Implementasi snort

5/25/2018 Implementasi snort

1/73

PEMANFAATAN SNORT IDS UNTUK MENINGKATKAN

KEAMANAN JARINGAN DI KANTOR DINAS KOMUNIKASI

DAN INFORMATIKA (DISKOMINFO) BANDUNG

Kerja Praktek

Diajukan sebagai Laporan Pelaksanaan Kerja Praktek

Jurusan Teknik Informatika

Oleh :

Wesly Sibagariang

0610U051

JURUSAN TEKNIK INFORMATIKA

FAKULTAS TEKNIK UNIVERSITAS WIDYATAMA

BANDUNG

2013


2/73

i

LEMBAR PENGESAHAN

PEMANFAATAN SNORT IDS UNTUK MENINGKATKAN KEAMANAN

JARINGAN DI KANTOR DINAS KOMUNIKASI DAN INFORMATIKA

(DISKOMINFO) BANDUNG

KERJA PRAKTEK

Jurusan Teknik Informatika

Fakultas Teknik

Universitas Widyatama

Oleh :

Nama : Wesly SibagariangNPM : 0610U051

Telah disetujui dan disahkan di Bandung Tanggal Desember 2013

Pembimbing Kampus,

Ulil S. Zulpratita, S.T.,M.T.

Pembimbing Lapangan,

Bambang Indra Rachmawan, Amd.


3/73

ii

SURAT PERNYATAAN

Saya yang bertanda tangan dibawah ini :

Nama : WESLY SIBAGARIANG

Tempat dan Tanggal Lahir : Siborongborong, 22 Maret 1991

Alamat Orang Tua : Jl. Makmur gg.GPDI no 11

Kec.Siborongboronng, Kab.Tapanuli

Utara, Sumatera Utara

Menyatakan bahwa laporan kerja praktek ini benar merupakan hasil karya

saya sendiri. Bila terbukti tidak demikian, saya bersedia menerima sanksi yang

berlaku.

Bandung, Desember 2013

WESLY SIBAGARIANG


4/73

iii

ABSTRAK

Teknologi internet sekarang ini semakin berkembang, dimana kita dengan mudah

dapat bertukar informasi dengan orang lain dimana saja dan kapan saja. Tetapi

kemudahan dalam berkomunikasi ini tidak disertai dengan keamanan untuk setiap

informasi yang kita pertukarkan. Masih tingginya tingkat pelanggaran seperti

percobaan pembobolan oleh orang yang tidak bertanggung jawab membuktikan

masih kurangnya keamanan dalam jarinagn komputer. Penggunaan firewall juga

dianggap masih kurang dalam mengamankan sebuah jaringan komputer. Untuk itu

diperlukan sebuah alat yang membantu meningkatkan keamanan jaringan yang

mampu memantau semua trafik jaringan, yaitu dengan menggunakan Snort IDS.

Penelitian ini bertujuan untuk memantau pola trafik jaringan di kantor Dinas

Komunikasi dan Informatika (DISKOMINFO) Bandung. Hasil penelitian

menunjukkan bahwa aplikasi Snort IDS dapat digunakan untuk memantaujaringan secara realtime, dimana paket data TCP lebih banyak digunakan daripada

paket data UDP dan ICMP di jaringan komputer DISKOMINFO Bandung.

Kata Kunci : IDS, jaringan komputer, keamanan jaringan, Snort


5/73

iv

ABSTRACT

Internet technology nowadays is developing, where people can easily change

informations each other everywhere and everytime. But the ease in

communication is not followed by the security of informations. The high rate of

violation such as network attack trial by unresponsible people proves that

computer network security is less. Firewall is also considered not quite to secure a

computer network. Therefore, an application to increase network security that can

monitoring all of network traffics is needed, such as using Snort IDS. This works

aim is to monitoring network trafficpattern at Dinas Komunikasi dan Informatika

(DISKOMINFO) Bandung. The result shows that Snort IDS application can be

used to monitoring network in realtime, which is TCP is used more than UDP and

ICMP at DISKOMINFO Bandung network.

Keywords : computer network, IDS , network security, Snort,


6/73

v

KATA PENGANTAR

Puji dan syukur penulis panjatkan kepada Tuhan Yang Maha Esa atas berkat

dan rahmat-Nya penulis dapat menyelesaikan laporan Kerja Praktek yang berjudul

Pemanfaatan SnortIDS untuk Meningkatkan Keamanan Jaringan di Dinas

Komunikasi dan Informatika (DISKOMINFO) Bandung ini dengan baik.Laporan ini juga diajukan sebagai salah satu syarat menyelesaikan mata

kuliah Kerja Praktek di Jurusan Teknik Informatika Universitas Widyatama.

