetahuan lain

dari password user. Intruder dapat masuk kedalam sebuah sistem dan semua

latihan untuk memperoleh hak akses.

Menurut Ariyus (2007). Intrusion Detection System (IDS) merupakan

penghambat semua serangan yang akan menganggu sebuah jaringan.

Kemampuan dari IDS memberika peringatan kepada administrator server

saat terjadi sebuah aktivitas tertentu yang tidak diinginkan administrator

sebagai penanggung jawab sebuah sistem. Selain memberikan peringatan,

IDS juga mampu melacak jenis aktivitas yang merugikan sebuah sistem.

Suatu IDS akan melakukan pengamatan (monitoring) terhadap paket-paket

yang melewati jaringan dan berusaha menemukan apakah terdapat paket-

paket yang berisi aktivitas mencurigakan sekaligus melakukan tindak lanjut

pencegahan. Hal-hal yang dilakukan oleh IDS pada jaringan internal adalah

sebagai berikut:

1. Memonitor akses database.

2. Melindungi e-mail server.

3. Memonitor Policy Security.

2.9 Intrusion Detection System (IPS)

Menurut Ariyus (2007). Teknologi Intrusion Detection System (IDS)

diperkirakan kadaluarsa dalam dekat karena digantikan Intrusion Prevention

27

System (IPS) yang memiliki kemampuan lebih lengkap. IDS hanya mampu

mendeteksi adanya penyusupan dalam jaringan, lalu mengaktifkan peringatan

kepada pengguna untuk segera mengambil langkah-langkah mitigasi,

sementara IPS langsung mengatasi penyusupan tersebut.

Awalnya IDS adalah pengembangan dari firewall, yakni sistem yang

memisahkan antara jaringan internal dan eksternal. Firewall dinilai tidak

cukup karena hanya sebagai pemisah saja, tidak memeriksa paket-paket

data yang berbahaya sehingga bisa lolos. Pada pengembangannya

kemudian IDS tidak berguna karena pada saat alarm berbunyi, jaringan

sudah terinfeksi dan pengguna tidak bisa berbuat banyak. IDS berkembang

karena pada awalnya kelahirannya, pasar saat itu memandang skeptic

terhadap keberhasilan teknologi IPS yang menggunakan filter dalam

menangkal serangan dan penyusupan. Pada 2002, lembaga riset Gartner

merilis laporan yang isinya mengingatkan para pengguna untuk menunda

investasi IDS yang dinilai gagal. IDS bahkan dinilai investasi mahal namun

tidak efektif untuk meningkatkan keamanan jaringan. Saat itu active IDS,

teknologi cikal-bakal IPS yang mampu secara aktif mendeteksi serangan

dan mengubah aturan firewall dan router untuk menggantisipasi serangan,

dinilai mengganggu sehingga tidak diterima oleh para administrator

jaringan. Pada perkembangannya, frekuensi serangan terhadap jaringan

meningkat sementara rentang waktu antara ditemukannya celah keamanan

dan tersediannya patch untuk menutup celah itu, semakin sempit.

Akibatnya, para administrator jaringan tidak memiliki cukup waktu untuk

28

menggantisipasi serangan dengan memasang patch disebut Zero Day Attack

semakin dekat. Kemudian perkembangan teknologi memungkinkan IPS

bekerja lebih cepat dalam menganalisis pola-pola serangan.

Salah satu merek peranti IPS bahkan memiliki kecepatan maksimal

hingga 5 Gigabit per detik (Gbps). IPS pertama kali diperkenalkan One

Secure yang kemudian dibeli NetScreen Technologies sebelum akhirnya

diakusisi Juni per Networks pada 2004. Salah satu produsen IPS Tip-ping

Point juga dibeli penyedia peranti jaringan 3Com Corp. IPS memutuskan

memberikan akses kepada jaringan berdasarkan isi paket data, bukan

berdasarkan alamat IP (Internet Protocol) atau port seperti firewall. Sistem

setup pada IPS sama dengan sistem setup pada IDS. IPS bisa sebagai host-

based IPS (HIPS) yang bekerja untuk melindungi aplikasi dan juga sebagai

network-based IPS (NIPS). Mengapa IPS lebih unggul dari IDS ? Karena

IPS mampu mencegah serangan yang datang dengan bantuan administrator

secara minimal atau bahkan tidak sama sekali. Tidak seperti IDS, secara

logik IPS akan menghalangi suatu serangan sebelum terjadi eksekusi pada

memori, metode lain dari IPS membandingkan file Checksum yang tidak

semestinya dengan file checksum yang semestinya mendapatkan izin untuk

dieksekusi dan juga bisa menginterupsi sistem call.

Secara khusus IPS memiliki empat komponen utama :

1. Normalisasi traffic

2. Service scanner

29

3. Detection engine

4. Traffic shaper

Normalisasi traffic akan menginterupsikan lalu-lintas jaringan dan

melakukan analisis terhadap paket yang disusun kembali, seperti halnya

fungsi block sederhana. Lalu-lintas bisa dideteksi dengan detection

engine dan service scanner. Service scanner membangun suatu table

acuan untuk mengelompokkan informasi dan membantu pembentukkan

lalu-lintas informasi. Detection engine melakukan pattern matching

terhadap table acuan dan respons yang sesuai. Gambar 2.1

mengilustrasikan proses tersebut secara garis besarnya.

Teknologi IDS dan IPS masing-masing mempunyai kemampuan

dalam melindungi suatu sistem. Teknologi IPS merupakan teknologi

yang diperbaharui dari IDS. Perbedaan dari program itu adalah seperti

tabel 2.2.

30

Gambar 2.1 Standar Proses IPS

Tabel 2.2 Perbedaan IDS dan IPS

Intrusion Detection System(IDS)

Intrusion Prevention System(IPS

Install pada segmen jaringan (NIDS) dan pada host (HIDS)

Install pada segmen jaringan (NIPS) dan pada host (HIPS)

Berada pada jaringan sebagai sistem yang pasif

Berada pada jaringan sebagai sistem yang aktif

Tidak bisa menguraikan lalu-lintas enkripsi

Lebih baik melindungi aplikasi

Manajemen kontrol terpusat Manajemen kontrol terpusat

Baik untuk mendeteksi serangan Ideal untuk memblocking perusakan web

Alerting (reaktif) Blocking (proaktif)

(Sumber : Ariyus, 2007)

Long-term storage

Reference table

Traffic normalizer

Response manager

GUI

System scanner

Alert manager

Detection engine

Signature matching

Traffic shaping

31

2.10 Skema Analisis IDS dan IPS

IDS dan IPS melakukan analisis terhadap data dan mengidentifikasi

aktivitas yang anomalous (ganjil) pada ruang lingkup jaringan dan host.

Analisis real time merupakan analisis suatu paket yang akan masuk ke

jaringan. Dengan kata lain paket masih dalam lalu-lintas jaringan internet

atau jaringan lokal.

Pada dasarnya tujuan dari analisis yang dilakukan IDS dan IPS

adalah untuk meningkatkan keamanan pada sistem. Tujuan yang bisa

dilakukan oleh IDS dan IPS adalah :

1. Create record yang aktivitas yang relevan untuk follow-up.

2. Menentukan kekurangan dari jaringan dengan mendeteksi aktivitas

khusus.

3. Merekam aktivitas yang tidak sah untuk digunakan untuk keperluan

forensic atau criminal prosecution (tuntutan pidana) dari serangan

penyusup.

4. Meningkatkan tanggung jawab dengan menghubungkan aktivitas dari

individu dari sistem yang lain.

Gambar dibawah ini mengilustrasikan analisis yang ideal. IDS atau

IPS mengidentifikasi anomalous aktivitas yang berasal dari luar jaringan,

dan menyesuaikan dengan aktivitas normal dari baseline. Perbedaan dari

aktivitas anomalous dan baseline sangat besar sehingga mudah terdeteksi.

32

Dengan alasan ini analisis yang dilakukan IDS atau IPS menjadi lebih

mudah untuk mencapai tujuan keamanan yang lebih ideal.

Gambar 2.2 Hubungan antara Aktivitas jaringan Baseline dan

Anomalous

2.11 Prinsip Kerja IDS pada Jaringan Internal

Istilah intrusion detection system merupakan suatu visi dari alat yang

diletakkan pada parameter jaringan untuk memberitahu adanya penyusup.

IDS juga mempunyai peran penting untuk mendapatkan arsitektur defence-in-

depth (pertahanan yang mendalam) dengan melindungi akses jaringan

internal, sebagai tambahan dari parameter defence. Banyak dari fungsi

jaringan internal yang bisa dimonitor demi keamanan yang maksimal. Hal-

hal yang dilakukan oleh IDS pada jaringan internal adalah sebagai berikut :

2.11.1 Memonitor akses database : ketika mempertimbangkan pemilihan

kandidat untuk menyimpan data, suatu perusahaan akan memilih

database sebagai solusi untuk menyimpan data-data yang berharga.

Pentingnya data sama dengan penelitian suatu perusahaan dalam

mengembangkan suatu produk unggulan. Jika data yang disimpan di

Baseline activity

Anomalousactivity

33

dalam database bisa diakses oleh orang-orang yang tidak berhak,

maka akan terjadi bencana. Oleh karena itu database server selalu

diletakkan pada posisi yang paling dalam dari suatu jaringan dan

hanya bisa diakses oleh sumber daya internal. Bagaimanapun statistik

dari FBI bahwa akses ke database untuk mencuri data banyak berasal

dari jaringan internal, oleh karena itu penggunaan IDS memberikan

solusi untuk melindungi database dari exploit seperti contoh :

a. ORACLE drop table attempt

b. ORACLE EXECUTE_SYSTEM attempt

c. MYSQL root login attempt

d. MYSQL show database attempt

Memonitor fungsi dari DNS : Beranjak dari pertanyaan “Apa yang

ada pada nama server?” Jawabannya konfigurasi jaringan.

Memasukkan domain name server yang meliputi nama dari

komponen jaringan internal, IP address, dan informasi private lain

yang memberikan tentang jaringan. Dengan informasi ini penyusup

bisa melakukan pemetaan jaringan dengan mengambil kesimpulan

dari DNS zone transfer. Langkah pertama melakukan pengintaian

terhadap versi dari DNS server, IDS bisa mendeteksi rule DNS name

version attempt. Langkah kedua melakukan deteksi terhadap

eksploitasi dengan menggunakan rule DNS zone transfer attempt.

Penempatan IDS pada sistem jaringan bisa menjaga terjadinya

eksploitasi DNS.

34

2.11.2 Melindungi e-mail server : Jika berbicara tentang melindungi e-mail

account, banyak user menggunakan software antivirus untuk

melakukan scanning terhadap kemungkinan adanya virus. Program

antivirus tidak sepenuhnya bisa mendeteksi malicious code. IDS

dapat berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm,

NAVIDAD worm, dan versi terbaru dari ExploreZip. IDS dapat

dimodifikasi sedemikian rupa untuk mengatasi masalah malicious

code. Software antivirus selalu diperbaharui (update) oleh vendornya

sehingga akan ada biaya tambahan untuk hal tersebut. Perkembangan

dari teknologi malicious code perlunya dipertimbangkan untuk

masalah e-mail security dari serangan terhadap mail server. IDS

mampu mendeteksi e-mail secara simultan untuk menghindari

serangan ke mail server. IDS dapat di atur untuk mendeteksi dan

menghalangi e-mail bomb yang bisa melumpuhkan mail server.

2.11.3 Memonitor policy security : Security policy merupakan suatu aturan

yang diberikan untuk melindungi suatu jaringan dari hal-hal yang

tidak diinginkan. IDS juga bisa di atur untuk memonitor policy

security. Jika ada pelanggaran terhadap policy security maka IDS

akan memberitahu bahwa telah terjadi sesuatu yang tidak sesuai

dengan aturan yang ada.

35

2.12 Tujuan Penggunaan IDS

IDS merupakan software atau hardware yang melakukan otomatisasi

proses monitoring kejadian yang muncul disistem komputer atau jaringan,

menganalisanya untuk menemukan permasalahan keamanan. IDS adalah

pemberi sinyal pertama jika seorang penyusup mencoba membobol sistem

keamanan komputer kita. Secara umum penyusupan bisa berarti serangan

atau ancaman terhadap keamanan dan integritas data, serta tindakan atau

percobaan untuk melewati sebuah sistem keamanan yang dilakukan oleh

seseorang dari internet maupun dari dalam sistem.

IDS tidak dibuat untuk menggantikan fungsi firewall karena

kegunaanya berbeda. Sebuah sistem firewall tidak bisa mengetahui apakah

sebuah serangan sedang terjadi atau tidak. tetapi IDS mengetahuinya.

Dengan meningkatnya jumlah serangan pada jaringan, IDS merupakan

sesuatu yang diperlukan pada infrastruktur keamanan di kebanyakan

organisasi.

Secara singkat, fungsi IDS adalah pemberi peringatan kepada

administrator atas serangan yang terjadi pada sistem kita. Alasan

mempergunakan IDS :

1. Untuk mencegah resiko timbulnya masalah.

2. Untuk mendeteksi serangan dan pelanggaran keamanan lainnya yang

tidak dicegah oleh perangkat keamanan lainnya. Biasanya penyusupan

berlangsung dalam tahapan yang bisa diprediksi. Tahapan pertama adalah

36

probing, atau eksploitasi pencarian titik masuk. Pada sistem tanpa IDS,

penyusup memiliki kebebasan melakukannya dengan resiko lebih kecil.

IDS yang mendapati probing, bisa melakukan blok akses , dan

memberitahukan tenaga keamanan yang selanjutnya mengambil tindakan

lebih lanjut.

3. Untuk mendeteksi usaha yang berkaitan dengan serangan misal probing

dan aktivitas dorknob rattling.

4. Untuk mendokumentasikan ancaman yang ada ke dalam suatu organisasi.

IDS akan mampu menggolongkan ancaman baik dari dalam maupun dari

luar organisasi. Sehingga membantu pembuatan keputusan untuk alokasi

sumber daya keamanan jaringan.

5. Untuk bertindak sebagai pengendali kualitas pada adminitrasi dan

perancangan keamanan, khususnya pada organisasi yang besar dan

kompleks. Saat ini IDS dijalankan dalam waktu tertentu, pola dari

pemakaian sistem dan masalah yang ditemui bisa nampak. Sehingga

akan membantu pengelolaan keamanan dan memperbaiki kekurangan

sebelum menyebabkan insiden.

6. Untuk memberikan informasi yang berguna mengenai penyusupan yang

terjadi, peningkatan diagnosa, recovery, dan perbaikan dari faktor

penyebab. Meski jika IDS tidak melakukan block serangan, tetapi masih

bisa mengumpulkan informasi yang relevan mengenai serangan, sehingga

membantu penanganan insiden dan recovery. Hal itu akan membantu

konfigurasi atau kebijakan organisasi.

37

Meskipun vendor dan administrator berusaha meminimalkan

vulnerabilitas yang memungkinkan serangan, ada banyak situasi yang tidak

memungkinkan hal ini :

1. Pada banyak sistem, tidak bisa dilakukan patch atau update sistem

operasi.

2. Administrator tidak memiliki waktu atau sumber daya yang mencukupi

untuk melacak dan menginstall semua patch yang diperlukan. Umumnya

ini terjadi dalam lingkungan yang terdiri dari sejumlah besar host dengan

hardware dan software yang berbeda.

3. User mempergunakan layanan protokol yang merupakan sumber

vulnerabilitas.

4. Baik user maupun administrator bisa membuat kesalahan dalam

melakukan konfigurasi dan penggunaan sistem.

5. Terjadi disparitas policy yang memungkinkan user melakukan tindakan

yang melebihi kewenangannya.

Salah satu tujuan dari pengelolaan keamanan komputer adalah

mempengaruhi perilaku dari user dengan suatu jalan yang akan melindungi

sistem informasi dari permasalahan keamanan. IDS membantu organisasi

mencapai tujuan ini dengan meningkatkan kemampuan penemuan resiko.

2.12.1 Tipe Intrusion Detection System (IDS)

Pada dasarnya terdapat dua macam IDS, yaitu :

38

1. Host-Based : IDS host-based bekerja pada host yang akan

dilindungi. IDS jenis ini dapat melakukan berbagai macam tugas

untuk mendeteksi serangan yang dilakukan pada host tersebut.

Keunggulan IDS host-based adalah pada tugas-tugas yang

berhubungan dengan keamanan file yang telah di ubah atau ada

usaha untuk mendapatkan akses ke file-file yang sensitive.

2. Network-Based : IDS network-based biasanya berupa suatu mesin

yang khusus dipergunakan untuk melakukan monitoring seluruh

segmen dari jaringan. IDS network-based akan mengumpulkan

paket-paket data yang terdapat pada jaringan dan kemudian

menganalisanya serta menentukan apakah paket-paket itu berupa

suatu paket yang normal atau suatu serangan atau berupa aktivitas

yang mencurigakan. Yang akan dikembangkan tipe IDS adalah

NIDS

Pembagian jenis-jenis IDS yang ada pada saat sekarang ini

didasarkan atas beberapa terminology, di antaranya :

1. Arsitektur Sistem

Dibedakan menurut komponen fungsional IDS, bagaimana

diatur satu sama lainnya.

a. Host-Target Co-Location : IDS yang dijalankan pada

sistem yang akan dilindungi. Kelemahan dari sistem ini

adalah jika penyusup berhasil memperoleh akses ke sistem

39

maka penyusup dapat dengan mudah mematikan IDS tipe

ini.

b. Host-Target Separation : IDS diletakkan pada komputer

yang berbeda dengan yang akan dilindungi.

2. Tujuan Sistem

Walaupun banyak tujuan berhubungan dengan mekanisme

keamanan secara umum, ada dua bagian tujuan Intrusion

Detection System (IDS), diantaranya adalah :

a. Tanggung jawab : adalah kemampuan untuk

menghubungkan suatu kegiatan dan kejadian dan

bertanggung jawab terhadap semua yang terjadi. Hal ini

sangat penting saat terjadi suatu serangan. Administrator

bertanggung jawab terhadap sistem yang dikelola.

b. Respons : Suatu kemampuan untuk mengendalikan

aktivitas yang merugikan dalam suatu sistem komputer.

Jika terjadi serangan maka harus mampu menghalangi atau

mengendalikan serangan tersebut.

3. Strategi Pengendalian

IDS dibedakan menurut bagaimana IDS-IDS yang ada

dikendalikan, baik input maupun outputnya. Jenis-jenis IDS

menurut terminology ini adalah :

40

a. Terpusat : Seluruh kendali pada IDS, baik monitoring,

deteksi dan pelaporannya dikendalikan secara terpusat.

b. Terdisribusi parsial : Monitoring dan deteksi dikendalikan

dari node lokal dengan hierarki pelaporan pada satu atau

beberapa pusat lokasi.

c. Terdistibusi total : Monitoring dan deteksi menggunakan

pendekatan berbasis agen, dimana keputusan respons

dibuat pada kode analisis.

4. Waktu

Waktu dalam hal ini berarti waktu antara kejadian, baik

monitoring ataupun analisis. Jenis IDS menurut terminology

ini adalah :

a. Interval-Based (Batch mode) : informasi dikumpulkan

terlebih dahulu dan kemudian dievaluasi menurut interval

waktu yang telah ditentukan.

b. Realtime (Continues) : IDS memperoleh data secara terus

menerus dan dapat mengetahui bahwa penyerangan sedang

terjadi sehingga secara cepat dapat melakukan respons

terhadap penyerangan.

41

5. Sumber informasi

IDS ini dibedakan menurut sumber daya yang diperoleh.

Terminologi ini sering digunakan untuk membagi jenis-jenis

IDS. Jenis-jenis IDS menurut terminologi ini di antaranya :

2.12.1.1 Host-Based : IDS memperoleh informasi dari

sebuah sistem komputer. Host-based IDS

memperoleh informasi dari data yang dihasilkan

oleh sistem pada sebuah komputer yang diamati.

Data host-based IDS biasanya berupa log yang

dihasilkan dengan memonitor sistem file event, dan

keamanan pada Windows NT dan syslog pada

lingkungan sistem operasi UNIX. Saat terjadi

perubahan pada log tersebut maka dilakukan

analisis apakah sama dengan pola serangan yang

ada pada basis data IDS.

Gambar 2.3 Host-Based IDS (Ariyus: 2007)

42

Teknik yang sering digunakan pada host-

based IDS adalah dengan melakukan pengecekan

pada kunci file sistem dan file eksekusi dengan

checksum pada interval waktu tertentu untuk

mendapatkan perubahan yang tidak diharapkan

(unexpected changes). Pewaktuan atas respons

berkolerasi dengan interval waktu yang

didefinisikan untuk melakukan polling

pengumpulan data.

Host-based IDS tidak secepat network-based

IDS dalam mendeteksi adanya serangan. Host-

based IDS memiliki beberapa kelebihan yang tidak

dapat dimiliki network-based IDS. Kelebihan

tersebut termasuk analisis forensic yang lebih kuat,

fokus terhadap sebuah host, dan lainnya.

Beberapa kelebihan host-based IDS itu sendiri

antara lain :

a. Menguji keberhasilan atau kegagalan serangan.

Karena sistem ini menggunakan logs berisi

event yang telah terjadi, sehingga dapat diukur

apakah serangan telah berhasil atau tidak

dengan akurasi yang lebih tinggi dibanding

43

dengan network-based IDS. Metode ini menjadi

sebuah komplemen yang baik untuk network-

based IDS.

b. Memonitor aktivitas sistem tertentu. Sistem ini

memonitor aktivitas pengguna dan akses

terhadap file, termasuk pengaksesan file,

penggantian atribut file, percobaan untuk

instalasi file eksekusi baru dan /atau percobaan

untuk mengakses service privileged.

c. Mendeteksi serangan yang lolos dari network-

based IDS. Host-based IDS mendeteksi

serangan yang tidak dapat dikenali oleh

network-based IDS. Sebagai contoh adalah

serangan melalui sistem lokal yang tidak

melalui jaringan.

d. Cocok untuk lingkungan encrypt dan switch.

Pada perusahaan yang besar biasanya digunakan

enkripsi dalam komunikasi data dan untuk

mempercepat komunikasi digunakan dengan

tipe switch sehingga sulit bagi network-based

IDS untuk mengenali serangan dan memerlukan

overhead untuk membaca paketnya.

44

Beberapa kelemahan dari host-based di antaranya

adalah :

a. Manajemen yang rumit, informasi harus

dikonfigurasi untuk setiap host yang ada.

b. Sedikit sumber informasi (dan kadang, bagian

dari analisis engine), karena host-based berada

pada host yang menjadi target suatu serangan.

Jika suatu IDS host-based dilumpuhkan oleh

penyerang maka penyerang bisa mendapatkan

akses terhadap host tersebut.

c. Host-based tidak cocok untuk mendeteksi

jaringan atau melakukan monitoring terhadap

suatu jaringan karena IDS hanya memonitor

paket yang diterima pada host tersebut.

d. Host-based dapat dilumpuhkan oleh serangan

denial of service.

2.12.1.2 Network-based : IDS memperoleh informasi dari

paket-paket jaringan yang ada. Network-based IDS

menggunkan raw packet yang ada di jaringan

sebagai sumber datanya. Network-based IDS

menggunakan network adapter sebagai alat untuk

menangkap paket-paket yang akan dipantau.

45

Network adapter berjalan pada mode prosmicuous

untuk memonitor dan melakukan analisis paket-

paket yang ada yang berjalan di jaringan.

Gambar 2.4 Network-Based IDS

(Ariyus, 2007)

Beberapa cara yang digunakan untuk mengenali

serangan pada Network-based IDS ini antara lain :

a. Pola data, ekpresi atau pencocokan secara

bytecode.

b. Frekuensi atau pelanggaran ambang batas.

c. Korelasi yang dekat dengan sebuah event.

d. Deteksi anomaly secara statistic.

46

Network-based IDS memiliki kelebihan yang tidak

dapat diberikan oleh IDS yang lain. Di bawah ini

beberapa kelebihan dari Network-based IDS :

a. Biaya yang lebih rendah. Network-based IDS

memungkinkan pengawasan yang strategis pada

titik akses yang kritis untuk menampilkan

network traffic untuk beragam sistem yang akan

diamati sehingga sistem ini tidak memerlukan

perangkat lunak untuk digunakan dan diatur pada

banyak host. Karena kebutuhan titik deteksi yang

lebih sedikit, maka biayanya lebih rendah.

b. Deteksi serangan yang tidak terdeteksi oleh Host-

based IDS. Sistem ini memeriksa semua packet

header untuk mencari aktivitas yang

mencurigakan. Beberapa serangan yang tidak

dapat dideteksi oleh Host-based IDS adalah

IPbased DoS dan Fragmented Packet (Tear

Drop). Serangan tersebut dapat diidentifikasi

dengan membaca header dari paket yang ada.

Kekurangan dari Network –based IDS adalah

sebagai berikut :

47

a. Network-based IDS sulit untuk memproses

semua paket yang besar dan jaringan yang sibuk

sehingga akan gagal dalam mendeteksi serangan

yang terjadi jika suatu jaringan sangat sibuk

(aktivitas yang tinggi). Beberapa dari vendor IDS

mencoba memecahkan masalah ini dengan

menerapkan IDS dalam perangkat keras, yang

mana bisa mendeteksi serangan dalam lalu-lintas

yang sibuk sekali.

b. Banyak keuntungan IDS tidak berlaku untuk

jaringan yang menggunakan metode switch-

based yang lebih modern.

c. Network-based IDS tidak bisa menganalisis paket

yang telah dienkripsi.

d. Kebanyakan network-based IDS tidak bisa

memberitahukan apakah suatu serangan telah

berhasil mendapatkan sistem, hanya dapat

memberitahukan bahwa serangan sedang terjadi.

Network-based IDS hanya memberitahukan ke

administrator bahwa serangan telah terjadi dan

administrator akan melakukan pemeriksaan

48

secara manual untuk mencari kemungkinan host

mana yang terserang.

e. Banyak dari network-based IDS mempunyai

masalah bila berhadapan dengan serangan yang

menggunakan paket fragmentasi. Paket seperti

ini menyebabkan suatu network-based IDS

menjadi tidak stabil dan crash.

Salah satu contoh dari network-based adalah

snort. Snort merupakan suatu NIDS (Network-base

Intrusion Detection System). Snort merupakan suatu

program yang berfungsi untuk memeriksa data-data

yang masuk dan melaporkan ke administrator

apabila ada “gerak-gerik” yang mecurigakan.

Bekerja dengan prinsip program sniffer, yaitu

mengawasi paket-paket yang melewati jaringan.

Snort merupakan suatu NIDS (Network-based

Intrusion Detection System). Sebuah NIDS akan

memperhatikan seluruh segmen jaringan tempat dia

berada, berbeda dengan host-based IDS yang hanya

memperhatikan sebuah mesin software host based

IDS tersebut dipasang. Secara sederhana sebuah

IDS akan mendeteksi semua serangan yang dapat

melalui jaringan komputer (internet maupun

49

intranet) ke jaringan atau komputer yang kita

miliki. Sebuah NIDS biasanya digunakan

bersamaan dengan firewall. Hal ini untuk menjaga

supaya snort tidak terancam oleh serangan.

Respons serangan pada IDS network-based di

antaranya adalah :

1. Notifikasi

a. Alarm ke console

b. E-mail

c. SNMP Trap

d. Melihat sesi yang aktif

2. Logging

a. Summary Report

b. Raw Network Data

3. Respons aktif

a. TCP reset

b. Konfigurasi ulang firewall

c. User-defined.

50

Tabel 2.3 Perbedaan NIDS dan HIDS :

NIDS HIDS

Ruang lingkup yang luas (mengamati semua aktivitas jaringan)

Ruang lingkup yang terbatas (mengamati hanya aktivitas pada host tertentu).

Lebih mudah melakukan setup Setup yang kompleks

Lebih baik untuk mendeteksi serangan yang berasal dari luar jaringan.

Lebih baik untuk mendeteksi serangan yang berasal dari dalam jaringan.

Pendeteksian berdasarkan pada apa yang direkam dari aktivitas jaringan.

Pendeteksian berdasarkan pada single host yang diamati semua aktivitasnya.

Menguji packet header Packet header tidak diperhatikan

Respons yang real time Selalu merespons setelah apa yang terjadi.

OS-independent OS-specific

Mendeteksi serangan terhadap jaringan serta payload untuk di analisis

Mendeteksi serangan local sebelum mereka memasuki jaringan.

Mendeteksi usaha dari serangan yang gagal

Menverifikasikan sukses atau gagalnya suatu serangan.

Sumber (Ariyus, 2007)

2.12.1.3 Distrubusi Intrusion Detection System

Fungsi standar dari DIDS adalah mengatur

atau arsitekstur probe. Sensor dari NIDS sedikitnya

ditempatkan dan melaporkan ke pusat dari

managemen station NIDS. Serangan terhadap log

51

pada waktu tertentu atau upload secara terus-

menerus ke managemen station NIDS.

Pendistribusian IDS menggunakan lebih dari

satu NIDS pada suatu jaringan komputer, sehingga

lebih mudah untuk mendeteksi semua jaringan. Hal

ini sangat membantu jika tejadi traffic pada lalu-

lintas jaringan tersebut.

Gambar 2.5 Distribusi Intrusion Detection System

(Ariyus : 2007)

2.12.1.4 Hibrid IDS : Solusi network-base dan host-based

IDS yang memliki keunggulan dan manfaat yang

saling berbeda. Generasi lanjutan dari IDS

merupakan gabungan dari kedua komponen solusi

tersebut.

52

Gabungan dari kedua teknologi tersebut

meningkatkan resistantsi jaringan terhadap serangan

dan penyalagunaan, meningkatkan pelaksanaan

kebijakan keamanan dan kelebihan dalam

fleksibilitas ketersebaran sistem.

Beberapa fitur yang diharapkan pada generasi lanjut

IDS antara lain :

1. Integrasi antara network-based IDS dan Host-

based IDS

2. Manajemen konsol yang generic untuk semua

produk.

3. Integrasi basisdata event.

4. Integrasi system report.

5. Kemampuan menghubungkan event dengan

serangan.

6. Integrasi dengan on-line help untuk respons

insiden.

7. Prosedur instalasi yang ringkas dan terintegrasi

seluruh produk yang ada.

53

Proses dasar dari IDS, baik pada NIDS atau

HIDS, adalah mengumpulkan data, melakukan pre-

proses, dan mengklasifikasikan data tersebut.

Dengan analisis statistic suatu aktivitas yang tidak

normal akan bisa dilihat, sehingga IDS bisa

mencocokkan dengan data dan pola yang sudah ada.

Jika pola yang ada cocok dengan keadaan yang tidak

normal maka akan dikirim respons tentang aktivitas

tersebut.

2.12.1.5 Skema Analisis IDS

IDS melakukan analisis terhadap data dan

mengidentifikasi aktivitas yang anomalous (ganjil)

pada ruang lingkup jaringan dan host. Analisis real

time merupakan analisis suatu paket yang akan

masuk ke jaringan. Dengan kata lain paket masih

dalam lalu-lintas jaringan internet atau jaringan

lokal.

Pada dasarnya tujuan dari analisis yang

dilakukan IDS adalah untuk meningkatkan keamanan

pada sistem. Tujuan yang bisa dilakukan IDS adalah:

1. Create record yang aktivitas yang relevan untuk

follow-up.

54

2. Menentukan kekurangan dari jaringan dengan

mendeteksi aktivitas khusus.

3. Merekam aktivitas yang tidak sah untuk

digunakan untuk keperluan forensik atau

criminal prosecution (tuntutan pidanan) dari

serangan penyusup.

4. Bertindak sebagai penghalang aktivitas malicious

code.

5. Meningkatkan tanggung jawab dengan

menghubungkan aktivitas dari individu dari

sistem yang lain.

2.13 Snort

Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup

dan mampu menganalisis paket yang melintas jaringan secara real time

traffic dan logging ke dalam database serta mampu mendeteksi berbagai

serangan yang berasal dari luar jaringan. Snort bisa digunakan pada

platform sistem operasi Linux, BSD, Solaris, Windows dan sistem operasi

lainnya.

55

Snort bisa dioperasikan dengan empat mode (Roesch, 2009) :

a. Sniffer Mode : Snort membaca traffic atau paket-paket yang berada di

dalam sistem jaringan dan menampilkan ke layar console.

b. Packet Logger Mode : Snort membaca traffic dan melakukan logging

(pencatatan dan penyimpanan) aktivitas sensor.

c. Network Intrusion Detection Mode : Snort membaca dan

menganalisis traffic menggunakan ruleset/signatures untuk mendeteksi

aktivitas intrusi dan melakukan logging aktivitas sensor.

d. Inline Mode : Snort membaca, menganalisis traffic, logging dan

berinteraksi dengan firewall untuk memblok traffic intrusi memicu.

2.13.1 Fitur-Fitur Snort

Berikut ini adalah beberapa fitur snort (Kohlenberg) :

a. Merupakan program IDS/IPS berbasis signature open-source

yang menyediakan fungsionalitas yang terdapat pada NIDS

komersil.

b. Merupakan network sniffer yang terintegrasi dengan packet

logger yang berkemampuan untuk melakukan real-time traffic

analysis melalui mekanisme pattern matching terhadap

sejumlah signature/rules intrusi, alerting, blocking, packet

sniffer dan packet logging.

56

c. Membutuhkan resource yang relatif kecil dan mendukung

berbagai platform sistem operasi, baik terbuka (Linux/Unix)

atau komersial (MacOS, Windows).

d. Merupakan program modular dimana komponennya terdiri dari

plugin yang memiliki fungsi yang spesifik. Hal ini membuat

snort, mudah dikelola, mudah dimodifikasi, dan mudah

dikembangkan.

e. Mempermudah proses analisis sistem jaringan, mencakup

pengujian yang lebih mendetail pada konten serangan (NIDS),

live traffic sampling terhadap traffic yang diamati (packet

sniffer), serta data-data dari event jaringan masa lampau (packet

logger).

2.13.2 Komponen Snort

Snort mempunyai enam komponen dasar yang bekerja saling

berhubungan satu dengan yang lain seperti berikut ini (Ariyus,

2007) :

1. Decoder : Sesuai dengan paket yang di capture dalam bentuk

struktur data dan melakukan identifikasi protokol, decode IP dan

kemudian TCP atau UDP tergantung informasi yang

dibutuhkan, seperti port number, IP Address. Snort akan

memberikan alert jika menemukan suatu paket yang cacat.

57

2. Preprocessors : Merupakan suatu jaringan yang

mengindentifikasi berbagai hal yang harus diperiksa seperti

Detection Engine. Pada dasarnya preprocessors berfungsi

mengambil paket yang mempunyai potensi yang berbahaya

yang kemudian dikirim ke detection engine untuk dikenali

polanya.

3. Global Section : Mengizinkan untuk mapping file untuk IIS

Unicode, Configure alert untuk proxy server dengan

proxy_alert (jika menggunakan proxy server) atau konfigurasi

deteksi lalu-lintas HTTP pada nonauthorized port dengan

menggunakan detect_anomalous_traffic.

4. Server Section : Mengizinkan untuk setting HTTP server

profiles yang berbeda untuk beberapa server yang berbeda.

Konfigurasi tipe serangan dan menormalisasikan berdasarkan

server yang ada.

5. Rules Files : Merupakan suatu file teks yang berisi daftar aturan

yang sintaksnya sudah diketahui. Sintaks ini meliputi protocol,

address, output plugins dan hal-hal yang berhubungan dengan

berbagai hal. Rules file akan selalu diperbaharui setiap ada

kejadian di dunia maya.

58

6. Detection Engine : Menggunakan detection plugins, jika

ditemukan paket yang cocok maka snort akan menginisialisasi

paket tersebut sebagai suatu serangan.

7. Output Plugins : Merupakan suatu modul yang mengatur

format dari keluaran untuk alert dan file logs yang bisa di akses

dengan berbagai cara, seperti console, exteren files, database

dan sebagainya.

59

BAB III

METODOLOGI PENELITIAN

3.1 Metode Pengumpulan Data

Menurut Nazir (2005) metode pengumpulan data tidak lain dari

suatu proses pengadaan data primer untuk keperluan penelitian.