Laporan ini disusun dalam enam bab sebagai laporan hasil kerja praktek yangtelah dilakukan. Bab 1 membahas tentang latarbelakang, rumusan masalah,

batasan masalah, tujuan, dan metode penelitian yangdilakukan serta sistematikapenulisan laporan. Adapun bab 2 mendeskripsikan profil perusahaan atau instansi

tempat dilaksakannya kerja praktek. Bab 3 menekankan pada landasan teori,

sedangkan bab 4 menjelaskan analisis dan perancangan. Sebagai hasil penelitian

dan kesimpulan, dibahas pada bab 5 dan bab 6 disertai dengan lampiran yangmenyertakan data-data yang tidak ditampilkandalam bab 5.

Dalam penulisan laporan ini, penulis menyadari masih jauh darikesempurnaan. Untuk itu penulis mengharapkan saran dan kritik yangmembangun dari pembaca. Penulis juga berharap semoga laporan ini dapat

bermanfaat bagi kemajuan ilmu pengetahuan.

Bandung, Desember 2013

Penulis


7/73

vi

DAFTAR ISI

LEMBAR PENGESAHAN ....................................................................... i

SURAT PERNYATAAN ........................................................................... ii

ABSTRAK .................................................................................................. iii

ABSTRACT ................................................................................................ iv

KATA PENGANTAR ................................................................................ v

DAFTAR ISI ............................................................................................... vi

DAFTAR GAMBAR .................................................................................. ix

DAFTAR TABEL ...................................................................................... xi

BAB I PENDAHULUAN

1.1.Latar Belakang ................................................................................ 11.2.Identifikasi Masalah ........................................................................ 41.3.Rumusan Masalah ........................................................................... 41.4.Batasan Masalah ............................................................................. 51.5.Tujuan ............................................................................................. 51.6.Metode Penelitian ........................................................................... 51.7.Sistematika Penulisan ..................................................................... 61.8.Lokasi dan Waktu Pelaksanaan ...................................................... 7

BAB II PROFIL PERUSAHAAN

2.1.Sejarah Perusahaan ......................................................................... 82.2.Visi dan Misi

2.2.1.Visi ....................................................................................... 112.2.2.Misi ...................................................................................... 11

2.3.Struktur Organisasi ......................................................................... 112.4.Produk dan Layanan Perusahaan .................................................... 13

BAB III LANDASAN TEORI

3.1.Jaringan Komputer .......................................................................... 143.1.1.TopologiBus......................................................................... 143.1.2. Topologi Token Ring(Cincin) .............................................. 153.1.3.Topologi Star ................................................................................ 163.1.4.TopologiMesh ............................................................................... 17

3.1.5.TopologiHybrid............................................................................ 18


8/73

vii

3.1.6.TopologiPeer to Peer Network ..................................................... 19

3.2.Intrusion Detection System(IDS) ................................................... 193.2.1. JenisIntrusion Detection System(IDS) ................................ 21

3.2.2. Skema AnalisisIntrusion Detection System(IDS) ............... 23

3.2.3.Rule Intrusion Detection System (IDS) ................................ 24

3.3.Arsitektur Jaringan Komputer ......................................................... 253.4.SnortIDS ........................................................................................ 27

3.4.1. Komponenkomponen Snort.............................................. 27

3.4.2. Proses Deteksi pada SnortSebagaiIntrusion Detection

System(IDS) ......................................................................... 28

3.4.3. Penempatan Snort................................................................ 30

3.5.Basic Analisys and Security Engine(BASE) .................................. 313.6.Jenis serangan terhadap jaringan komputer .................................... 32

3.6.1.Port Scanning ....................................................................... 32

3.6.2. Teardrop ............................................................................... 32

3.6.3. IPSpoofing ........................................................................ 33

3.6.4.Land Attack ........................................................................... 33

3.6.5. Smurf Attack ......................................................................... 34

3.6.6. UDPFlood............................................................................ 34

3.6.7.Packet Interception ............................................................... 34

3.6.8. ICMPFlood .......................................................................... 35

BAB IV ANALISIS DAN PERANCANGAN

4.1.Sistem KerjaFirewall ..................................................................... 364.2. Identifikasi Masalah ....................................................................... 364.3. Identifikasi Penyebab Masalah ...................................................... 374.4. Analisis .......................................................................................... 37

4.4.1. Analisis Kebutuhan ............................................................... 38

4.5. Perancangan ................................................................................... 404.5.1. Deskripsi dari Sistem ............................................................ 42

4.6. Skenario Uji Coba .......................................................................... 43BAB V IMPLEMENTASI DAN UJI COBA

5.1.Implementasi ................................................................................... 455.1.1. Konfigurasi SnortIDS .......................................................... 45

5.1.2. KonfigurasiAcidatau BASE ................................................ 47

5.2.Pengambilan Data dan Analisis ...................................................... 485.2.1.TrafficJaringan ..................................................................... 48

5.3.Skenario Uji Coba ........................................................................... 51


9/73

viii

BAB VI KESIMPULAN

6.1.1.Kesimpulan ................................................................................... 53

DAFTAR PUSTAKA ................................................................................. 54

LAMPIRAN ................................................................................................ 55


10/73

ix

DAFTAR GAMBAR

Gambar 1.1 Statistik data model serangan dari report

CSI/FBI tahun 2005 ............................................................. 2

Gambar 1.2 Statistik pelanggaran yang terjadi dari

reportCSI/FBI tahun 2008 .................................................. 2

Gambar 2.1 Struktur Organisasi DISKOMINFO Bandung ..................... 12

Gambar 3.1 TopologiBus........................................................................ 15

Gambar 3.2 Topologi Token Ring (Cincin) ............................................. 16

Gambar 3.3 Topologi Star ....................................................................... 16

Gambar 3.4 TopologiMesh ..................................................................... 17

Gambar 3.5 TopologiHybrid................................................................... 19

Gambar 3.6 Topologi Peer to Peer Network............................................ 19

Gambar 3.7 HostBasedIDS ................................................................. 21

Gambar 3.8 NetworkBasedIDS ........................................................... 22

Gambar 3.9 ContohRulepada SnortIDS ................................................ 25

Gambar 3.10 Proses Deteksi Snort ............................................................ 29

Gambar 3.11 ProsesRuleMengenali Suatu Paket ..................................... 29

Gambar 3.12 LifecycleSerangan ............................................................... 32

Gambar 4.1 Topologi NOC Jarkom Pemprov Jabar 2013 ....................... 40

Gambar 4.2 Topologi Tempat SnortIDSAkan Dipasang ....................... 41

Gambar 4.3 Topologi Rancangan SnortIDS ........................................... 41

Gambar 4.4 Skenario Uji Coba Kinerja SnortIDS .................................. 43

Gambar 5.1 KonfigurasiNetworkInternal danNetworkEksternal ......... 44Gambar 5.2 Konfigurasi Untuk Menempatkan Sensor SnortIDS ........... 44

Gambar 5.3 Path Ruleyang Akan Digunakan ......................................... 45

Gambar 5.4 Acidatau BASE MenggunakanMysqlSebagaiDatabase ... 46

Gambar 5.5 Register Acidatau BASE TerhadapDatabase Server ......... 46

Gambar 5.6 TampilanAcidatau BASE ................................................... 47

Gambar 5.7 Grafik Trafik Jaringan Dalam 5 Hari Kerja ......................... 48

Gambar 5.8 Grafik Jumlah dan JenisAnomaly yang Terdeteksi Oleh


11/73

x

Snort IDS .............................................................................. 49

Gambar 5.9 Perintah Untuk Menjalankan nmap ...................................... 51

Gambar 5.10 Hasil Scanningdengan Menggunakan nmap ....................... 51

Gambar 5.11 Perintah Menjalankan SnortIDSModeConsole ................. 52

Gambar 5.12 HasilRunning SnortIDS ...................................................... 52


12/73

xi

DAFTAR TABEL

Tabel 3.1 Perbedaan NIDS dan HIDS .................................................. 23

Tabel 4.1 Spesifikasi Sistem yang Akan Dibanngun ........................... 38

Tabel 4.2 Spesifikasi Software(Perangkat Lunak) yang Digunakan ... 39

Tabel 4.3 SpesifikasiHardware(Perangkat Keras)

yang Akan Diguanakan ........................................................ 39

Tabel 5.1 Akses Jaringan yang Terjadi Selama 5 Hari Kerja ............... 48

Tabel 5.2 JenisAnomalyyang Terdeteksi Oleh Snort IDS .................. 49


13/73

1

BAB I

PENDAHULUAN

1.1Latar BelakangDi era globalisasi seperti sekarang ini, adalah saat dimana proses peradaban

manusia mulai berubah, manusia memiliki gaya hidup berinteraksi dengan cepat

dan tepat untuk meningkatkan kualitas hidup. Information Techonology (IT)

merupakan gaya hidup yang tidak dapat dipisahkan dalam bermasyarakat.

Hampir di semua aspek kehidupan kita menggunakan teknologi informasi. Gaya

hidup yang menuntut berkomunikasi dan melakukan pertukaran data dengan cepat

dan tepat membuat hal ini tidak dapat dipisahkan dari teknologi telepon seluler,

komputer, dan internet.