Pengumpulan data merupakan langkah yang amat penting dalam metode

ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk

menguji hipotesis yang telah dirumuskan. Data yang dikumpulkan harus

cukup valid untuk digunakan.

Pengumpulan data adalah prosedur yang sistematis dan standar

untuk memperoleh data yang diperlukan. Metode yang digunakan penulis

dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan

data dan metode pengembangan sistem.

Berikut penjelasan kedua metode tersebut :

3.1.1 Studi Lapangan/Observasi

Metode pengumpulan data dengan melakukan pengamatan

atau datang langsung ke lokasi adalah cara pengambilan data dengan

menggunakan mata tanpa ada pertolongan alat standar lain untuk

keperluan tersebut. Penulis melakukan penelitian di PT. PLN

(Persero) Distribusi Jakarta Raya dan Tangerang, Gambir.

60

3.1.2 Studi Pustaka atau literature

Metode pengumpulan data melalui buku atau browsing

internet yang dijadikan sebagai acuan analisa penelitian yang

dilakukan. Dalam proses pencarian dan perolehan data penulis

mendapat referensi dari perpustakaan dan secara online melalui

internet. Referensi tersebut sebagai acuan untuk membuat landasan

teori. Dan referensi-referensi apa saja yang digunakan oleh penulis

dapat dilihat pada Daftar Pustaka.

Studi literatur yang penulis gunakan sebagai referensi yaitu :

Tabel 3.1 Studi Literatur

No. JUDUL PENULIS TAHUN PEMBAHASAN1. Pengembangan

Intrusion Detection System dan Active Response Pada Transparent Single-Homed Bastion Host Http Proxy Server Firewall Sebagai Keamanan Sistem Proxy

Rachmat Hidayat Al-Anshar

2008 HTTP proxy server yang bertugas sebagai penyedia layanan protokol HTTP (akses internet) yang dibangun sebagai server terintegrasi dari sejumlah layanan spesifik, berperan sangat penting didalam sistem jaringan komputer. membangun suatu sistem HTTP proxy server terpadu (integrated server) yang dapat mengotomatisasi konfigurasi client sistem proxy, memaksimalkan sistem proxy sebagai application-layer gateway firewall dan implementasi terpisah dari sistem gateway dan mendeteksi intrusi (penyusup) pada sistem proxy.

61

2. Perancangan dan implementasi Intrusion Detection System Pada Jaringan Nirkabel BINUS University.

Abraham Nethanel Setiawan Junior, Agus Harianto, Alexander.

2009 Merancang IDS menggunakan Snort dengan tampilan antarmuka berbasiskan web dan implementasi sistem untuk memantau aktifitas para pengguna HotSpot BINUS University. Penelitian ini berisi analisa gangguan pada jaringan nirkabel BINUS, usulan solusi keamanan pada jaringan, proses dan cara kerja sistem IDS yang dibuat dengan basis web, serta evaluasi penerapan sistem IDS pada jaringan.

3. INTRUSION DETECTION DAN REPORTING SYSTEM BERBASIS MOBILE AGENT

P. Tri Riska Ferawati Widiasrini

2006 Penekanan skirpsi ini terarah pada intrusion detection and reporting system (IDRS) berbasis mobile agent (MA) yang bisa diterapkan pada setiap platform sistem operasi di setiap konfigurasi jaringan

3.1.3 Wawancara

Metode pengumpulan data dengan melakukan wawancara

adalah proses memperoleh keterangan untuk tujuan penelitian

dengan cara tanya jawab, sambil bertatap muka antara si penanya

atau pewawancara dengan si penjawab atau responden. Keterangan

lebih jelasnya penulis membahas proses ini pada daftar lampiran

wawancara.

62

ANALYSIS

Design

Simulation Prototyping

Management

Monitoring

Implementation

3.2 Metode Pengembangan Sistem menggunakan NDLC (Network

Development Life Cycle).

Menurut (Goldman et all, 2001), NDLC adalah kunci dibalik proses

perancangan jaringan komputer. NDLC merupakan model mendefinisikan

siklus proses pembangunan atau pengembangan sistem jaringan komputer.

Kata cyle (siklus) adalah kata kunci deskriptif dari siklus hidup

pengembangan sistem jaringan yang menggambarkan secara eksplisit

seluruh proses dan tahapan pengembangan sistem jaringan yang

berkesinambungan. Dalam hal ini metode yang pengembangan sistem yang

digunakan adalah Network Development Life Cycle (NDLC). Berkaitan

dengan skripsi ini, penerapan dari setiap tahap NDLC adalah sebagai

berikut :

Gambar 3.1 Tahapan NDLC

63

3.2.1 Analysis

Model Pengembangan sistem NDLC dimulai pada fase

analisis. Pada tahap ini penulis mengidentifikasi konsep Snort IDS,

Barnyard, BASE dan Firewall. Mengumpulkan dan mengidentifikasi

kebutuhan seluruh kebutuhan sistem tersebut. Sehingga kebutuhan

sistem IDS dapat diperjelas dan diperinci. Tahap-tahap ini meliputi :

a. Identify Aktivitas mengidentifikasikan permasalahan yang

dihadapi sehingga dibutuhkan proses pengembangan sistem.

Dapat dilihat pada subbab 4.11.1.

b. Understand Aktivitas untuk memahami mekanisme kerja sistem

yang akan dibangun atau dikembangkan. Dapat dilihat pada

subbab 4.11.2.

c. Analyze Menganalisis sejumlah elemen atau komponen dan

kebutuhan sistem yang akan dibangun atau dikembangkan. Dapat

dilihat pada subbab 4.11.3.

d. Report Aktivitas merepresentasikan proses hasil analisis.

Secara jelas tahap analysis dapat dilihat pada subbab 4.11.4.

3.2.2 Design

Tahapan selanjutnya dari metode pengembangan sistem

NDLC adalah Design. Tahap design ini adalah membuat sebuah

sistem yang akan dibangun, diharapkan dalam membangun sistem

yang didesign akan memberikan gambaran seutuhnya dari kebutuhan

yang ada. Pada fase ini, penulis merancang topologi sistem jaringan

64

untuk simulasi LAN sebagai representasi sistem nyata dan

merancang sistem solusi IDS. Topologi yang spesifik dapat dilihat

pada subbab 4.12.1.

3.2.3 Simulation prototype

Tahap selanjutnya adalah pembuatan protipe sistem yang

akan dibangun, yaitu dengan menggunakan tools VMware version

6.0 dengan mempertimbangkan bahwa proses kesalahan dalam

menerapkan EasyIDS (Easy Intrusion Detection system) tidak akan

mempengaruhi pada lingkungan nyata. Dapat dilihat pada subbab

4.13.

3.2.4 Implementation

Tahap selanjutnya adalah implementasi, pada fase

perancangan digunakan sebagai panduan implementasi pada

lingkungan simulasi LAN. Ini melingkupi instalasi dan konfigurasi

terhadap rancangan topologi, komponen sistem sensor IDS yaitu

snort. Dapat dilihat pada subbab 4.14.

3.2.5 Monitoring

Setelah tahap implementasi adalah tahap monitoring dimana

tahap ini penting. Proses pengujian dilakukan melalui aktivitas

pengoperasian dan pengamatan sistem yang sudah dibangun dan

diterapkan apakah sistem firewall dan EasyIDS sudah berjalan

65

dengan baik dan benar. Dalam hal ini penulis melakukan pengujian

pada : Fungsionalitas (interkoneksi) perangkat jaringan komputer.

Dalam hal menguji interkoneksi antar komponen EasyIDS dan

Firewall, penulis metode studi kasus untuk mempermudah

pengujian. Dapat dilihat pada subbab 4.16.

3.2.6 Management

Pada fase ini, aktivitas perawatan, pemeliharaan dan

pengelolaan. Karena proses manajemen sejalan dengan aktivitas

perawatan atau pemeliharan sistem. Pada tahap ini untuk

menghasilkan keluaran berupa jaminan fleksibilitas dan kemudahan

pengelolaan serta pengembangan sistem EasyIDS dan Firewall

dimasa yang akan datang. Dapat dilihat pada subbab 4.17.

66

Perencanaan Judul Skripsi

Perumusan Masalah dan Batasan Masalah

Metode Pengembangan Sistem

Perumusan Hipotesis

Observasi

Metode Pengumpulan Data

Network Development Life Cycle

Studi Pustaka

Identify

Report

Analyze

Understand

Management

Monitoring

Simulation Prototype

Implementation

Analysis

DesignPerancangan Topologi

Jaringan (Simulasi LAN)Perancangan Sistem

Sensor IDS

Membangun Simulasi dengan VMWare 6.0

Implementasi Topologi Jaringan

Implementasi Sistem Operasi IDS

Pengujian Sistem Jaringan

Pengujian Komponen IDS

Pengujian Interkoneksi IDS

dan Firewall

Pengelolaan Sistem Jaringan

Pengelolaan Sistem IDS

Perumusan Kesimpulan

Pembuatan Laporan

Wawancara

Gambar 3.2 Diagram Metode Penelitian

67

BAB IV

HASIL DAN PEMBAHASAN

4.1 Sejarah Singkat Berdirinya PT PLN (Persero) Distribusi Jakarta Raya dan

Tangerang

Sejarah berdirinya PT PLN (Persero) Distribusi Jakarta Raya dan

Tangerang diawali pada tahun 1897, yaitu dengan mulai digarapnya bidang

listrik oleh salah satu perusahaan Belanda (NV NIGM) yang ditandai dengan

pendirian pusat pembangkitan tenaga listrik (PLTU) yang berlokasi di Gambir.

Sejalan dengan pasang surutnya sejarah perjuangan bangsa, maka pada

masa pemerintahan Jepang NV NIGM (Belanda) diambil alih oleh Pemerintah

Jepang yang pada akhirnya dialihkan ke perusahaan Djawa Denki Jogyosha

Djakarta Shisha.

Dengan berakhirnya kekuasaan Jepang pada 17 Agustus 1945, maka

dibentuklah Djawatan Listrik dan Gas Tjabang Djakarta yang selanjutnya

dikembalikan lagi kepada pemilik asal (NV NIGM) pada tahun 1947 dan

namanya berubah menjadi NV OGEM. Kemudian dengan berakhirnya masa

konsesi NV OGEM Cabang Jakarta yang selanjutnya diikuti dengan

nasionalisasi oleh Pemerintah Indonesia sesuai Keputusan Menteri PU dan

68

Tenaga No. U 16/9/1 tanggal 30 Desember 1953, maka pada tanggal 1 Januari

1954 dilakukan serah terima dan pengelolaannya diserahkan ke Perusahaan

Listrik Jakarta dengan wilayah kerjanya adalah meliputi Jakarta Raya dan

Ranting Kebayoran & Tangerang.

Seiring dengan berjalannya waktu, maka perubahan pun terus bergulir

sesuai kronologi berikut ini :

1. Berdasarkan UU No. 19 tahun 1960 dan PP No. 67 tahun 1961, dibentuk

Badan Pimpinan Umum Perusahaan Listrik Negara (BPU PLN) khusus

untuk wilayah Jakarta dengan nama Perusahaan Listrik Negara Exploitasi

XII.

2. Berdasarkan SK Direksi BPU PLN No. Ktps/30/DIRPLN/62 tanggal 21

Desember 1962, wilayah kerja PLN Exploitasi XII dibagi menjadi 7 buah

distrik dengan kelas yang berbeda-beda.

3. Pada tahun 1965 terjadi perubahan tanggung jawab, dimana PLN Exploitasi

XII meliputi Cabang Gambir & Cempaka Putih, Jakarta Kota, Kebayoran,

Jatinegara & Cawang, Tangerang dan Cabang Tanjung Priok pada tahun

1970.

4. Berdasarkan PP No. 18 tahun 1972, status Perusahaan Listrik Negara dirubah

menjadi Perusahaan Umum Listrik Negara.

5. Berdasarkan Peraturan Menteri PUTL No. 01/Prt/1973 tanggal 23 Maret

1973, PLN Exploitasi XII dirubah menjadi Perum Listrik Negara Distribusi

69

IV yang meliputi Cabang Gambir, Kota, Kebayoran, Jatinegara, Tanjung

Priok, Tangerang dan Bengkel Karet.

6. Berdasarkan SK Menteri PUTL No. 45/Ktps/1976 tanggal 8 Agustus 1976,

nama PLN Distribusi IV dirubah menjadi PLN Distribusi Jakarta Raya dan

Tangerang (sesuai SE Direksi PLN No. 025/PST/1976 tanggal 17 April

1976).

7. Berdasarkan penjelasan dan pengumuman Pemerintah tentang pembentukan

Kabinet Pembangunan III tanggal 29 Maret 1978, PLN yang semula

bernaung dibawah naungan Departemen Pertambangan dan Energi.

8. Pada kurun waktu 1984 s/d 1988 terjadi beberapa penambahan Unit Kerja,

sehingga PLN Distribusi Jakarta Raya dan Tangerang memiliki tujuh cabang

sebagai unsur pelaksana, satu unit pengatur distribusi dan satu bengkel

pemeliharaan kelistrikan. Dua yang disebut terakhir adalah sebagai unsur

penunjang.

9. Berdasarkan PP No. 23 tahun 1994 tanggal 16 Juni 1994, PLN yang dulunya

dikenal sebagai PERUM berubah statusnya menjadi PERSERO, sehingga

namanya berubah menjadi PT PLN (Persero) Distribusi Jakarta Raya dan

Tangerang.

10. Berdasarkan White Paper Mentamben Agustus 1998, maka Pemerintah

meluncurkan kebijakan Restrukturisasi Sektor Ketenagalistrikan sesuai

Keputusan Menko WASPAN No. 39/KEP/MK.WASPAN/9/1998 serta

kebijakan PT PLN (Persero) Kantor Pusat, maka PT PLN (Persero)

70

Distrisbusi Jakarta Raya dan Tangerang diarahkan kepada Strategic Business

Unit/Investment Centre.

11. Sehubungan dengan butir No. 10 diatas, maka Direksi PLN telah

mengeluarkan SK No. 161.K/010.DIR/2000 tanggal 5 September 2000

tentang organisasi PT PLN (Persero) Unit Bisnis Distribusi Jakarta Raya

dang Tangerang. Sesuai SK Direksi tersebut, maka susunan organisasi PT

PLN (Persero) Unit Bisnis Distribusi Jakarta Raya dan Tangerang adalah

sebagai berikut :

a. Unsur Pimpinan adalah General Manager.

b. Unsur pembantu pimpinan, meliputi bidang-bidang :

1. Pemasaran dan Pengembangan Usaha.

2. Pelayanan Pelanggan.

3. Komersil.

4. Perencanaan.

5. Operasi dan Pelayanan Gangguan.

6. Pemeliharaan.

7. Logistik.

8. Teknologi Informasi.

9. Keuangan.

10. Akuntansi.

11. Organisasi dan Sumber Daya Manusia (SDM).

12. Hukum.

71

13. Hubungan Masyarakat.

14. Umum.

c. Unsur Pengawasan, oleh Auditor Intern.

d. Unit Pelayanan (UP).

e. Unit Pengelola Jaringan (UPJ).

f. Unit Gardu Induk.

g. Unit Pengatur Distribusi (UPD).

12. Selanjutnya berdasarkan Keputusan Direksi PT PLN (Persero) No.

010.K/010/DIR/2003 tanggal 16 Januari 2003 tentang Organisasi PT PLN

(Persero) Distribusi se Jawa-Bali, maka susunan organisasi PT PLN

(Persero) Distribusi se Jawa-Bali sebagai berikut :

a. Unsur Pimpinan adalah General Manager.

b. Unsur pembantu pimpinan, meliputi bidang-bidang :

1. Perencanaan.

2. Distribusi.

3. Niaga.

4. Keuangan.

5. Sumber Daya Manusia (SDM) dan Organisasi.

6. Komunikasi Hukum dan Administrasi.

c. Unsur Pengawasan, oleh Auditor Intern.

d. Area Pelayanan (AP).

e. Area Jaringan (AJ).

72

GENERAL MANAJER

AUDITOR INTERNAL

MANAJER NIAGA

MANAJERDISTRIBUSI

MANAJER PERENCANAAN

MANAJER KEUANGAN

MANAJER SDM & ORGANISASI

MANAJER KOMUNIKASI,

HUKUM & ADMINISTRASI

MANAJER APD (DCC)

MANAJER AJ (WIRE)

MANAJER APL (RETAIL)

6 unit 1 unit 35 unit

f. Area Pengatur Distribusi (APD).

g. Area Pelayanan dan Jaringan :

1. Unit Pelayanan

2. Unit Pelayanan Jaringan

3. Unit Pelayanan dan Jaringan

4.2 Stuktur Organisasi PT PLN (Persero) Distribusi Jakarta Raya dan

Tangerang

Gambar 4.1

Struktur Organisasi PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang

(plnjaya.co.id)

73

4.3 Visi dan Misi PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang

Sebagai satu kesatuan usaha PLN, PT PLN (Persero) Distribusi Jakarta

Raya dan Tangerang memiliki visi “Menjadi perusahaan distribusi tenaga listrik

yang handal, tangguh dan berkembang”.

Misi yang diemban adalah :

a. Melaksanakan bisnis distribusi tenaga listrik yang berorientasi kepada

pelanggan, karyawan dan pemilik.

b. Meningkatkan profesionalisme Sumber Daya Manusia (SDM).

c. Menjadikan bisnis tenaga listrik sebagai sarana pendorong pertumbuhan

ekonomi nasional.

d. Melaksanakan usaha sesuai dengan kaidah bisnis.

4.4 Tujuan dan Sasaran PT PLN (Persero) Distribusi Jakarta Raya dan

Tangerang

Tujuan PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang adalah :

a. Korporatisasi (kelayakan keuangan) sebagai perusahaan yang mendiri.

b. Transparasi/akuntabilitas dalam bidang peran, tugas, tanggung jawab dan

wewenang.

c. Peningkatan efisiensi dan pengembangan usaha.

74

Sasaran PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang adalah :

a. Menyiapkan Strategi Unit Bisnis menjadi anak perusahaan yang mandiri.

b. Meningkatkan Customer Value, Share Holder Value dan Employee Value.