Dengan semakin berkembangnya teknologi komputer dan internet

mengakibatkan pengguna teknologi tersebut semakin meluas, begitu juga dengan

ancaman yang timbul dari proses kegiatan tersebut dimana dalam hal ini

kerahasian data pengguna harus dijaga. Di sebuah perusahaan atau organisasi,

keamanan jaringan komputer merupakan bagian yang tidak terpisahkan dari

keamanan sistem informasi. Berbagai teknik atau mekanisme pertahanan dalam

suatu jaringan bergantung kepada seorang administrator (admin) yang mengelola

jaringannya. Seorang admin harus mengetahui betul kondisi jaringan. Usaha untuk

mengamankan suatu jaringan harus dipandang secara keseluruhan, tidak bisa

secara parsial, setiap lapisan dalam jaringan harus dapat melakukan fungsinya

secara aman.

Melihat dari tahun ke tahun perkembangan serangan terhadap sebuah jaringan

semakin meningkat dengan teknik yang semakin berkembang juga.Ini dibuktikan

dari reporttahunan CSI/FBI tentang perkembangan dari tahun ke tahun dan model

model serangan yang semakin beragam yang cenderung terus mengarah pada

serangan internet[12].


14/73

2

Gambar 1.1 Statistik data model serangan dari reportCSI/FBI tahun 2005

Gambar 1.2 Statistik pelanggaran yang terjadi dari reportCSI/FBI tahun 2008

Dalam usaha untuk meningkatkan keamanan jaringan, sebagian besar

perusahaan atau organisasi telah mengimplementasikan teknologifirewallsebagai

tembok penghalang yang dapat mencegah ancaman serangan dari jaringan luar.

Akan tetapi, teknologi firewall sebagai tembok penghalang dirasa tidak selalu

efektif terhadap percobaan intrusi karena biasanya teknologi firewall dirancang

hanya untuk memblokir traffic mencurigakan tanpa membedakan mana traffic


15/73

3

berbahaya dan mana traffic yang tidak berbahaya sehingga semua paket yang

dianggap mengancam langsung ditindak, akibatnya seorang admin dapat tertipu

terhadap serangan yang tidak dapat diklasifikasikan.Begitu juga dengan prosedur

untuk mengizikan paket untuk lewat jika sesuai dengan policy dari firewall.

Masalahnya adalah banyak program exploit konsentrasi serangannya

memanfaatkan firewall. Sebagai contoh, percobaan attacker untuk melakukan

penetrasi melalui port 23 (telnet). Tetapi policy dari firewall memblokir

permintaan untuk port23. Dalam hal ini attackertidak bisa melakukan telnetke

komputer target karena rule dari firewall yang ketat. Tetapi firewall ternyata

mengizikan request (permintaan) dari luar untuk port 80 (http). Dengan ini

attacker dapat memanfaatkan port 80 untuk eksploitasi http. Ketika webserver

telah berhasil dikuasai, firewall dapat dikatakan sudah di-bypass dan tidak

berguna lagi.

Untuk itu diperlukan teknologi lain yang dapat membantu meningkatkan

keamanan jaringan, seperti penggunaanIntrusion Detection System (IDS) ataupun

Intrusion Prevention System (IPS). Salah satu cara memantu hasil kerja alat

tersebut adalah dengan cara memantau log logdan alert yang dihasilkan alat.

Semakin banyak alat yang dipasang semakin banyak pula log log yang

dihasilkan. Maka dengan begitu akan membutuhkan banyak waktu dan kesulitan

untuk menganalisa seluruh log dan alert yang ada. Salah satu penyebab

kegagalan system keamanan jaringan adalah kesalahan pengelolaan dalam

melakukan analisa seluruh log dan alert yang ada. Kesalahan analisa dapat

menjadikan pengelolaan yang lambat sehingga tidak tepatnya dalam menanggapi

dan melakukan tindakan pada saat terjadi serangan. Untuk mempermudah

menganalisa log logdan alertyang dihasilkan, dirancang sebuah database dan

web yang menampilkan hasil log dan alert alert yang ditemukan sehingga

admin dapat lebih mudah menganalisa paket data yang masuk dan keluar jaringan

dan melakukan pananganan terhadap trafficyang mencurigakan.


16/73

4

Dan pada laporan kerja praktek ini penulis mengimplementasikan Intrusion

Detection System(IDS) dengan menggunakansoftwaresnortyang diintegrasikan

dengan BASEpada jaringan Dinas Komunikasi dan Informatika (DISKOMINFO)

Provinsi Jawa Barat.

1.2Identifikasi MasalahBerdasarkan latar belakang yang dikemukakan seperti di atas, maka

permasalahan yang dihadapi adalah :

1. Masih kurangnya alat yang mampu merekam aktivitas jaringan secara realtime.

2. Sulit menganalisa pola trafficjaringan yang sedang terjadi.3. Sulit mengenali adanya ancaman, gangguan, atau serangan yang sedang

terjadi pada jaringan.

4. Tidak mampu mengidentifikasi jenis ancaman, gangguan, atau seranganyang sedang terjadi terhadap jaringan.

1.3Rumusan MasalahBerdasarkan latar belakang yang dikemukakan seperti di atas, maka

dirumuskan beberapa masalah sebagai berikut :

1. Apakah Snort IDS dapat digunakan untuk merekam semua aktivitasjaringan secara real time?

2. Apakah SnortIDS dapat digunakan untuk menganalisa aktivitas jaringan?3. Bagaimana Snort IDS dapat digunakan untuk mendeteksi ancaman,

ganggugan, atau serangan hackerterhadap jaringan?

4. Bagaimana mengidentifikasi jenis ancamaman, gangguan, atau seranganhackeryang terjadi ?


17/73

5

1.4Batasan MasalahPenulisan laporan kerja praktek ini dibatasi oleh halhal berikut :

1. Implementasi dilakukan pada jaringan komputer di gedung kator DinasKomunikasi Dan Informatika (DISKOMINFO) Provinsi Jawa Barat.

2. Parameter yang dilihat adalah trafficjaringan yang dihasilkansnort selama5 hari.

3. Trafficjaringan yang diamati adalah protokol TCP, UDP, dan ICMP.4. Akan dilakukan skenario serangan ping dengan menggunakan nmap

selama kurang lebih 10 menit dan akan dilakukan analisis jaringan saat

terjadi serangan.

1.5TujuanTujuan kerja praktek ini adalah memanfaatkan snortterintegrasi denganAcid

atau BASE di jaringan kantor Dinas Komunikasi dan Informatika

(DISKOMINFO) Provinsi Jawa Barat. Melalui Intrusion Detection System(IDS)

ini akan dilakukan pemantauan terhadap trafficjaringan dan pemantauan terhadap

serangan terhadap jaringan.

1.6Metode PenelitianMetode yang digunakan dalam penelitian ini adalah :

1. Studi literatur dengan mempelajari informasi dari berbagai sumberliteratur seperti buku, jurnal dan artikel yang berkaitan dengan sistem

dibuat, dan memanfaat internet untuk mencari tambahan tambahan

informasi.

2. Mendefinisikan masalah dan kebutuhan sistem.3. PerancanganIntrusion Detection System(IDS).4. Implementasi Intrusion Detection System (IDS) dengan menggunakan

softwareSnort

5. Pengambilan data :a. Trafficprotocol TCP, UDP, dan ICMP.b. Pengambilan data skenario serangan.

6. Menganalisa berdasarkan hasil pengambilan data.


18/73

6

1.7Sistematika PenulisanBerikut adalah sistematika penulisan dalam laporan implementasiIntrusion

Detection System (IDS) menggunakansoftwareSnortdiintegrasikan denganAcid

atauBased:

BAB I : PENDAHULUAN

Menjelaskan tentang latar belakang masalah yang dihadapi, identifikasi

masalah, perumusan masalah, batasan masalah, tujuan, sistematika penulisan, dan

lokasi dan waktu pelaksaan.

BAB II : PROFIL PERUSAHAAN

Menjelaskan tentang data profil perusahaan yang dikutip

BAB III : LANDASAN TEORI

Menguraikan landasan teori yang digunakan sebagai data pendukung untuk

menyelesaikan laporan kerja praktek ini yang berisi tentang pengertian jaringan

dan jenisjenis topologi jaringan, pengenalan Intrusion Detection System(IDS),

penjelasan tentang arsitektur jaringan komputer, pengenalan Snort IDS,

pengenalan BASE, dan jenisjenis serangan terhadap jaringan.BAB IV : ANALISIS DAN PERANCANGAN

Berisi tentang identifikasi masalah, identifikasi penyebab masalah, analisis

dan perancangan dalam pengimplementasian SnortIDS serta skenario uji coba

yang akan dilaksanakan.

BAB V : IMPLEMENTASI DAN UJI COBA

Membahasa tentang implementasi Intrusion Detection System (IDS) dengan

menggunakan software Snort pada sistem operasi linux yang diintegrasikan

dengan Acid atau Baseddan melakukan uji coba dengan menggunakan aplikasi

nmap.

BAB VI : PENUTUP

Membahas mengenai kesimpulan dan saran untuk pengembangan Intrusion

Detection System (IDS) di kantor Dinas komunikasi dan Informatika

(DISKOMINFO) Provinsi Jawa Barat.


19/73

7

1.8Lokasi dan Waktu PelaksanaanProgram kerja praktek ini dilaksanakan di kantor Dinas Komunikasi dan

Informatika (DISKOMINFO) Provinsi Jawa Barat, Jl. Tamansari No.55,

Bandung.