Meningkatkan kompetensi dan efektifitas kinerja SDM.

c. Mengupayakan penerapan tarif tenaga listrik sesuai dengan nilai ekonominya

(Customer Oriented Company).

d. Menyediakan tenaga listrik dengan jumlah dan kualitas yang memadai sesuai

dengan kaidah bisnis yang wajar.

4.5 Selayang Pandang

Jakarta sebagai ibukota negara, pusat pemerintahan dan barometer

perekonomian nasional memerlukan dukungan energi listrik yang besar, bermutu

dan handal.

PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang merupakan

salah satu ujung tombak PLN dalam melayani pelanggan diwilayah DKI Jakarta.

Kotamadya Tangerang, Kabupaten Tangerang, serta sebagian Kabupaten Bogor,

Kabupaten Depok dan Kabupaten Bekasi. Total luas wilayah operasi adalah

2.067 km2.

Tugas pokok PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang.

meliputi distribusi, penjualan tenaga listrik dan pelayanan pelanggan.

75

Operasionalisasi tugas pokok tersebut dikendalikan melalui unsur pelaksana

yang terdiri dari 35 Area Pelayanan yang tersebar dipenjuru Jakarta dan

Tangerang, didukung oleh 4 Area Jaringan dan 1 Area Pengatur Distribusi.

Pengembangan bisnis dilakukan dengan berpedoman pada konsep retail

dan wire, dimana retail menekankan pada aktivitas bisnis berorientasi pelanggan

dan wire memfokuskan pada pengembangan jaringan fisik untuk mendukung

layanan bagi pelanggan.

Dari sisi retail kegiatan dilaksanakan oleh Area Pelayanan dengan tujuan

untuk meningkatkan kualitas dan kecepatan layanan melalui peningkatan

efektivitas dan efisiensi proses bisnis yang saling berkaitan. Model pelayanan

yang dibangun adalah one stop service. Dari sisi wire kegiatan dilaksanakan oleh

Area Jaringan dengan tujuan menjaga mutu dan keandalan pasokan tenaga

listrik.

Dengan didukung oleh aplikasi sistem informasi yang berbasis teknologi

mutakhir, menjadikan sistem pelayanan pelanggan PT. PLN (Persero) Distribusi

Jakarta Raya dan Tangerang menjadi lebih mudah, sehingga pelanggan dapat

menikmati kemudahan-kemudahan proses pelayanan seperti :

a. Komunikasi antara Area Pelayanan (AP) dan Area Jaringan (AJ), serta

tempat pembayaran (bank), sehingga program pelayanan satu atap (one stop

services) dapat dengan mudah dilaksanakan.

76

b. Pelanggan dapat mengetahui atai memonitor status rekening (berjalan atau

tunggakan) secara online melalui aplikasi info rekening yang tersedia.

c. Penelusuran data lebih mudah, terutama jika ada keluhan dari pelanggan.

Sesuai dengan visi PLN, yaitu menjadi perusahaan pelayanan berkelas

dunia yang bertumbuh kembang, unggul dan terpercaya dengan bertumbuh pada

potensi insani, PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang terus

berusaha meningkatkan kualitas manajemen mutu dan memberikan pelayanan

terbaik kepada seluruh pelanggannya. Berkat keseriusan menjalankan proses

bisnisnya, PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang berhasil

dalam meningkatkan prestasi kerja dan mendapatkan beberapa penghargaan,

diantaranya:

a. Memperoleh Sertifikat ISO 9001: 2000 oleh sepuluh unit Area Pelayanan

(APL) dan Area Jaringan (AJ) di akhir Desember 2004 oleh Badan

Sertifikasi SAI Global Indonesia (SAI Global) dan PT PLN (Persero) Jasa

Sertifikasi. Pemberian sertifikat ISO 9001: 2000 diberikan sehubungan

dengan prestasi yang telah dicapai oleh unit Area Pelayanan di bidang

pelayanan pelanggan, pembacaan meter, pembuatan rekening, pembukuan

pelanggan, penagihan dan pengawasan kredit.

b. Di Bulan Maret 2005, berdasarkan riset yang dilakukan oleh Quadrant

Positioning and Branding, Call Center 123 PT PLN (Persero) Distribusi

Jakarta Raya dan Tangerang memperoleh penghargaan sebagai call center

77

terbaik pada kategori perusahaan public service oleh Majalah Marketing dan

Center of Customer Satisfaction and Loyalty.

4.6 Sekilas Tentang Teknologi PT PLN (Persero) Distribusi Jakarta Raya dan

Tangerang

PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang yang bergerak

dibidang penyediaan jasa perlistrikan, telah mencakup hampir seluruh wilayah

Indonesia. Pada awal beroperasinya yaitu tahun 1954 (penyerahan pertama kali

oleh pihak OGEM kepada pihak Indonesia yang diwakili oleh Bapak Ir. R.M.

Saljo) dapat dikatakan cukup lumayan dikarenakan pertama kali dikelola oleh

OGEM (Overseesche Gas en Electriciteits Maatschapij).

Pada sekitar tahun 1966, teknologi yang digunakan mulai difasilitasi oleh

komputer. Tapi komputer yang digunakan masih berbentuk komputer yang

sangat besar atau sering disebut dengan komputer mainframe. Dengan komputer

mainframe ini, dapat dioperasikan jalannya arus listrik namun ruangan yang

digunakan untuk menyimpan komputer mainframe tersebut harus besar dan luas.

Namun pada tahun 2000 yang lalu, komputer mainframe sudah tidak

digunakan lagi. Untuk meningkatkan efisiensi, efektivitas, dan kemudahan

penggunaan maka komputer mainframe ini diganti dengan Personal Computer

(PC).

78

4.7 Sistem Jaringan di PT PLN (Persero) Distribusi Jakarta Raya dan

Tangerang

Sekarang ini, karena telah banyak penggunaan komputer di dalam

perusahaan PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang baik pusat

maupun dicabang-cabang pembantu, maka di dalan divisi TI telah dikembangkan

penggunaan jaringan yang bermula dari sistem jaringan Local Area Network

(LAN) dimana sistem tersebut hanya dapat berhubungan antara gedung satu

dengan gedung lainnya tetapi masih dalam satu kawasan.

Seiring dengan perkembangan teknologi yang semakin pesat, divisi TI

PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang melakukan

pengembangan pemakaian jaringan dari sistem LAN, kemudian Wide Area

Network (WAN).

4.8 Data PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang

Nama : PT PLN (Persero) Distribusi Jakarta Raya dan

Tangerang.

Ditetapkan : 16 Januari 2003, sesuai SK Direksi PT PLN (Persero)

No. 010.K/010/DIR/2003

Kantor Induk : Jl. M.I. Ridwan Rais No. 1 Jakarta 10110 Indonesia

79

Bisnis Utama : Penjualan Tenaga Listrik

Pengoperasian, pemeliharaan & pengembangan

Jaringan Tenaga Listrik Sistem Tegangan Menengah

(20 KV) dan Jaringan Tegangan Rendah (220 V)

Total Asset : Rp. 2,8 Trilyun

SDM : 3.475 Orang ( status Agustus 2005 )

Jumlah Pelanggan : 3.073.413 pelanggan ( status Maret 2005 )

4.9 Peta Wilayah PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang

AP = Area Pelayanan, AJ = Area Jaringan, APD = Area Pengatur Distribusi

Gambar 4.2

Peta Wilayah PT PLN (Persero) Distribusi Jakarta Raya dan Tangerang

(plnjaya.co.id)

80

Bidang Perencanaan

Perencanaan Korporat

Perencanaan Sistem

Teknologi Informasi (TI)

Aplikasi Sistem Teknologi Informasi

(ASTI)

Infrastruktur Sistem Teknologi Informasi

(ISTI)

4.10 Infrakstruktur Sistem Teknologi Informasi (ISTI)

Subbidang Infrakstruktur Sistem Teknologi Informasi (ISTI) adalah

tempat penulis melaksanakan kegiatan riset atau penelitian. Subbidang ISTI

merupakan salah satu dari dua subbidang yang terdapat pada Bidang

Perencanaan yang berhubungan dengan permasalahan infrakstruktur jaringan PT.

PLN (Persero) Distribusi Jakarta Raya dan Tangerang. Berikut ini adalah bagan

struktur organisasi yang ada pada Bidang Perencanaan :

Gambar 4.3

Struktur Organisasi Bidang Perencanaan

(plnjaya.co.id)

81

Pada bab ini, penulis akan menjelaskan proses pengembangan sistem

keamanan jaringan yang terintegrasi IDS (Intrusion Detection System) berbasis open

source, dalam studi pengembangan Intrusion Detection System (IDS) dengan

menerapkan landasan teori dan metode penelitian yang sudah dibahas pada bab-bab

sebelumnya.

Metode Penelitian yang penulis gunakan adalah metode NDLC (Network

Development Life Cycle). Siklus hidup pengembangan sistem jaringan didefinisikan

dalam sejumlah fase-fase, yaitu : analysis (analisis), design (perancangan), simulation

prototyping (prototipe simulasi), implementation (penerapan), monitoring

(pengamatan), dan management (pengaturan).

4.11 Analysis (Analisis)

Pada bab ini, penulis akan menjelaskan bagaimana cara melakukan

konfigurasi EasyIDS. Pada tahap analisis ini dibagi menjadi beberapa fase yaitu :

identify (mengidentifikasi rumusan masalah), understand (memahami rumusan

permasalahan), analyze (analisis kebutuhan sistem) dan report (pelaporan dari

hasil analisis).

82

4.11.1 Identify

Tujuan dikembangkannya sistem pendeteksi penyusup adalah

untuk mencatat atau mengetahui jenis serangan yang dilakukan dengan

mencatat atau mengetahui jenis serangan, sistem pendeteksi penyusup

atau biasa dikenal dengan sebutan Instrusion Detection System (IDS)

memiliki banyak perbedaan, berdasarkan kemampuan yang dimiliki

masing-masing jenis sistem pendeteksi penyusup. Penulis yang dibahas

dalam skripsi ini adalah Network IDS (NIDS), dimana NIDS akan

memantau semua lalu lintas jaringan pada segmen dimana sensor

terpasang, aktif pada suatu hal yang mencurigakan atau aktifitas-

aktifitas berdasarkan tindakan.

Identifikasi permasalahan lebih lanjut dari terjadinya aktivitas

penyusup pada aset atau sumber daya sistem yang dimiliki adalah sistem

yang secara intensif mengamati dan menganalisis paket-paket penyusup

yang lewat disebuah jaringan, sehingga tidak terjadinya tindakan

preventif (pencegahan) untuk mengatasi resiko terjadinya penyusup.

Permasalahannya timbul ketika suatu penyerangan terjadi di suatu

jaringan internal, dimana firewall hanya memblok paket-paket yang di

anggap mencurigakan dari pihak luar.

83

4.11.2 Understand

Hasil identifikasi rumusan permasalahan diatas membutuhkan

pemahaman yang baik agar dapat menghasilkan solusi tepat dan

berguna. Dengan menggunakan metode studi pustaka atau studi literatur

penulis memanfaatkan perpustakaan dan internet untuk mengumpulkan

sejumlah data dan informasi dari berbagai sumber dalam bentuk buku,

makalah, literature, artikel dan berbagai situs web mengenai topik

permasalahan yang terkait. Hasilnya digunakan untuk memahami

permasalahan yang terjadi untuk merumuskan solusi yang efektif dalam

menyelesaikan berbagai perumusan permasalahan. Pemahaman tersebut,

maka penulis gunakan untuk merancang, membangun dan

mengimplementasikan sistem keamanan jaringan yang diharapkan dan

juga dapat mengatasi berbagai perumusan permasalahan yang ada.

Penulis berfokus untuk memahami konsep-konsep dari sistem

keamanan jaringan dan sistem pendeteksi penyusup atau Intrusion

Detection System (IDS).

4.11.3 Analyze

Hasil pemahaman penulis akan digunakan sebagai masukan

untuk menganalisis sistem solusi yang dapat mengatasi rumusan

permasalahan. Hasil analisis sebagai berikut :

84

a. Penulis menerapkan EasyIDS berbasis signature/rules open source,

dengan menggunakan intergrasi Snort, Barnyard, Oinkmaster dan

BASE. Dimana penulis menggunakan sistem operasi UNIX yaitu

EasyIDS, EasyIDS tersebut menggunakan sistem UNIX Centos 5.4

Final. Snort bertugas untuk melakukan pemberitahuan saat

mendeteksi sesuatu yang dianggap aktivitas yang mencurigakan atau

tindakan illegal. Snort tidak melakukan pencegahan terjadinya

penyusupan pada sistem jaringan komputer tetapi akan memicu alert

(peringatan).

b. Jika terjadi aktivitas penyusup, Barnyard bertugas untuk menangani

file output snort (unified file format) sehingga snort dapat bekerja

jauh lebih fokus mengamati lalu lintas atau traffic jaringan. Barnyard

juga bertugas memformat ulang output file Snort agar dapat di

manfaatkan untuk keperluan analisis. Oinkmaster bertugas untuk

memperbaharui (Update) secara berkala signature/rules yang

digunakan Snort dalam mendeteksi jenis serangan spesifik. BASE

(Basic Analysis Security Engine) bertugas untuk mempresentasikan

log file Snort kedalam format berbasis GUI yaitu web yang lebih

user-friendly hingga dapat mempermudah seorang admin jaringan

untuk proses analisis suatu penyusup pada mesin sensor IDS.

85

4.11.4 Report

Proses akhir pada fase analisis adalah pelaporan yang berisi

detail atau rincian dari berbagai komponen atau elemen sistem yang

dibutuhkan. Adapun peralatan atau perangkat yang digunakan dalam

penelitian dapat digolongkan menjadi dua jenis, yaitu perangkat lunak

(software) dan perangkat keras (hardware) yaitu :

a. Spesifikasi Sistem Yang Akan Dibangun

Tabel 4.1 Spesifikasi Sistem Yang Akan Dibangun

Sistem Keterangan

Intrusion Detection SystemBerjenis NIDS (Network Intrusion Detection System) : Dapat mengawasi segmen jaringan internal.

Client

Bertindak sebagai sistem client segmen jaringan internal. Difungsikan sebagai sistem penyerang untuk menguji fungisonalitas IDS dari dalam jaringan segmen.

b. Spesifikas perangkat lunak (Software)

Perangkat lunak (software) yang digunakan penulis dalam

penelitian tugas akhir ini adalah :

86

Tabel 4.2 Spesifikasi Perangkat Lunak (Software) yang digunakan

No. Software Keterangan

Sistem Operasi Mesin Sensor IDS dan Manajemen Sensor IDS

1. Centos 5.4 Final Sistem Operasi IDS yang digunakan.

2. Microsoft Windows 7 Profesional Sistem Operasi manajemen sensor IDS.

Sistem Operasi Client

1. Microsoft Windows XP SP 3 COOPARATE

Sistem Operasi client difungsikan sebagai penyerang dan menguji fungsionalitas mesin sensor IDS.

Software Perancangan Topologi

1. Microsoft Office Visio 2003 Program untuk merancang topologi

Sensor Intrusion Detection System (IDS)

1. EasyIDS EasyIDS version 4.

2. Snort 2.8.5.1 Program IDS/IPS open source.

3. Barnyard 1.9 Program Snort’s Output-handler.

4. BASE (Basic Analysis and Security Engine) 1.4.4

Program representasi mesin analisis dan keamanan berbasis web based.

5. Oinkmaster 2.0 Program snort signature update.

Software Pengujian Sensor IDS

1. Nmap 5.0 Program network scanner untuk pengujian sistem IDS pada client LAN.

87

c. Spesifikasi perangkat keras (Hardware)

Tabel 4.3 Spesifikasi Perangkat Keras (Hardware) yang digunakan

No. Perangkat Jumlah Keterangan Spesifikasi

1. PC Mesin Sensor 1 Intel Core 2 Duo E 6550 2,33 GHz, RAM 2 GB Harddisk 200 GB.

2. PC Client 1 Intel Pentium Dual Core T2310 1,46 GHz, RAM 1,5GB , Harddisk 80 GB.

Spesifikasi Perangkat Jaringan

1. Router 1 Cisco Router packet teer 2500

2. Switch 2 Catalyst 2950 (24 Port) dan Catalyst 2940 (8 port).

3. Kabel UTP 4 Kabel UTP AMP cat 5e

4.12 Design (Perancangan)

Tahap analisis menghasilkan sebuah rincian spesifikasi kebutuhan dari

sistem yang akan dibangun. Perancangan menjadikan rincian spesifikasi

rancangan sistem yang dibangun. Dalam penelitian ini, penulis menggunakan

simulasi LAN sebagai representasi sistem jaringan. Proses perancangan di bagi

menjadi :

88

4.12.1 Perancangan Topologi

Pada tahap ini penulis menentukan jenis topologi yang digunakan

dari simulasi LAN yang akan dibangun dan mendefinisikan konfigurasi

yang dibutuhkan untuk menjamin sistem jaringan komputer yang akan

dibangun dapat berjalan dengan baik.

Gambar 4.4 Topologi Jaringan Sebelumnya

89

Gambar 4.5 Topologi Jaringan yang Diusulkan

Rincian keterangan gambar rancangan topologi jaringan komputer diatas

adalah sebagai berikut :

1. Jenis topologi yang digunakan adalah topologi hybrid.

2. Alamat IP yang digunakan menggunakan kelas A.

3. Mesin sensor : mendefinisikan mesin sensor IDS. Mesin sensor

terdiri dari dua unit Ethernet. Ethnernet-0 adalah interface eth0 untuk

memanajemen sensor IDS dan Ethernet-1 adalah eth1 untuk

memonitor sebuah sistem jaringan yang terhubung dengan Switch

melalui media kabel UTP berjenis straight.

90

4. Manajemen Sensor IDS : mendefinisikan untuk memanajemen sensor

IDS yang memiliki satu buah ethernet, dimana dihubungkan langsung

ke switch.

5. Client : mendefinisikan client dari LAN dan juga sebagai pengujian

sistem mesin sensor IDS, client memliki satu buah Ethernet yaitu

eth0.

6. Switch, media ini penulis gunakan untuk menghubungkan seluruh

host pengguna sistem jaringan komputer dan penulis juga

mengkonfigurasi sebuah switch yang bisa di manage yang memiliki

fitur SPAN port (Port yang bertugas menjadi mirror untuk mem-

broadcast traffic). Pada sensor IDS ini sangat dibutuhkan dalam

menangkap data yang lewat jaringan yang dapat diamati dan

dianalisis oleh sensor IDS.

4.12.2 Perancangan Sistem

Setelah perancangan topologi jaringan (simulasi LAN),

selanjutnya adalah membuat perancangan sistem baru yang akan

dibangun dan diimplementasikan. Pada tahap ini penulis

menspesifikasikan seluruh komponen mesin sensor yang dibutuhkan.

Penulis mendefinisikan dan menspesifikasikan seluruh komponen yang

dibutuhkan dapat dilihat pada tabel 4.4.

91

Tabel 4.4 Komponen sistem

Mesin Komponen Keterangan

Sensor IDS

1. Snort

2. Barnyard

3. Oinkmaster

4. BASE

Mesin sensor ini mengintergrasikan fungsi menganalisis traffic sebuah sistem jaringan dan deteksi aktivitas intruder (Snort), pengelola output Snort (Barnyard), pengelolaanSignature/rules Snort (Oinkmaster), Management console dan alert dari Snort adalah BASE.

Client

1. Nmap

2. Command-prompt (pinger)

Mendefinisikan sebagai client dan juga untuk pengujian sistem sensor IDS.

4.13 Simulation Prototyping (Prototipe Simulasi)

Pada tahap ini penulis membuat prototipe dari sistem baru yang akan

dibangun, dimana diimplementasikan pada simulasi LAN. Simulasi prototipe

menggunakan software aplikasi yaitu VMware version 6.0 untuk

memvirtualisasikan sistem yang akan diterapkan. Simulasi prototipe

dimaksudkan untuk memenuhi sejumlah tujuan :

a. Menjamin efektivitas fungsionalitas dari interkoneksi antar elemen atau

komponen sistem.

92

b. Memperkecil resiko kegagalan saat proses pembangunan dan implementasi

sistem pada lingkungan nyata.

4.14 Implementation (Implementasi)

Tahap selanjutnya adalah implementasi detail rancangan topologi dan

rancangan sistem lingkungan LAN. Proses implementasi terdiri dari instalasi

mesin sensor dan konfigurasi mesin sensor IDS.

4.14.1 Impelemntasi Sistem Operasi

Sebelum membangun dan menerapkan rancangan sebuah sistem

mesin sensor. Penulis menginstalasi sistem operasi yang nantinya

digunakan dalam proses penelitian. Pada mesin sensor penulis

menggunakan sistem operasi UNIX bernama EasyIDS versi 4 yang

dimana sistem operasi yang digunakan EasyIDS adalah Centos 5.4 Final

dan pada client menggunakan Microsoft Windows XP SP3 Cooperate

dan manajemen menggunakan sistem operasi Microsoft Windows 7

Professional. Untuk langkah-langkah instalasi dapat sebagai berikut :

1. Proses booting EasyIDS. Dimana tampilan saat booting EasyIDS,

untuk melakukan install EasyIDS option yang dipilih adalah tekan

enter, pada proses booting tersebut diberikan peringatan (warning)

93

bahwa saat proses install format harddisk dan akan menghapus semua

data pada komputer, seperti pada gambar 4.6.

Gambar 4.6 Proses instalasi Sistem Operasi EasyIDS

2. Setelah proses booting EasyIDS, maka akan tampil jenis keyboard

yang dipilih, pada proses instalasi menggunakan type keyboard us,

karena sistem keyboard yang digunakan dalam penelitian ini adalah

sesuai dengan keyboard us yang dijual dipasaran. Seperti pada

gambar 4.7.

94

Gambar 4.7 Jenis Keyboard

3. Pada proses instalasi dimana saat proses instalasi root password

dibutuhkan pada saat login mesin sensor. Dimana sensor ini

menggunakan root password imam87, fungsi root password ini untuk

menjaga keamanan ke mesin sensor IDS. Seperti pada gambar 4.8.

Gambar 4.8 Root password dibutuhkan saat login mesin sensor

95

4. Setelah proses memasukkan root password, maka langkah

selanjutnya adalah pengaturan Time Zone Selection adalah lokasi

benua dan Negara, dimana pada penelitian ini pemilihan zona waktu

adalah Asia/Jakarta seperti pada gambar 4.9.

Gambar 4.9 Setting Time Zone

5. Selanjutnya adalah proses dimana semua partisi yang ada dalam

harddisk akan dihapus semua seperti pada gambar 4.10.

96

Gambar 4.10 Format Harddisk

6. Terakhir adalah Proses instalasi paket-paket pada sistem operasi

EasyIDS dimana software-software yang dibutuhkan oleh snort,

seperti pada gambar 4.11.

Gambar 4.11 Package Installation

97

7. Setelah proses paket intalasi selesai maka proses selanjutnya adalah

proses instalasi snort pada mesin sensor IDS, dimana pada penelitian

ini menggunakan versi snort 2.8.5.1 sepert pada gambar 4.12.

Gambar 4.12 Instalasi snort

8. Proses ekstrak rules snort, difungsikan agar snort dapat bekerja sesuai

dengan rules dan dapat mendeteksi jenis-jenis serangan. Seperti pada

gambar 4.13.

98

Gambar 4.13 Ekstrak Rule Snort

9. Login pada mesin sensor IDS dimana login adalah dengan username

root dan passwordnya adalah imam87 seperti pada gambar 4.14.

Gambar 4.14 Login Mesin Sensor IDS

99

10. Setelah berhasil login ke mesin sensor, maka untuk akses mesin

sensor IDS yaitu EasyIDS dengan web GUI dengan alamt URL

https://10.3.4.221. Seperti pada gambar 4.15.

Gambar 4.15 Setelah Login Mesin Sensor EasyIDS

4.14.2 Impelementasi dan konfigurasi Mesin Sensor

Konfigurasi mesin sensor, dimana mesin sensor bernama

EasyIDS, untuk akses mesin sensor dengan web Graffic User Interface

(GUI) menggunakan browser yaitu Mozilla firefox pada alamat URL

https://10.3.4.221 Login dengan web based dengan username dan

password adalah default, dimana username adalah admin dan password

adalah password, seperti pada gambar 4.16.

100

Gambar 4.16 Tampilan Login Web Based ke Mesin Sensor

Pada gambar 4.17 setelah memasukkan username dan password

ke alamat mesin sensor yang diakses oleh komputer manajemen mesin

sensor IDS, maka akan tampil Welcome to EasyIDS menjelaskan tentang

licenses software tersebut untuk setuju (accept) kemudian beri tanda

checklist (√) kemudian klik submit.

101

Gambar 4.17 Tampilan Welcome EasyIDS

Pada gambar 4.18 setelah itu akan tampilan untuk mengubah

passwords root Mysql, pada mesin sensor ini menggunakan password

root imamsutanto. Difungsikan saat adanya perubahan database maka

username root dengan passwords yang telah diganti dan juga untuk

menjaga sisi keamanan database Mysql.

102

Gambar 4.18 Tampilan Change Passwords MySQL

Pada gambar 4.19 setelah proses memasukkan username dan

paswword, sehingga password yang telah diganti telah berhasil.

Gambar 4.19 Tampilan Setelah Passwords Dimasukkan

Pada gambar 4.20 setelah proses konfigurasi maka tampilan awal

EasyIDS, dimana saat tampilan awal EasyIDS menjelaskan tentang apa

itu EasyIDS, Getting started, Arpwatch, BASE, NTOP dan NMAP.

103

Gambar 4.20 Tampilan Awal EasyIDS Berbasis GUI

Pada gambar 4.21 Setting EasyIDS mempunyai beberapa

konfigurasi yaitu snort configuration antara lain Network Settings, Notify

Settings, Rulesets, Thresholds, Rule Updates, Edit Config File.

.

104

Gambar 4.21 Snort Configuration

Pada gambar 4.22 EasyIDS mempunyai beberapa pengaturan

antara lain Snort Network Settings pada snort network setting untuk

mengatur koneksi jaringan internal maupun eksternal, maupun beberapa

server. Pada skripsi ini Penulis memberikan alamat IP pada Home

Network dengan IP 10.3.1.0/24 dimana /24 adalah subnet 255.255.255.0,

DNS Server dengan IP 10.3.0.30, Mail Server 10.3.0.40, Web Server

dengan IP 10.3.9.10, FTP Server 10.3.0.4.

Gambar 4.22 Snort Network Settings

105

Pada gambar 4.23 snort configuration, mesin sensor IDS perlu

adanya update rules secara berkala agar snort dapat mendeteksi atau

mengenali jenis serangan baru. Cara update rule yaitu ruleset Sourcefire

VRT certified register user rules dengan memasukkan Oink Code yaitu

97c79acd042fb5d386d07a1a3ace7148ab6398fd. Untuk mendapatkan

Oink Code tersebut, sebelum harus melakukan registrasi ke situs

www.snort.org.

Gambar 4.23 Snort Rule Updates

Pada gambar 4.24 Notify Settings difungsikan untuk

memberitahukan alert selama waktu yang di inginkan oleh user atau

administrator jaringan dan dikirim lewat email, dimana fungsi ini bisa di

106

nonaktifkan atau diaktifkan, pengaturan bisa dilakukan dengan sesuai

dengan hari.

Gambar 4.24 Notify Settings

Pada gambar 4.25 Snort Rulesets dimana rule-rule snort tersebut

digunakan oleh snort. Rule tersebut bisa di aktifkan atau di nonaktifkan

sesuai dengan keinginan adiministrator jaringan. Setiap mengkonfigurasi

rule snort, harus melakukan restart snort.

107

Gambar 4.25 Snort Rulesets

Pada gambar 4.26 System Status pada EasyIDS untuk

menginformasikan service apa saja yang sedang berjalan ataupun berhenti.

Bahwa sistem snort dan barnyard sedang running atau berjalan.

108

Gambar 4.26 System Status

Pada gambar 4.27 EasyIDS mempunyai status informasi pada

sebelah kiri menunjukkan System vital yaitu menjelaskan tentang

software yang digunakan dan sebagainya. Pada Network Usage

menunjukkan device network apa saja yang digunakan yaitu lo, eth0, eth1.

Pada sebelah kanan menunjukkan status hardware informasi tersebut

memberikan status spesifikasi hardware yang digunakan, status memory

yang dipakai dan juga kapasitas harddisk yang terpakai secara detail.

109

Gambar 4.27 System Information

4.15 Implementasi BASE (Basic Analysis and Security Engine)

Versi BASE pada sistem EasyIDS yang digunakan oleh penulis adalah

versi BASE 1.4.4. Dimana BASE sudah ada didalam proses instalasi sistem

operasi EasyIDS yang sudah include BASE 1.4.4. Pengujian Base yang

dilakukan penulis adalah dengan melakukan pada browser yaitu menggunakan

110

browser Mozilla firefox dengan memasukkan alamat URL https://10.3.4.221

cara pilih analysis kemudian pilih BASE maka tampilan halaman BASE seperti

pada gambar di bawah ini :

Gambar 4.28 Tampilan Halaman BASE (Basic Analysis and Security

Engine)

4.16 Monitoring (Pengawasan)

Model Pengawasan sistem jaringan komputer NDLC mengkategorikan

proses pengujian pada tahap pengawasan (monitoring). Hal ini dikarenakan

pengawasan sistem yang sudah dibangun atau dikembangkan. Proses pengujian

111

(testing) yaitu untuk menjamin apakah sistem yang dibangun atau dikembangkan

dapat berjalan dan sesuai dengan kebutuhan.

Aktivitas pengujian yang dilakukan pada penelitian ini adalah pengujian

bersifat fungsionalitas, dimana pengujian tersebut menghasilkan output yang

valid dan yang invalid. Tahap monitoring (pengawasan) yang diterapkan oleh

penulis apakah sudah dapat bekerja dengan baik. Tahap monitoring mencakup

sejumlah proses seperti : Melakukan penyerangan terhadap mesin sensor yaitu

dengan mengamati dan menganalisis alert BASE (Basic Analysis and Security

Engine). Pengujian komponen sistem mesin sensor IDS dilakukan dilingkungan

LAN, berikut ini adalah proses pengujian terhadap sistem yang sudah dibangun

dan dikembangkan :

4.16.1 Pengujian Fungsionalitas Komponen IDS

a. Pengujian Snort

Pengujian snort pada mesin sensor IDS dilakukan dengan

menggunakan rule yang sudah ada. Dimana pengujian tersebut dengan

melakukan serangan ke mesin sensor IDS.

1. Percobaan 1 : PING Attack (TCP Traffik)

Pada kasus ini, penulis mensimulasikan dan menganalisis jenis

serangan berprotokol TCP. Pada mesin sensor IDS, dimana client

112

mencoba ping attack ke alamat IP mesin sensor IDS yaitu 10.3.4.221

dengan menggunakan command prompt dengan mengirimkan paket

sebesar 65500. Seperti pada gambar 4.29.

Gambar 4.29 Ping Attack

2. Percobaan Kedua : NMAP Port Scanning Attack

Pada kasus ini, penulis mendefinisikan akan mesimulasikan

dan menganalisis jenis aktivitas port scanning dengan menggunakan

program nmap, yang dilakukan dari client atau mesin penyerang.

Pada percobaan ini penulis, pada client mencoba port

scanning dengan menggunakan nmap yaitu ke mesin sensor IDS

dengan IP 10.3.4.221. Pada program nmap yang sudah diinstall

113

dimesin client difungsikan untuk menguji coba mesin sensor IDS

yaitu dengan target IP 10.3.4.221 (mesin sensor IDS) dengan profile

Intense scan, all TCP ports.

Pada gambar 4.24 saat scanning yang dilakukan oleh client

ke mesin sensor IDS, bahwa mesin sensor IDS pada port scanning

yang client lakukan dengan menggunakan program nmap ke mesin

sensor bahwa adanya port yang terbuka pada mesin sensor IDS yaitu

port 80, 443 dan 22.

Gambar 4.30 Uji coba Nmap Client ke mesin sensor IDS

114

4.16.2 Analisa Data BASE (Basic analysis and security engine)

Pada Sub bab ini penulis akan menjelaskan proses analisis data

kejadian melalui fungsionalitas BASE. Berikut ini adalah langkah analisa

BASE :

Gambar 4.31 Halaman Utama BASE

Pada gambar 4.31 halaman utama BASE, kuadran sisi kiri atas

terdapat link yang menjelaskan sejumlah informasi seperti alert yang

terjadi hari ini, 24 jam terakhir dan 72 jam terakhir yang dapat di

tampilkan berdasarkan parameter unique, listing, alamat IP berdasarkan

sumber dan tujuan.

115

Pada kuadran sisi kanan terdapat informasi search dimana

pencarian berdasarkan waktu, jam, dan bulan. Pada graph alert data

menjelaskan informasi berdasarkan grafik alert dan pada graph alert

detection time grafik berdasarkan waktu yang sudah di konfigurasi.

Pada kuadran kanan bawah menginformasikan traffic profile by

protocol (traffic berdasarkan protokol), dan pada kuadran kiri bawah

menginformasikan jumlah sensor, alert unik, jumlah alert, alamat IP

berdasarkan sumber, tujuan dan unik alert. Pada traffic profile by protocol

dilihat dari protokol TCP dan Portscan traffic terjadi peningkatan sinyal

berwarna merah yaitu pada protokol TCP terjadi presentase alert sebesar

69% dan pada portscan traffic presentase sebesar 31%.

Penulis memanfaatkan fitur grafik pada BASE (Basic Analysis and

Security Engine) untuk menginformasikan alamat IP sumber dengan

jumlah alert yang dihasilkan. Berikut hasilnya pada tampilan diagram

batang (Bar chart) memiliki presentase alert sebesar 78,7% pada alamat

IP 10.3.4.223, presentase alert sebesar 4,9% pada alamat IP 10.3.4.224

dan presentase alert sebesar 16,4% pada alamat IP 68.180.217.33 dari

jumlah alert yang paling terdeteksi oleh mesin sensor IDS. Seperti pada

gambar 4.32.

116

Gambar 4.32 Diagram Batang Berdasarkan Time dan Jumlah Alert

Pada gambar 4.33 fitur yang menampilkan profil traffic by

protocol yaitu protokol TCP, BASE menginformasikan sejumlah alert dan

log pada protokol TCP.

117

Gambar 4.33 Tampilan Daftar Alert Berdasarkan Protokol TCP

118

Terlihat pada daftar alert berdasarkan protokol TCP yaitu

informasi dari kiri ke kanan adalah informasi identitas alert, informasi

signature yang tergenerate, timestamp (waktu terjadinya alert), alamat IP

sumber, alamat IP tujuan (target) dan protokol yang digunakan. Dimana ID

nomor 1 (1-3) dengan signature snort dengan nama ssh Protocol mismatch,

waktu tahun 2010 bulan 05 tanggal 24 pukul 06:04:44 dengan alamat IP

sumber 10.3.4.223 dengan tujuan (target) 10.3.4.221 pada protokol TCP.

Pada gambar 4.34 adalah Detail rincian dari setiap kejadian pada

mesin sensor IDS, dimana BASE mempresentasikan secara rinci komponen

dari traffic alert yang meliputi : metadata terdiri dari nomor ID yaitu 1

dengan waktu 2010-05-24 05:31:05 dengan signature snort_decoder : TCP

Window Scale Option Scale Invalid (>14) lebih dari 14 time to live. Pada

sensor terdiri dari alamat sensor yaitu easyids, interface pada Ethernet 1,

Filter tidak ada. Pada informasi protocol IP terdapat alamat sumber yaitu

10.3.4.223 dengan tujuan 10.3.4.221 version IP address adalah IP version

4, pada header length (panjang header 20 dan length 60, ID 26596, Time

To Live 56 dan checksum 64790= 0xfd16. Pada informasi protocol TCP

adalah sumber port dan tujuan port yaitu 33069 dan 30170.