Waktu pelaksanaan kerja praktek ini dimulai dari tanggal 29 Juli 2013 s/d 30

Agustus 2013.


20/73

8

BAB II

PROFIL PERUSAHAAN

2.1 Sejarah Perusahaan

Kantor Pengolahan Data Elektronik (KPDE)Provinsi Daerah Tingkat I Jawa

Barat adalah kelanjutan dari organisasi sejenis yang semula sudah ada di

lingkungan Pemerintah Provinsi Daerah Tingkat I Jawa Barat dengan nama Pusat

Pengolahan Data (PUSLAHTA) Provinsi Daerah Tingkat I Jawa Barat.

Keberadaan PUSLAHTA di Jawa Barat dimulai pada tahun 1977, yaitu

dengan adanya Proyek Pembangunan Komputer Pemerintah Provinsi Daerah

Tingkat I Jawa Barat. Proyek tersebut dimaksudkan untuk mempersiapkan sarana

prasarana dalam rangka memasuki era komputer. Dalam perkembangan

selanjutnya, pada tanggal 8 April 1978 dengan Surat Keputusan Gubernur Kepala

Daerah Tingkat I Jawa Barat Nomor : 294/Ok.200-Oka/SK/78 diresmikan

pembentukan/pendirian Kantor Pusat Pengolahan Data (PUSLAHTA) Provinsi

Daerah Tingkat I Jawa Barat yang berkedudukan di jalan Tamansari No. 57

Bandung.

Sebagai tindak lanjut dari Surat Keputusan Gubernur Nomor : 294/Ok.200-

Oka/SK/78, maka pada tanggal 29 Juni 1981 pendirian Kantor PUSLAHTA

dikukuhkan dengan Peraturan Daerah Nomor : 2 Tahun 1981 tentang

Pembentukan Pusat Pengolahan Data(PUSLAHTA)Provinsi Daerah Tingkat I

Jawa Barat dan Peraturan Daerah Nomor : 3 Tahun 1981 tentang Susunan

Organisasi dan Tata Kerja Pusat Pengolahan Data Provinsi Daerah Tingkat I Jawa

Barat. Dengan kedua Peraturan Daerah tersebut keberadaan PUSLAHTA di

lingkungan Pemerintah Provinsi Daerah Tingkat I Jawa Barat semakin berperan,

khususnya dalam melaksanakan kebijaksanaan Gubernur Kepala Daerah di bidang

komputerisasi. Akan tetapi keberadaan kedua Peraturan Daerah tersebut tidak

mendapat pengesahan dari pejabat yang berwenang dalam hal ini Menteri Dalam

Negeri, sehingga keberadaan PUSLAHTA di lingkungan Pemerintah Daerah

Tingkat I Jawa Barat kedudukan organisasi menjadi non structural. Akan tetapi

dengan keberadaan Puslahta Provinsi Daerah Tingkat I Jawa Barat pada masa itu


21/73

9

telah banyak dirasakan manfaatnya selain oleh lingkungan Pemerintah Provinsi

Jawa Barat juga oleh instansi lain dalam bentuk kerja sama penggunaan mesin

komputer IBM S-370/125 seperti :

1. IPTN2. PJKA ITB3. Dan pihak Swasta lainnya.Dalam perjalanan waktu yang cukup panjang, yaitu lebih kurang 14 tahun

sejak PUSLAHTA didirikan, pada tanggal 27 Juni 1992 dengan Surat Keputusan

Gubernur Kepala Daerah Tingkat I Jawa Barat Nomor : 21 Tahun 1992

Organisasi PUSLAHTA Provinsi Daerah Tingkat I Jawa Barat dibubarkan. Di

dalam salah satu pasal Surat Keputusan Gubernur No. 21 tahun 1992 dinyatakan

bahwa tugas dan wewenang PUSLAHTA dialihkan ke Kantor Bappeda Provinsi

Daerah Tingkat I Jawa Barat.

Pada tanggal yang sama dengan terbitnya Surat Keputusan Gubernur No. 21

tahun 1992 tentang Pembubaran PUSLAHTA Provinsi Daerah Tingkat I Jawa

Barat, keluar Keputusan Gubernur Kepala Daerah Tingkat I Jawa Barat Nomor :

22 Tahun 1992 tentang Pembentukan Kantor Pengolahan Data

Elektronik (KPDE) Provinsi Daerah Tingkat I Jawa Barat sebagai pelaksana dari

Instruksi Menteri Dalam negeri Nomor : 5 tahun 1992 tentang Pembentukan

Kantor Pengolahan Data Elektronik Pemerintah Daerah di seluruh Indonesia.

Sebagai tindak lanjut dari Instruksi Menteri Dalam Negeri Nomor : 5 Tahun

1992 tentang Pembentukan Kantor Pengolahan Data Elektronik, pada tanggal 30

Juni 1993 keluar persetujuan Menteri Negara Pendayagunaan Aparatur

Negara (Menpan) dengan Nomor : B-606/I/93 perihal Persetujuan Pembentukan

Kantor Pengolahan Data Elektronik untuk Provinsi Daerah Tingkat I Kalimantan

Selatan, Jawa Barat, Sumatera Barat dan Daerah Istimewa Yogyakarta.

Dengan keluarnya Surat Persetujuan Menteri Pendayagunaan Aparatur

Negara (Menpan) tersebut, maka untuk mengukuhkan Keputusan Gubernur

Nomor 22 Tahun 1992 diajukan Rancangan Peraturan Daerahnya, dan akhirnya

pada tanggal 21 Juni 1994 berhasil ditetapkan Peraturan Daerah Provinsi Daerah

Tingkat I Jawa Barat Nomor : 4 tahun 1994 tentang Pengukuhan Dasar Hukum


22/73

10

Pembentukan Kantor Pengolahan Data Elektronik Provinsi Daerah Tingkat I Jawa

Barat dan Nomor 5 tahun 1994 tentang Organisasi dan Tata Kerja Kantor

Pengolahan Data Elektronik Provinsi Daerah Tingkat I Jawa Barat.

Selanjutnya kedua Peraturan Daerah tersebut diajukan ke Menteri Dalam

Negeri untuk mendapat pengesahan, dan pada tanggal 10 Juli 1995 keluar

Keputusan Menteri Dalam Negeri Nomor : 59 Tahun 1995 tentang Pengesahan

Peraturan Daerah Nomor : 4 dan Nomor : 5 Tahun 1994, dengan demikian KPDE

Provinsi Daerah Tingkat I Jawa Barat secara resmi menjadi salah satu Unit

Pelaksana Daerah yang struktur al.

Berdasarkan Peraturan Daerah Provinsi Jawa Barat Nomor : 16 Tahun 2000

tanggal 12 Desember 2000 tentang Lembaga Teknis Daerah Provinsi Jawa Barat

telah ditetapkan Badan Pengembangan Sistem I nformasi dan Telematika

Daerah disingkat BAPESITELDA sebagai pengembangan dari Kantor

Pengolahan Data Elektronik yang dibentuk berdasarkan Keputusan Gubernur

Nomor : 22 Tahun 1992 dan dikukuhkan dengan Peraturan Daerah Nomor : 5

Tahun 1994. Sedangkan Kantor Pengolahan Data Elektronik itu sendiri

merupakan pengembangan dari Pusat Pengolahan Data (PUSLAHTA) Provinsi

Jawa Barat yang berdiri pada tanggal 8 April 1978 melalui Surat Gubernur KDH

Tingkat I Jawa Barat No. 294/OK.200-Oka/SK/78, dan keberadaannya

dikukuhkan dengan Peraturan Daerah No. 2 Tahun 1981 tanggal 29 Juni 1981.

Dasar Hukum :

1. Keputusan Presiden RI Nomor 50 Tahun 2000 tentang Tim Koordinasi

Telematika Indonesia ;

2. Peraturan Daerah Provinsi Jawa Barat No. 16 Tahun 2000 tentang Lembaga

Teknis Daerah Provinsi Jawa Barat.

Nomenklatur :

BAPESITELDA adalah singkatan dari Badan Pengembangan Sistem

Informasi dan Telematika Daerah. Telematika singkatan dari Telekomunikasi,

Multimedia dan Informatika .

Selanjutnya, berdasarkan Perda Nomor 21 Tahun 2008 tentang Organisasi dan

Tata Kerja Dinas Daerah Provinsi Jawa Barat, maka Bapesitelda Prov. Jabar


23/73

11

diganti menjadi Dinas Komunikasi dan I nformatika ProvinsiJawa Barat

disingkat DISKOMINFO, yang berlokasi di Jalan Tamansari no. 55 Bandung.

Perubahan ini merupakan kenaikan tingkat dan memiliki ruang lingkup serta

cakupan kerja lebih luas. Sasarannya tidak hanya persoalan teknis, tapi juga

kebijakan, baik hubungannya kedalam maupun menyentuh kepentingan publik

khususnya dibidang teknologi informasi. Dengan platform dinas, maka

Diskominfo dapat mengeluarkan regulasi mengenai teknologi informasi dalam

kepentingan Provinsi Jawa Barat, terutama pencapaian Jabar Cyber Province

Tahun 2012.

2.2 Visi dan Misi

2.2.1 Visi

Terwujudnya masyarakat informasi Jawa Barat melalui penyelenggaran

komunikasi dan Informatika yang efektif dan efisien.