119

Gambar 4.34 Detail Profile Traffic Alert

4.16.3 Solusi Mengatasi Serangan Ping Attack dan Port Scanning

Untuk mengatasi serangan dari intruder yaitu dengan cara ping

attack ke sebuah mesin sensor IDS, maka penulis menuliskan sebuah rule

iptable, dimana rule tersebut untuk memblok berdasarkan alamat IP

Address.

[root@easyids ~]# iptables –I INPUT –s 10.3.4.223 –j DROP

120

Saat rule iptables dimasukkan ke dalam rule iptables maka akan

terlihat pada mesin client atau penyerang yaitu request time out, seperti

gambar dibawah ini :

Gambar 4.35 Memblok Client Dalam Melakukan Ping Attack

Pada mesin client atau penyerang saat melakukan port scanning

dengan menggunakan tools Nmap, maka pada Nmap tidak terlihat adanya

port yang terbuka, seperti pada gambar di bawah ini :

121

Gambar 4.36 Nmap Pada Mesin Client

EasyIDS memiliki sistem grafik yang mempermudah seorang

admin untuk menganalisa sebuah paket jaringan yaitu grafik system, grafik

network, grafik snort network settings.

Pada Network Graphs ada dua interface Ethernet dimana eth0

berfungsi untuk memanajemen jaringan, terdiri dari dua warna yaitu hijau

untuk traffic incoming dan biru untuk traffic outgoing.

122

Pada gambar 4.37 Snort Performance Graphs yaitu Dropped

Packets percentage adalah untuk menunjukkan paket yang didrop atau

dijatuhkan ke mesin sensor, bahwa pada grafik tersebut tidak ada

pergerakan grafik.

Pada Alerts per second adalah untuk menunjukkan pergerakan

adanya alert atau peringatan kepada mesin sensor, bahwa terjadi pergerakan

grafik per second (detik). Seperti gambar dibawah ini :

Gambar 4.37 Grafik Dropped Packet dan Alert Per Second Snort

Pada gambar 4.38 grafik Mbit per second menunjukan adanya

pergerakan grafik dalam megabit yaitu pada grafik terdiri dari 3 warna yaitu

hijau, biru dan merah. Dimana hijau menunjukkan total on wire, biru

123

menunjukkan Application layer dan merah menunjukkan fragmented on

wire. Pada grafik terjadi pergerakan yaitu terjadi jumlah paket yang lewat

dan application layer.

Pada Kpackets Per Second adalah menunjukkan grafik paket per

kilobyte paket yang terdeteksi oleh mesin sensor. Seperti pada gambar

dibawah ini :

Gambar 4.38 Grafik Mbits per second dan Kpackets Per Second Snort

Pada gambar 4.39 grafik SYN + SYN/ACK Packets per second

adalah grafik yang terjadi peningkatan grafik dan session events per second

yang ditunjukkan dengan warna biru.

124

Pada grafik Sessions event per second adalah grafik yang

menunjukkan sessions baru dan yang terhapus atau deleted, dimana new

ditunjukkan dengan warna biru dan deleted ditunjukkan dengan warna

merah. Seperti gambar di bawah ini :

Gambar 4.39 Grafik SYN + SYN/ACK Packet dan Session Event Snort

Pada gambar 4.40 grafik open sessions adalah session yang

terbuka saat sessions, dimana open sessions ditunjukkan dengan warna biru

dan max sessions ditunjukkan dengan warna hijau.

125

Pada gambar 4.40 grafik Stream Events adalah grafik yang

menunjukkan terjadi urutan-urutan event yang terjadi per second (detik),

dimana flushes ditunjukkan dengan warna merah jambu (pink).

Gambar 4.40 Grafik Open Session dan Stream Event

Pada gambar 4.41 frag event adalah terdiri dari creates yang

ditunjukkan dengan warna pink (merah jambu), Completes yang

ditunjukkan dengan warna hijau, inserts yang ditunjukkan dengan warna

biru, deletes yang ditunjukkan dengan warna biru muda dan timeouts yang

ditunjukkan dengan warna merah.

126

Pada gambar 4.41 grafik Average Byte Per Packet adalah rata-rata

paket dalam byte yang melewati mesin sensor IDS.

Gambar 4.41 Grafik Frag Event dan Average Byte Per Packet

Pada gambar 4.42 sistem grafik EasyIDS yaitu System Graphs

menunjukkan suatu sistem memakai CPU Usage per hari dimana User CPU

Usage adalah pemakaian CPU oleh user atau pemakai ditunjukkan dengan

warna biru, pada system CPU ditunjukkan dengan warna merah dan Idle

CPU Usage adalah pemakaian CPU waktu menganggur CPU ditunjukkan

dengan warna hijau.

127

Pada gambar 4.42 Grafik memory terjadi pemakaian memory yang

ditunjukkan dengan warna biru dan cache memory terjadi pemakaian yang

ditunjukkan dengan warna merah. Free memory atau memory yang kosong

ditunjukkan dengan warna hijau.

Gambar 4.42 Grafik Sistem

Pada gambar 4.43 Network Graphs ada dua interface Ethernet

dimana traffic eth0 berfungsi untuk memanajemen mesin sensor IDS dan

Pada eth1 difungsikan untuk memonitor sistem jaringan pada mesin sensor

IDS, dimana incoming traffic ditunjukkan dengan warna hijau dan outgoing

traffic ditunjukkan dengan warna biru.

128

Gambar 4.43 Network Graphs

4.17 Management (Pemeliharaan)

Pada Fase management atau pemeliharaan meliputi aktivitas pemeliharaan

dan perawatan terhadap sistem yang telah dibangun. Pada fase manajemen

mempunyai serangkaian proses pengelolaan, pemeliharaan atau perawatan

dilakukan untuk sejumlah tujuan :

129

a. Memperbaiki beberapa kesalahan terhadap sistem yang sudah dibangun.

b. Mengadaptasi sistem yang sudah dibangun terhadap platform dan teknologi

baru dalam mengatasi sejumlah perkembangan permasalahan yang muncul

Pada tahap perancangan, pembangunan dan pengembangan sistem mesin

sensor IDS, fase manajemen dipresentasikan dengan beberapa cara yaitu :

a. Memperbaharui rules dari snort, hal ini agar IDS dapat selalu mengenali

jenis serangan.

b. Memperbaharui versi setiap komponen mesin sensor IDS yaitu Snort,

Barnyard, Oinkmaster dan BASE ke versi rilis terbaru, karena versi terbaru

menjamin perbaikan dan penambahan fitur yang kurang dari versi

sebelumnya.

Dengan demikian fase manajemen dapat efektif untuk menjamin

kekurangan kinerja dari sistem mesin sensor IDS.

130

BAB V

KESIMPULAN DAN SARAN

5.1 Kesimpulan

Rumusan kesimpulan dari keseluruhan proses penelitian yang telah

Dari pembahasan yang sudah di uraikan maka penulis mencoba membuat

kesimpulan dan saran sebagai berikut :

1. Sistem IDS (Intrusion Detection System) yang diterapkan telah berhasil

dibangun dan dikembangkan dengan baik. Keseluruhan sistem mesin

sensor IDS dapat bekerja dengan efektif sebagai sistem keamanan

jaringan komputer yang berbasis open source dalam mendeteksi sebuah

intruder atau penyusup pada mesin sensor IDS, dimana dalam mendeteksi

ada suatu serangan dianalisis pada BASE (Basic Security Engine). Untuk

lebih jelasnya dapat dilihat di subbab 4.16.2.

2. EasyIDS (Easy Intrusion Detection System) yang diterapkan adalah

mekanisme sistem kerja snort dan BASE yang telah berhasil di

implementasikan dengan baik. Dalam pengujian sistem snort dan BASE

yaitu dengan Ping attack dan Port scanning (Nmap). Untuk lebih jelasnya

dapat dilihat di subbab 4.16.2.

131

3. Adanya fungsionalitas atas komponen spesifik yang dapat memblok

traffic dari akses penyerang untuk melakukan aktivitas yang

mencurigakan.

5.2 Saran

Pada penelitian ini penulis menerapkan dan mengimplementasikan

sistem EasyIDS. Penulis menemukan Saran-saran yang diberikan pada

penilitian ini adalah sebagai berikut :

1. Penulis menyarankan untuk mengembangkan Sistem IDS ini agar dapat

mendeteksi aktivitas intrusi atau penyusup pada jaringan wireless.

2. Sistem EasyIDS yang ada saat skripsi ini ditulis, belum dapat melakukan

pendeteksian pada traffic jaringan yang terenkripsi. Akan jauh lebih baik,

jika sistem EasyIDS selanjutnya, dapat mendeteksi serangan yang

dilancarkan tidak hanya pada sistem jaringan normal (non-enkripsi) tetapi

juga pada sistem jaringan terenkripsi.

132

DAFTAR PUSTAKA

Ariyus, Dony. M.Kom. (2007). “Intrusion Detection System”. Yogyakarta :

Penerbit ANDI.

Ariyus, Dony (2009). “Keamanan Multimedia”. Yogyakarta : Penerbit

ANDI.

Baroto, Wisnu. (2003). “Memahami Dasar-Dasar Firewall Keluaran Check

Point Next Generation”. Jakarta : Penerbit PT Elex Media

Komputindo..

Goldman, James E. dan Rawles, Phillip T. (2001). “Applied Data

Communications A Business Oriented Approach, 3th Edition”.

Penerbit John Wiley & Sons, Inc.

Kohlenberg, Toby. (2007). “Snort Intrusion Detection and Prevent

Toolkit”.

http://books.google.com/books=kohlenberg+snort+intrusion+detec

tion+and+prevent+toolkit

Diakses tanggal 25-05-2010 jam 18:05 WIB

M Doss, George. (2000). “Tips Sistem Operasi Red Hat Linux”. Jakarta:

Penerbit PT. Elex Media Komputindo.

133

Nazir, Mohammad. (2005). “Metode Penelitian” Bogor : Penerbit Ghalia

Indonesia.

Patrick, (2009). “What about EasyIDS” http://www.skynet-

solutions.net/easyids/about.asp.

Diakses tanggal 30 Mei 2010 Pukul 11:34 WIB

Rafiudin, Rahmat. (2005). “Konfigurasi Sekuriti Jaringan Cisco”. Jakarta :

Penerbit PT. Elex Media Komputindo.

Rafiudin, Rahmat. (2006). “Cisco Router Konfigurasi Voice, Video, dan

Fax”. Yogyakarta : Penerbit Andi.

Rafiudin, Rahmat. (2006). “Membangun Firewall dan Traffic Filtering

berbasis Cisco”. Yogyakarta : Penerbit Andi.

Roesch, Martin. (2009) “Snort Manual 2.8.5”

http://www.snort.org/assets/125/snort_manual-2_8_5_1.pdf

Diakses tanggal 12 Desember 2009 Pukul 09:53 WIB

Stallings, William. (2003). “Crytography and Network Security

PRINCIPLES AND PRACTICES Third Edition”. New Jersey :

Prentice Hall Pearson Education International.

Stiawan, Deris. (2009).“Internetworking Development & Design Life

Cycle”

134

http://deris.unsri.ac.id/materi/jarkom/network_development_cycles

.pdf

Diakses tanggal 18 Januari 2010 Pukul 17:00 WIB

Wahana Komputer. (2003). “Konsep Jaringan Komputer dan

Pengembangannya”. Jakarta : Penerbit Salemba Infotek.

http://pusatbahasa.diknas.go.id/kbbi/index.php

Diakses tanggal 30 Mei 2010 Pukul 11:31 WIB

http://www.plnjaya.co.id/profil/Profil.asp

Diakses tanggal 13 April 2010 Pukul 09:25 WIB

135

LAMPIRAN I

WAWANCARA I

Responden : Bapak Hiltanto Sidik (Admin Jaringan PT.PLN (Persero)

Distribusi Jakarta Raya dan Tangerang.

Penanya : Imam Sutanto

Tanggal : 23 Maret 2010

Tema : Sistem Jaringan LAN PT. PLN (Persero) Distribusi Jakarta

Raya dan Tangerang dan Firewall.

Tujuan : Mengetahui dan mengamati sistem keamanan jaringan PT.

PLN (Persero) Jakarta Raya dan Tangerang.

Pertanyaan :

1. Permasalahan apa yang pernah dihadapi pada Sistem keamanan jaringan

komputer PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang, Gambir ?

2. Apakah sudah ada sistem Intrusion Detection System di PT. PLN (Persero)

Distribusi Jakarta Raya dan Tangerang, Gambir ?

3. Apakah yang diandalkan dari PT.PLN jika adanya suatu intruder ?

4. Apakah dengan melihat log-log file dapat dilihatnya suatu intruder ?

136

Hasil Wawancara :

Berdasarkan pertanyaan-pertanyaan yang diajukan oleh penulis pada

wawancara, penulis dapat mengetahui bahwa sering terjadi adanya ip spoffing dari

jaringan internal PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang. Belum

adanya sistem intrusion detection system untuk mendeteksi adanya intruder dan

Sistem keamanan yang digunakan oleh PT. PLN (Persero) adalah PC Router dan

firewall. Dalam penjelasannya dijelaskan juga tentang kekurangan dari sistem PC

Router yaitu untuk kondisi tertentu dapat terlihat tetapi lebih banyak yang tidak

terekam. Jenis Firewall yang digunakan adalah Firewall Nokia IP 390.

Untuk memantau dan melihat log-log file Jika terjadi gangguan baru

dilakukan pengecekan. Log-log filenya berupa text yang berisi ip dan paket serta

keterangan-keterangan spesifik seperti not a local network. Dengan penerapan

Intrusion Detection System, log file berupa tampilan GUI (Grafic User Friendly)

yang dapat mempermudah pemantauan adanya intruder.

137

LAMPIRAN II

WAWANCARA II

Responden : Bapak Hiltanto Sidik (Admin Jaringan PT.PLN (Persero)

Distribusi Jakarta Raya dan Tangerang.

Penanya : Imam Sutanto

Tanggal : 28 April 2010

Tema : Sistem EasyIDS yang diterapkan pada Jaringan LAN PT.

PLN (Persero) Distribusi Jakarta Raya dan Tangerang.

Tujuan : Mengetahui apakah EasyIDS yang diterapkan dapat

berjalan dengan baik sesuai dengan kebutuhan sistem

keamanan jaringan PT. PLN (Persero) Jakarta Raya dan

Tangerang.

Pertanyaan :

1. Apakah sistem yang saat ini dapat berjalan dengan baik ?

2. Apakah sistem EasyIDS ini dapat membantu pekerjaan anda ?

Hasil Wawancara :

Berdasarkan pertanyaan-pertanyaan yang diajukan oleh penulis kepada

Bapak Hiltanto Sidik (Admin jaringan PT. PLN (Persero) Distribusi Jakarta Raya

Tangerang) bahwa sistem EasyIDS yang diterapkan sudah dapat berjalan dengan

baik. Dimana EasyIDS tersebut dapat memberikan suatu alert (peringatan) adanya

138

suatu intruder pada jaringan PT. PLN (Persero) Distribusi Jakarta Raya dan

Tangerang dengan tampilan web based untuk mempermudah dalam menganalisis

log-log file dan lebih user friendly dalam penggunaannya.

INTERNET ICON +INTERNET SISTELINDO

SWICTH 2950

FIREWALL NOKIA IP 35010.3.9.11

ROUTER PACKETEER 2500

`

Management Sensor IDS10.3.4.222

`

Sensor IDS10.3.4.221

`

Client10.3.4.223

Switch 2940 FTP Server10.3.0.4

Mail Server10.3.0.40

PC router10.3.1.12

Web Server10.3.9.10

167

LAMPIRAN VI

BARNYARD.CONF

# http://www.snort.org Barnyard 0.1.0 configuration file

# Contact: snort-barnyard@lists.sourceforge.net

#-------------------------------------------------------------

# $Id: barnyard.conf,v 1.9 2004/05/01 16:43:29 andrewbaker Exp $

########################################################

# Currently you want to do two things in here: turn on

# available data processors and turn on output plugins.

# The data processors (dp's) and output plugin's (op's)

# automatically associate with each other by type and

# are automatically selected at run time depending on

# the type of file you try to load.

########################################################

# Step 1: configuration declarations

# To keep from having a commandline that uses every letter in the alphabet

# most configuration options are set here

# enable daemon mode

config daemon

# use localtime instead of UTC (*not* recommended because of timewarps)

config localtime

# set the hostname (currently only used for the acid db output plugin)

config hostname: easyids

# set the interface name (currently only used for the acid db output plugin)

config interface: eth1

168

# set the filter (currently only used for the acid db output plugin)

#config filter: not port 22

# Step 2: setup the output plugins

# alert_fast

#-----------------------------

# Converts data from the dp_alert plugin into an approximation of Snort's

# "fast alert" mode. Argument: <filename>

output alert_fast

# log_dump

#-----------------------------

# Converts data from the dp_log plugin into an approximation of Snort's

# "ASCII packet dump" mode. Argument: <filename>

output log_dump

# alert_csv (experimental)

#---------------------------

# Creates a CSV output file of alerts (optionally using a user specified format)

# Arguments: filepath [format]

#

# The format is a comma-seperated list of fields to output (no spaces allowed)

# The available fields are:

# sig_gen - signature generator

# sig_id - signature id

# sig_rev - signatrue revision

# sid - SID triplet

# class - class id

# classname - textual name of class

# priority - priority id

# event_id - event id

# event_reference - event reference

# ref_tv_sec - reference seconds

# ref_tv_usec - reference microseconds

# tv_sec - event seconds

# tv_usec - event microseconds

169

# timestamp - prettified timestamp (2001-01-01 01:02:03) in UTC

# src - src address as a u_int32_t

# srcip - src address as a dotted quad

# dst - dst address as a u_int32_t

# dstip - dst address as a dotted quad

# sport_itype - source port or ICMP type (or 0)

# sport - source port (if UDP or TCP)

# itype - ICMP type (if ICMP)

# dport_icode - dest port or ICMP code (or 0)

# dport - dest port

# icode - ICMP code (if ICMP)

# proto - protocol number

# protoname - protocol name

# flags - flags from UnifiedAlertRecord

# msg - message text

# hostname - hostname (from barnyard.conf)

# interface - interface (from barnyard.conf)

#

# Examples:

# output alert_csv: /var/log/snort/csv.out

# output alert_csv: /var/log/snort/csv.out timestamp,msg,srcip,sport,dstip,dport,protoname,itype,icode

# output alert_csv: csv.out timestamp,msg,srcip,sport,dstip,dport,protoname,itype,icode

# alert_syslog

#-----------------------------

# Converts data from the alert stream into an approximation of Snort's

# syslog alert output plugin. Same arguments as the output plugin in snort.

#output alert_syslog

# alert_syslog2

#-------------------------------

# Generates a syslog alert. This supports considerably more features than

170

# the original syslog output plugin.

#

# output alert_syslog2

# log_pcap

#-----------------------------

# Converts data from the dp_log plugin into standard pcap format

# Argument: <filename>

#output log_pcap

# acid_db

#-------------------------------

# Available as both a log and alert output plugin. Used to output data into

# the db schema used by ACID

# Arguments:

# $db_flavor - what flavor of database (ie, mysql)

# sensor_id $sensor_id - integer sensor id to insert data as

# database $database - name of the database

# server $server - server the database is located on

# user $user - username to connect to the database as

# password $password - password for database authentication

output alert_acid_db: mysql, sensor_id 1, database snort, server localhost, user snort, password AXdcizcWp96y

output log_acid_db: mysql, database snort, server localhost, user snort, password AXdcizcWp96y, detail full

# sguil

#----

# This output plug-in is used to generate output for use with the SGUIL user

# interface. To learn more about SGUIL, go to http://sguil.sourceforge.net

#

# output sguil: mysql, sensor_id 0, database sguildb, server syn, user root,\

# password dbpasswd, sguild_host syn, sguild_port 7736

167

LAMPIRAN VI

FOTO PROSES RISET

1. Perangkat Firewall

2. Perangkat Router

168

3. Perangkat Switch

4. Mesin Sensor IDS

169

5. Mesin management sensor

139

LAMPIRAN III

KONFIGURASI SWITCH PORT MIRROR

Switch>enable

Password : cisco

Switch# configure terminal

Switch (config)#

Switch (config)# monitor session 1 source interface fastethernet 0/1

Switch (config)# monitor session 1 destination interface fastethernet 0/2

Switch (config)# exit

Switch# show monitor session 1

Session 1---------Source Ports: RX Only: None TX Only: None Both: Fa0/1Destination Ports: Fa0/2

140

LAMPIRAN IV

LOG FILE PC ROUTER

May 15 00:00:00 gateway newsyslog[24940]: logfile turned over due to size>100K

May 15 00:13:35 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 00:18:43 gateway kernel: arp: 10.3.0.182 moved from 00:05:1a:86:86:c0 to 00:0a:04:25:2a:80 on rl1

May 15 00:25:07 gateway kernel: arp: 10.3.0.182 moved from 00:0a:04:25:2a:80 to 00:05:1a:86:86:c0 on rl1

May 15 00:33:41 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 00:33:41 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 00:45:32 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network

May 15 00:53:51 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 01:14:00 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 01:31:34 gateway kernel: rl1: watchdog timeout

May 15 01:31:44 gateway kernel: arp: 10.3.0.182 moved from 00:05:1a:86:86:c0 to 00:0a:04:25:2a:80 on rl1

May 15 01:34:07 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 01:34:07 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 01:36:52 gateway kernel: arp: 10.3.0.182 moved from 00:0a:04:25:2a:80 to 00:05:1a:86:86:c0 on rl1

May 15 01:54:11 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 01:54:11 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 02:16:21 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 02:16:21 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 02:20:04 gateway kernel: arp: 10.3.0.182 moved from 00:05:1a:86:86:c0 to 00:0a:04:25:2a:80 on rl1

May 15 02:29:13 gateway kernel: arp: 10.3.0.182 moved from 00:0a:04:25:2a:80 to 00:05:1a:86:86:c0 on rl1

May 15 02:36:27 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 02:36:27 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 02:56:33 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 02:56:33 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 03:04:15 gateway sendmail[25592]: o4EK4Fiq025592: Losing ./qfo4EK4Fiq025592: savemail panic

May 15 03:04:15 gateway sendmail[25592]: o4EK4Fiq025592: SYSERR(root): savemail: cannot save rejected email anywhere

May 15 03:04:15 gateway sendmail[25638]: o4EK4FPi025638: Losing ./qfo4EK4FPi025638: savemail panic

May 15 03:04:15 gateway sendmail[25638]: o4EK4FPi025638: SYSERR(root): savemail: cannot save rejected email anywhere

141

May 15 03:16:42 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 03:16:42 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 03:24:20 gateway kernel: rl1: watchdog timeout

May 15 03:24:50 gateway kernel: arplookup 10.3.187.98 failed: host is not on local network

May 15 03:24:52 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network

May 15 03:36:45 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 03:36:45 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 03:56:58 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 03:56:58 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 04:17:11 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 04:17:11 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 04:17:55 gateway sendmail[25863]: o4ELHshZ025863: Losing ./qfo4ELHshZ025863: savemail panic

May 15 04:17:55 gateway sendmail[25863]: o4ELHshZ025863: SYSERR(root): savemail: cannot save rejected email anywhere

May 15 04:37:15 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 04:37:15 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 04:57:19 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 04:57:19 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 05:14:38 gateway kernel: arplookup 10.3.187.98 failed: host is not on local network

May 15 05:17:25 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 05:17:25 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 05:37:29 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 05:37:29 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 05:43:12 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network

May 15 05:57:38 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 05:57:38 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 06:11:34 gateway kernel: arp: 10.3.4.190 moved from 00:13:46:3a:ef:d2 to 00:15:60:a4:29:d2 on rl1

May 15 06:17:46 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 06:17:46 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 06:37:53 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 06:37:53 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 06:45:10 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 06:46:30 gateway kernel: arplookup 10.3.187.98 failed: host is not on local network

May 15 06:50:10 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

142

May 15 06:50:10 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 06:55:10 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 06:55:10 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 06:58:00 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 06:58:00 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 07:16:05 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 07:18:06 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 07:18:06 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 07:20:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 07:25:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 07:25:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 07:30:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 07:30:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 07:35:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 07:35:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 07:38:11 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 07:38:11 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 07:40:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 07:40:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 07:45:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 07:45:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 07:50:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 07:50:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 07:55:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 07:55:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 07:58:16 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 08:00:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 08:00:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 08:05:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 08:05:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 08:10:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 08:10:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 08:15:09 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 08:15:09 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

143

May 15 08:18:23 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 08:18:23 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 08:18:32 gateway kernel: arplookup 10.3.9.10 failed: host is not on local network

May 15 08:20:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 08:20:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 08:25:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 08:25:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 08:36:58 gateway kernel: arp: 10.3.4.9 moved from 00:24:81:16:31:e7 to 00:1a:64:e5:fa:aa on rl1

May 15 08:38:29 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 08:39:24 gateway kernel: arp: 10.3.4.9 moved from 00:1a:64:e5:fa:aa to 00:24:81:16:31:e7 on rl1

May 15 08:45:36 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 08:45:37 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 08:50:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 08:50:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 08:55:08 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 08:55:08 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 08:58:38 gateway kernel: arp: 10.3.5.21 moved from 00:0b:5f:3a:88:80 to 00:1e:14:e1:86:80 on rl1

May 15 08:58:38 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 15 09:00:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 09:00:07 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 09:05:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 09:05:07 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 09:10:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 15 09:10:07 gateway kernel: arp: 10.3.5.25 moved from 00:1a:70:c4:f4:ae to 00:1b:8f:f2:a0:40 on rl1

May 15 09:15:07 gateway kernel: arp: 10.3.5.25 moved from 00:1b:8f:f2:a0:40 to 00:1a:70:c4:f4:ae on rl1

May 17 01:53:57 gateway kernel: arp: 10.3.5.21 moved from 00:1e:14:e1:86:80 to 00:0b:5f:3a:88:80 on rl1

May 17 02:00:00 gateway newsyslog[31759]: logfile turned over due to size>100K

144

LAMPIRAN V

SNORT.CONF

#--------------------------------------------------

# http://www.snort.org Snort 2.8.5.1 Ruleset

# Contact: snort-sigs@lists.sourceforge.net

#--------------------------------------------------

# $Id$

#

###################################################

# This file contains a sample snort configuration.

# You can take the following steps to create your own custom configuration:

#

# 1) Set the variables for your network

# 2) Configure dynamic loaded libraries

# 3) Configure preprocessors

# 4) Configure output plugins

# 5) Add any runtime config directives

# 6) Customize your rule set

#

###################################################

# Step #1: Set the network variables:

#

# You must change the following variables to reflect your local network. The

# variable is currently setup for an RFC 1918 address space.

#

# You can specify it explicitly as:

#

# var HOME_NET 10.1.1.0/24

#

# if Snort is built with IPv6 support enabled (--enable-ipv6), use:

# ipvar HOME_NET 10.1.1.0/24

145

#

# or use global variable $<interfacename>_ADDRESS which will be always

# initialized to IP address and netmask of the network interface which you run

# snort at. Under Windows, this must be specified as

# $(<interfacename>_ADDRESS), such as:

# $(\Device\Packet_{12345678-90AB-CDEF-1234567890AB}_ADDRESS)

#

# var HOME_NET $eth0_ADDRESS

#

# You can specify lists of IP addresses for HOME_NET

# by separating the IPs with commas like this:

#

# var HOME_NET [10.1.1.0/24,192.168.1.0/24]

#

# MAKE SURE YOU DON'T PLACE ANY SPACES IN YOUR LIST!

#

# or you can specify the variable to be any IP address

# like this:

var HOME_NET 10.3.1.0/24

# Set up the external network addresses as well. A good start may be "any"

var EXTERNAL_NET !$HOME_NET

# Configure your server lists. This allows snort to only look for attacks to

# systems that have a service up. Why look for HTTP attacks if you are not

# running a web server? This allows quick filtering based on IP addresses

# These configurations MUST follow the same configuration scheme as defined

# above for $HOME_NET.

# List of DNS servers on your network

var DNS_SERVERS 10.3.0.30

# List of SMTP servers on your network

var SMTP_SERVERS 10.3.0.40

# List of web servers on your network

var HTTP_SERVERS 10.3.9.10

# List of sql servers on your network

146

var SQL_SERVERS $HOME_NET

# List of telnet servers on your network

var TELNET_SERVERS $HOME_NET

# List of telnet servers on your network

var FTP_SERVERS 10.3.0.4

# List of snmp servers on your network

var SNMP_SERVERS $HOME_NET

# Configure your service ports. This allows snort to look for attacks destined

# to a specific application only on the ports that application runs on. For

# example, if you run a web server on port 8180, set your HTTP_PORTS variable

# like this:

#

# portvar HTTP_PORTS 8180

#

# Ports you run web servers on

portvar HTTP_PORTS 80

# NOTE: If you wish to define multiple HTTP ports, use the portvar

# syntax to represent lists of ports and port ranges. Examples:

## portvar HTTP_PORTS [80,8080]

## portvar HTTP_PORTS [80,8000:8080]

# And only include the rule that uses $HTTP_PORTS once.

#

# The pre-2.8.0 approach of redefining the variable to a different port and

# including the rules file twice is obsolete. See README.variables for more

# details.

# Ports you want to look for SHELLCODE on.

portvar SHELLCODE_PORTS !80

# Ports you might see oracle attacks on

portvar ORACLE_PORTS 1521

# Ports for FTP servers

portvar FTP_PORTS 21

# other variables

#

# AIM servers. AOL has a habit of adding new AIM servers, so instead of

147

# modifying the signatures when they do, we add them to this list of servers.

var AIM_SERVERS [64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.188.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.188.179.0/24,205.188.248.0/24]

# Path to your rules files (this can be a relative path)

# Note for Windows users: You are advised to make this an absolute path,

# such as: c:\snort\rules

var RULE_PATH /etc/snort/rules

var PREPROC_RULE_PATH /etc/snort/preproc_rules

# Configure the snort decoder

# ============================

#

# Snort's decoder will alert on lots of things such as header

# truncation or options of unusual length or infrequently used tcp options

#

#

# Stop generic decode events:

#

# config disable_decode_alerts

#

# Stop Alerts on experimental TCP options

#

# config disable_tcpopt_experimental_alerts

#

# Stop Alerts on obsolete TCP options

#

# config disable_tcpopt_obsolete_alerts

#

# Stop Alerts on T/TCP alerts

#

# In snort 2.0.1 and above, this only alerts when a TCP option is detected

# that shows T/TCP being actively used on the network. If this is normal

# behavior for your network, disable the next option.

#

# config disable_tcpopt_ttcp_alerts

148

#

# Stop Alerts on all other TCPOption type events:

#

# config disable_tcpopt_alerts

#

# Stop Alerts on invalid ip options

#

# config disable_ipopt_alerts

#

# Alert if value in length field (IP, TCP, UDP) is greater than the

# actual length of the captured portion of the packet that the length

# is supposed to represent:

#

# config enable_decode_oversized_alerts

#

# Same as above, but drop packet if in Inline mode -

# enable_decode_oversized_alerts must be enabled for this to work:

#

# config enable_decode_oversized_drops

#

# Configure the detection engine

# ===============================

#

# Use a different pattern matcher in case you have a machine with very limited

# resources:

#

# config detection: search-method lowmem

# Configure Inline Resets

# ========================

#

# If running an iptables firewall with snort in InlineMode() we can now

# perform resets via a physical device. We grab the indev from iptables

# and use this for the interface on which to send resets. This config

# option takes an argument for the src mac address you want to use in the

149

# reset packet. This way the bridge can remain stealthy. If the src mac

# option is not set we use the mac address of the indev device. If we

# don't set this option we will default to sending resets via raw socket,

# which needs an ipaddress to be assigned to the int.

#

# config layer2resets: 00:06:76:DD:5F:E3

###################################################

# Step #2: Configure dynamic loaded libraries

#

# If snort was configured to use dynamically loaded libraries,

# those libraries can be loaded here.

#

# Each of the following configuration options can be done via

# the command line as well.

#

# Load all dynamic preprocessors from the install path

# (same as command line option --dynamic-preprocessor-lib-dir)

#

dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/

#

# Load a specific dynamic preprocessor library from the install path

# (same as command line option --dynamic-preprocessor-lib)

#

# dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libdynamicexample.so

#

# Load a dynamic engine from the install path

# (same as command line option --dynamic-engine-lib)

#

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so

#

# Load all dynamic rules libraries from the install path

# (same as command line option --dynamic-detection-lib-dir)

#

# dynamicdetection directory /usr/local/lib/snort_dynamicrule/

150

#

# Load a specific dynamic rule library from the install path

# (same as command line option --dynamic-detection-lib)

#

# dynamicdetection file /usr/local/lib/snort_dynamicrule/libdynamicexamplerule.so

#

###################################################

# Step #3: Configure preprocessors

#

# General configuration for preprocessors is of

# the form

# preprocessor <name_of_processor>: <configuration_options>

# frag3: Target-based IP defragmentation

# --------------------------------------

#

# Frag3 is a brand new IP defragmentation preprocessor that is capable of

# performing "target-based" processing of IP fragments. Check out the

# README.frag3 file in the doc directory for more background and configuration

# information.

#

# Frag3 configuration is a two step process, a global initialization phase

# followed by the definition of a set of defragmentation engines.

#

# Global configuration defines the number of fragmented packets that Snort can

# track at the same time and gives you options regarding the memory cap for the

# subsystem or, optionally, allows you to preallocate all the memory for the

# entire frag3 system.

#

# frag3_global options:

# max_frags: Maximum number of frag trackers that may be active at once.

# Default value is 8192.

# memcap: Maximum amount of memory that frag3 may access at any given time.

# Default value is 4MB.

151

# prealloc_frags: Maximum number of individual fragments that may be processed

# at once. This is instead of the memcap system, uses static

# allocation to increase performance. No default value. Each

# preallocated fragment typically eats ~1550 bytes. However,

# the exact amount is determined by the snaplen, and this can

# go as high as 64K so beware!

#

# Target-based behavior is attached to an engine as a "policy" for handling

# overlaps and retransmissions as enumerated in the Paxson paper. There are

# currently five policy types available: "BSD", "BSD-right", "First", "Linux"

# and "Last". Engines can be bound to standard Snort CIDR blocks or

# IP lists.

#

# frag3_engine options:

# timeout: Amount of time a fragmented packet may be active before expiring.

# Default value is 60 seconds.

# ttl_limit: Limit of delta allowable for TTLs of packets in the fragments.

# Based on the initial received fragment TTL.

# min_ttl: Minimum acceptable TTL for a fragment, frags with TTLs below this

# value will be discarded. Default value is 0.

# detect_anomalies: Activates frag3's anomaly detection mechanisms.

# policy: Target-based policy to assign to this engine. Default is BSD.

# bind_to: IP address set to bind this engine to. Default is all hosts.

#

# Frag3 configuration example:

#preprocessor frag3_global: max_frags 65536, prealloc_frags 65536

#preprocessor frag3_engine: policy linux \

# bind_to [10.1.1.12/32,10.1.1.13/32] \

# detect_anomalies

#preprocessor frag3_engine: policy first \

# bind_to 10.2.1.0/24 \

# detect_anomalies

#preprocessor frag3_engine: policy last \

# bind_to 10.3.1.0/24

152

#preprocessor frag3_engine: policy bsd

preprocessor frag3_global: max_frags 65536

preprocessor frag3_engine: policy first detect_anomalies overlap_limit 10

# stream5: Target Based stateful inspection/stream reassembly for Snort

# ---------------------------------------------------------------------

# Stream5 is a target-based stream engine for Snort. It handles both

# TCP and UDP connection tracking as well as TCP reassembly.

#

# See README.stream5 for details on the configuration options.

#

# Example config

preprocessor stream5_global: max_tcp 8192, track_tcp yes, \

track_udp no

preprocessor stream5_tcp: policy first, use_static_footprint_sizes

# preprocessor stream5_udp: ignore_any_rules

# Performance Statistics

# ----------------------

# Documentation for this is provided in the Snort Manual. You should read it.

# It is included in the release distribution as doc/snort_manual.pdf

#

preprocessor perfmonitor: time 60 file /var/log/snort/snort.stats pktcnt 500

# http_inspect: normalize and detect HTTP traffic and protocol anomalies

#

# lots of options available here. See doc/README.http_inspect.

# unicode.map should be wherever your snort.conf lives, or given

# a full path to where snort can find it.

preprocessor http_inspect: global \

iis_unicode_map unicode.map 1252

preprocessor http_inspect_server: server default \

profile all ports { 80 8080 8180 } oversize_dir_length 500

#

# Example unique server configuration

#

#preprocessor http_inspect_server: server 1.1.1.1 \

153

# ports { 80 3128 8080 } \

# server_flow_depth 0 \

# ascii no \

# double_decode yes \

# non_rfc_char { 0x00 } \

# chunk_length 500000 \

# non_strict \

# oversize_dir_length 300 \

# no_alerts

# rpc_decode: normalize RPC traffic

# ---------------------------------

# RPC may be sent in alternate encodings besides the usual 4-byte encoding

# that is used by default. This plugin takes the port numbers that RPC

# services are running on as arguments - it is assumed that the given ports

# are actually running this type of service. If not, change the ports or turn

# it off.

# The RPC decode preprocessor uses generator ID 106

#

# arguments: space separated list

# alert_fragments - alert on any rpc fragmented TCP data

# no_alert_multiple_requests - don't alert when >1 rpc query is in a packet

# no_alert_large_fragments - don't alert when the fragmented

# sizes exceed the current packet size

# no_alert_incomplete - don't alert when a single segment

# exceeds the current packet size

preprocessor rpc_decode: 111 32771

# bo: Back Orifice detector

# -------------------------

# Detects Back Orifice traffic on the network.

#

# arguments:

# syntax:

# preprocessor bo: noalert { client | server | general | snort_attack } \

# drop { client | server | general | snort_attack }

154

# example:

# preprocessor bo: noalert { general server } drop { snort_attack }

#

#

# The Back Orifice detector uses Generator ID 105 and uses the

# following SIDS for that GID:

# SID Event description

# ----- -------------------

# 1 Back Orifice traffic detected

# 2 Back Orifice Client Traffic Detected

# 3 Back Orifice Server Traffic Detected

# 4 Back Orifice Snort Buffer Attack

preprocessor bo

# ftp_telnet: FTP & Telnet normalizer, protocol enforcement and buff overflow

# ---------------------------------------------------------------------------

# This preprocessor normalizes telnet negotiation strings from telnet and

# ftp traffic. It looks for traffic that breaks the normal data stream

# of the protocol, replacing it with a normalized representation of that

# traffic so that the "content" pattern matching keyword can work without

# requiring modifications.

#

# It also performs protocol correctness checks for the FTP command channel,

# and identifies open FTP data transfers.

#

# FTPTelnet has numerous options available, please read

# README.ftptelnet for help configuring the options for the global

# telnet, ftp server, and ftp client sections for the protocol.

#####

# Per Step #2, set the following to load the ftptelnet preprocessor

# dynamicpreprocessor file <full path to libsf_ftptelnet_preproc.so>

# or use commandline option

# --dynamic-preprocessor-lib <full path to libsf_ftptelnet_preproc.so>

preprocessor ftp_telnet: global \

encrypted_traffic yes \

155

inspection_type stateful

preprocessor ftp_telnet_protocol: telnet \

normalize \

ayt_attack_thresh 200

# This is consistent with the FTP rules as of 18 Sept 2004.

# CWD can have param length of 200

# MODE has an additional mode of Z (compressed)

# Check for string formats in USER & PASS commands

# Check nDTM commands that set modification time on the file.

preprocessor ftp_telnet_protocol: ftp server default \

def_max_param_len 100 \

alt_max_param_len 200 { CWD } \

cmd_validity MODE < char ASBCZ > \

cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \

chk_str_fmt { USER PASS RNFR RNTO SITE MKD } \

telnet_cmds yes \

data_chan

preprocessor ftp_telnet_protocol: ftp client default \

max_resp_len 256 \

bounce yes \

telnet_cmds yes

# smtp: SMTP normalizer, protocol enforcement and buffer overflow

# ---------------------------------------------------------------------------

# This preprocessor normalizes SMTP commands by removing extraneous spaces.

# It looks for overly long command lines, response lines, and data header lines.

# It can alert on invalid commands, or specific valid commands. It can optionally

# ignore mail data, and can ignore TLS encrypted data.

#

# SMTP has numerous options available, please read README.SMTP for help

# configuring options.

#####

# Per Step #2, set the following to load the smtp preprocessor

# dynamicpreprocessor file <full path to libsf_smtp_preproc.so>

156

# or use commandline option

# --dynamic-preprocessor-lib <full path to libsf_smtp_preproc.so>

preprocessor smtp: \

ports { 25 587 691 } \

inspection_type stateful \

normalize cmds \

normalize_cmds { EXPN VRFY RCPT } \

alt_max_command_line_len 260 { MAIL } \

alt_max_command_line_len 300 { RCPT } \

alt_max_command_line_len 500 { HELP HELO ETRN } \

alt_max_command_line_len 255 { EXPN VRFY }

# sfPortscan

# ----------

# Portscan detection module. Detects various types of portscans and

# portsweeps. For more information on detection philosophy, alert types,

# and detailed portscan information, please refer to the README.sfportscan.

# -configuration options-

# proto { tcp udp icmp ip all }

# The arguments to the proto option are the types of protocol scans that

# the user wants to detect. Arguments should be separated by spaces and

# not commas.

# scan_type { portscan portsweep decoy_portscan distributed_portscan all }

# The arguments to the scan_type option are the scan types that the

# user wants to detect. Arguments should be separated by spaces and not

# commas.

# sense_level { low|medium|high }

# There is only one argument to this option and it is the level of

# sensitivity in which to detect portscans. The 'low' sensitivity

# detects scans by the common method of looking for response errors, such

# as TCP RSTs or ICMP unreachables. This level requires the least

# tuning. The 'medium' sensitivity level detects portscans and

# filtered portscans (portscans that receive no response). This

# sensitivity level usually requires tuning out scan events from NATed

# IPs, DNS cache servers, etc. The 'high' sensitivity level has

157

# lower thresholds for portscan detection and a longer time window than

# the 'medium' sensitivity level. Requires more tuning and may be noisy

# on very active networks. However, this sensitivity levels catches the

# most scans.

# memcap { positive integer }

# The maximum number of bytes to allocate for portscan detection. The

# higher this number the more nodes that can be tracked.

# logfile { filename }

# This option specifies the file to log portscan and detailed portscan

# values to. If there is not a leading /, then snort logs to the

# configured log directory. Refer to README.sfportscan for details on

# the logged values in the logfile.

# watch_ip { Snort IP List }

# ignore_scanners { Snort IP List }

# ignore_scanned { Snort IP List }

# These options take a snort IP list as the argument. The 'watch_ip'

# option specifies the IP(s) to watch for portscan. The

# 'ignore_scanners' option specifies the IP(s) to ignore as scanners.

# Note that these hosts are still watched as scanned hosts. The

# 'ignore_scanners' option is used to tune alerts from very active

# hosts such as NAT, nessus hosts, etc. The 'ignore_scanned' option

# specifies the IP(s) to ignore as scanned hosts. Note that these hosts

# are still watched as scanner hosts. The 'ignore_scanned' option is

# used to tune alerts from very active hosts such as syslog servers, etc.

# detect_ack_scans

# This option will include sessions picked up in midstream by the stream

# module, which is necessary to detect ACK scans. However, this can lead to

# false alerts, especially under heavy load with dropped packets; which is why

# the option is off by default.

#

preprocessor sfportscan: proto { all } \

memcap { 10000000 } \

sense_level { low }

# arpspoof

158

#----------------------------------------

# Experimental ARP detection code from Jeff Nathan, detects ARP attacks,

# unicast ARP requests, and specific ARP mapping monitoring. To make use of

# this preprocessor you must specify the IP and hardware address of hosts on

# the same layer 2 segment as you. Specify one host IP MAC combo per line.

# Also takes a "-unicast" option to turn on unicast ARP request detection.

# Arpspoof uses Generator ID 112 and uses the following SIDS for that GID:

# SID Event description

# ----- -------------------

# 1 Unicast ARP request

# 2 Etherframe ARP mismatch (src)

# 3 Etherframe ARP mismatch (dst)

# 4 ARP cache overwrite attack

#preprocessor arpspoof

#preprocessor arpspoof_detect_host: 192.168.40.1 f0:0f:00:f0:0f:00

# ssh

# ------------------------------

# The SSH preprocessor detects the following exploits: Challenge-Response

# Authentication overflow, CRC 32 overflow, Secure CRT version string overflow,

# and protocol version mismatches.

#

# Both Challenge-Response Auth and CRC 32 attacks occur after the key exchange,

# and are therefore encrypted. Both attacks involve sending a large payload

# (20kb+) to the server immediately after the authentication challenge.

# To detect the attacks, the SSH preprocessor counts the number of bytes

# transmitted to the server. If those bytes exceed a pre-defined limit,

# set by the option "max_client_bytes", an alert is generated. Since

# the Challenge-Response Auth overflow only affects SSHv2, while CRC 32 only

# affects SSHv1, the SSH version string exchange is used to distinguish

# the attacks.

#

# The Secure CRT and protocol mismatch exploits are observable before

# the key exchange.

#

159

# SSH has numerous options available, please read README.ssh for help

# configuring options.

#####

# Per Step #2, set the following to load the ssh preprocessor

# dynamicpreprocessor file <full path to libsf_ssh_preproc.so>

# or use commandline option

# --dynamic-preprocessor-lib <full path to libsf_ssh_preproc.so>

#

preprocessor ssh: server_ports { 22 } \

max_client_bytes 19600 \

max_encrypted_packets 20 \

enable_respoverflow enable_ssh1crc32 \

enable_srvoverflow enable_protomismatch

# DCE/RPC

#----------------------------------------

#

# The dcerpc preprocessor detects and decodes SMB and DCE/RPC traffic.

# It is primarily interested in DCE/RPC data, and only decodes SMB

# to get at the DCE/RPC data carried by the SMB layer.

#

# Currently, the preprocessor only handles reassembly of fragmentation

# at both the SMB and DCE/RPC layer. Snort rules can be evaded by

# using both types of fragmentation; with the preprocessor enabled

# the rules are given a buffer with a reassembled SMB or DCE/RPC

# packet to examine.

#

# At the SMB layer, only fragmentation using WriteAndX is currently

# reassembled. Other methods will be handled in future versions of

# the preprocessor.

#

# Autodetection of SMB is done by looking for "\xFFSMB" at the start of

# the SMB data, as well as checking the NetBIOS header (which is always

# present for SMB) for the type "SMB Session".

#

160

# Autodetection of DCE/RPC is not as reliable. Currently, two bytes are

# checked in the packet. Assuming that the data is a DCE/RPC header,

# one byte is checked for DCE/RPC version (5) and another for the type

# "DCE/RPC Request". If both match, the preprocessor proceeds with that

# assumption that it is looking at DCE/RPC data. If subsequent checks

# are nonsensical, it ends processing.

#

# DCERPC has numerous options available, please read README.dcerpc for help

# configuring options.

#####

# Per Step #2, set the following to load the dcerpc preprocessor

# dynamicpreprocessor file <full path to libsf_dcerpc_preproc.so>

# or use commandline option

# --dynamic-preprocessor-lib <full path to libsf_dcerpc_preproc.so>

#

#preprocessor dcerpc: \

# autodetect \

# max_frag_size 3000 \

# memcap 100000

# DCE/RPC 2

#----------------------------------------

# See doc/README.dcerpc2 for explanations of what the

# preprocessor does and how to configure it.

#

preprocessor dcerpc2

preprocessor dcerpc2_server: default

# DNS

#----------------------------------------

# The dns preprocessor (currently) decodes DNS Response traffic

# and detects a few vulnerabilities.

#

# DNS has a few options available, please read README.dns for

161

# help configuring options.

#####

# Per Step #2, set the following to load the dns preprocessor

# dynamicpreprocessor file <full path to libsf_dns_preproc.so>

# or use commandline option

# --dynamic-preprocessor-lib <full path to libsf_dns_preproc.so>

preprocessor dns: \

ports { 53 } \

enable_rdata_overflow

# SSL

#----------------------------------------

# Encrypted traffic should be ignored by Snort for both performance reasons

# and to reduce false positives. The SSL Dynamic Preprocessor (SSLPP)

# inspects SSL traffic and optionally determines if and when to stop

# inspection of it.

#

# Typically, SSL is used over port 443 as HTTPS. By enabling the SSLPP to

# inspect port 443, only the SSL handshake of each connection will be

# inspected. Once the traffic is determined to be encrypted, no further

# inspection of the data on the connection is made.

#

# If you don't necessarily trust all of the SSL capable servers on your

# network, you should remove the "trustservers" option from the configuration.

#

# Important note: Stream5 should be explicitly told to reassemble

# traffic on the ports that you intend to inspect SSL

# encrypted traffic on.

#

# To add reassembly on port 443 to Stream5, use 'port both 443' in the

# Stream5 configuration.

preprocessor ssl: noinspect_encrypted, trustservers

####################################################################

# Step #4: Configure output plugins

#

162

# Uncomment and configure the output plugins you decide to use. General

# configuration for output plugins is of the form:

#

# output <name_of_plugin>: <configuration_options>

#

# alert_syslog: log alerts to syslog

# ----------------------------------

# Use one or more syslog facilities as arguments. Win32 can also optionally

# specify a particular hostname/port. Under Win32, the default hostname is

# '127.0.0.1', and the default port is 514.

#

# [Unix flavours should use this format...]

# output alert_syslog: LOG_AUTH LOG_ALERT

#

# [Win32 can use any of these formats...]

# output alert_syslog: LOG_AUTH LOG_ALERT

# output alert_syslog: host=hostname, LOG_AUTH LOG_ALERT

# output alert_syslog: host=hostname:port, LOG_AUTH LOG_ALERT

# log_tcpdump: log packets in binary tcpdump format

# -------------------------------------------------

# The only argument is the output file name.

#

# output log_tcpdump: tcpdump.log

# database: log to a variety of databases

# ---------------------------------------

# See the README.database file for more information about configuring

# and using this plugin.

#

# output database: log, mysql, user=root password=test dbname=db host=localhost

# output database: alert, postgresql, user=snort dbname=snort

# output database: log, odbc, user=snort dbname=snort

# output database: log, mssql, dbname=snort user=snort password=test

# output database: log, oracle, dbname=snort user=snort password=test

# unified: Snort unified binary format alerting and logging

163

# -------------------------------------------------------------

# The unified output plugin provides two new formats for logging and generating

# alerts from Snort, the "unified" format. The unified format is a straight

# binary format for logging data out of Snort that is designed to be fast and

# efficient. Used with barnyard (the new alert/log processor), most of the

# overhead for logging and alerting to various slow storage mechanisms such as

# databases or the network can now be avoided.

#

# Check out the spo_unified.h file for the data formats.

#

# Two arguments are supported.

# filename - base filename to write to (current time_t is appended)

# limit - maximum size of spool file in MB (default: 128)

#

output alert_unified: filename snort.alert, limit 128

output log_unified: filename snort.log, limit 128

# prelude: log to the Prelude Hybrid IDS system

# ---------------------------------------------

#

# profile = Name of the Prelude profile to use (default is snort).

#

# Snort priority to IDMEF severity mappings:

# high < medium < low < info

#

# These are the default mapped from classification.config:

# info = 4

# low = 3

# medium = 2

# high = anything below medium

#

# output alert_prelude

# output alert_prelude: profile=snort-profile-name

# You can optionally define new rule types and associate one or more output

# plugins specifically to that type.

164

#

# This example will create a type that will log to just tcpdump.

# ruletype suspicious

# {

# type log

# output log_tcpdump: suspicious.log

# }

#

# EXAMPLE RULE FOR SUSPICIOUS RULETYPE:

# suspicious tcp $HOME_NET any -> $HOME_NET 6667 (msg:"Internal IRC Server";)

#

# This example will create a rule type that will log to syslog and a mysql

# database:

# ruletype redalert

# {

# type alert

# output alert_syslog: LOG_AUTH LOG_ALERT

# output database: log, mysql, user=snort dbname=snort host=localhost

# }

#

# EXAMPLE RULE FOR REDALERT RULETYPE:

# redalert tcp $HOME_NET any -> $EXTERNAL_NET 31337 \

# (msg:"Someone is being LEET"; flags:A+;)

#

# Include classification & priority settings

# Note for Windows users: You are advised to make this an absolute path,

# such as: c:\snort\etc\classification.config

#

include classification.config

#

# Include reference systems

# Note for Windows users: You are advised to make this an absolute path,

# such as: c:\snort\etc\reference.config

#

165

include reference.config

####################################################################

# Step #5: Configure snort with config statements

#

# See the snort manual for a full set of configuration references

#

# config flowbits_size: 64

#

# New global ignore_ports config option from Andy Mullican

#

# config ignore_ports: <tcp|udp> <list of ports separated by whitespace>

# config ignore_ports: tcp 21 6667:6671 1356

# config ignore_ports: udp 1:17 53

####################################################################

# Step #6: Customize your rule set

#

# Up to date snort rules are available at http://www.snort.org

#

# The snort web site has documentation about how to write your own custom snort

# rules.

#=========================================

# Include all relevant rulesets here

#

# The following rulesets are disabled by default:

#

# web-attacks, backdoor, shellcode, policy, porn, info, icmp-info, virus,

# chat, multimedia, and p2p

#

# These rules are either site policy specific or require tuning in order to not

# generate false positive alerts in most enviornments.

#

166

# Please read the specific include file for more information and

# README.alert_order for how rule ordering affects how alerts are triggered.

#=========================================

# Include any thresholding or suppression commands. See threshold.conf in the

# <snort src>/etc directory for details. Commands don't necessarily need to be

# contained in this conf, but a separate conf makes it easier to maintain them.

# Note for Windows users: You are advised to make this an absolute path,

# such as: c:\snort\etc\threshold.conf

# Uncomment if needed.

include threshold.conf

# Modified for EasyIDS to allow web editing.

include snort_rules.conf