2.2.2 Misi

1. Meningkatkan sarana dan prasana dan profesionalisme sumber dayaaparatur bidang Komunikasi dan Informatika.

2. Mengoptimalkan pengelolaan pos dan telekomunikasi.3. Mengoptimalkan pemanfaatan sarana Komunikasi dan Informasi

pemerintah dan masyarakat, serta melaksanakan diseminasi informasi.

4. Mewujudkan layanan online dalam penyelenggaraan pemerintah berbasisTeknologi Informasi dan Komunikasi serta mewujudkan Pengadaan

Barang dan Jasa Secara Elektronik

5. Mewujudkan pengelolaan data menuju satu data pembangunan untuk Jawabarat. Motto : West Java Cyber Province Membangun Masyarakat

Informasi

2.3 Struktur Organisasi

Berdasarkan Perda Nomor 21 Tahun 2008 tentang Organisasi dan Tata Kerja

Dinas Daerah Provinsi Jawa Barat, Dinas Komunikasi dan Informatika berada di

peringkat 20 dengan struktur organisasi seperti pada gambar berikut ini:


24/73

12

Gambar 2.1 Struktur Organisasi DISKOMINFO Bandung

1. Kepala2. Sekretaris, membawahkan

a. Sub. Bagian Perencanaan dan Progamb. Sub. Bagian Keuanganc. Sub. Bagian Kepegawaian dan Umum

3. Bidang Pos dan Telekomunikasi, membawahkan :a. Seksi Pos dan Telekomunikasi

b. Seksi Monitoring dan Penerbitan Spektrum Frekuensic. Seksi Standarisasi Pos dan Telekomunikasi

4. Bidang Sarana Komunikasi dan Diseminasi Informasi, membawahkan:a. Seksi Komunikasi Sosial

b. Seksi Komunikasi Pemerintah dan Pemerintah Daerahc. Seksi Penyiaran dan Kemitraan Media

5. Bidang Telematika, membawahkan :a. Seksi Pengembangan Telematika

b. Seksi Penerapan Telematikac. Seksi Standarisasi dan Monitoring Evaluasi Telematika

6. Bidang Pengolahan Data Elektronik, membawahkan :


25/73

13

a. Seksi Kompilasi Datab. Seksi Integrasi Datac. Seksi Penyajian Data dan Informasi

7. Balai LPSEa. Tata Usaha LPSE

b. Layanan Informasi LPSec. Dukungan dan Pendayagunaan TIK LPSE

2.4 Produk dan Layanan Perusahaan

Dinas Komunikasi dan Informatika (DISKOMINFO) Provinsi Jawa Barat

menyediakan pelayanan publik bagi masyarakat Jawa Barat yang terdiri atas :

1. LPSE (Layanan Pengadaan Secara Elektronik) Regional Jawa Barat2. M-CAP (Mobile Community Access Point)3. Internet Publik4. Perizininan Jasa Titipan5. Hotspot 3 titik6. Izin jaringan komunikasi bawah tanah7. Video conference


26/73

14

BAB III

LANDASAN TEORIPada bagian landasan teori ini akan dibahas mengenai jaringan komputer,

Intrusion Detection System(IDS), arsitektur jaringan komputer, SnortIDS,Basic

Analysis and Security Engine (BASE), dan jenis serangan terhadap jaringan

komputer.

3.1Jaringan KomputerJaringan komputer adalah sebuah sistem yang terdiri dari komputer

komputer yang di design untuk dapat berbagi sumber daya, berkomunikasi, dandapat mengakses informasi. Tujuan dari jaringan komputer ini agar setiap bagian

komputer dapat meminta dan memberikan layanan (service). Pihak yang

meminta/menerima layanan disebut client dan pihak yang memberi layanan

disebut server. Berikut jenis jenis topologi jaringan komputer yang sering

digunakan :

1. Topologi bus2.

Topologi token ring (cincin)

3. Topologistar4. Topologi mesh5. Topologi hybrid6. Topologipeer to peer network

3.1.1Topologi BusPada Topologi ini digunakan sebuah kabel tunggal atau kabel Pusat dimana

seluruh Workstation dan Server dihubungkan. Merupakan Topologi fisik yang

mengunakan Kabel Coaxial dengan mengunakan T-Connector dengan terminal 50

omh pada ujung Jaringan. Topologi Bus mengunakan satu kabel yang kedua

ujungnya ditutup dimana sepanjang kabel terdapat node-node.


27/73

15

Gambar 3.1 TopologiBus

Keuntungan menggunakan topologi bus :

Hemat kabel Layoutkebel sederhana Mudah dikembangkan

Kerugian menggunakan topologi bus :

Deteksi dan isolasi kesalahan sangat kecil Kepadatan lalu lintas Bila salah satu client rusak, maka jaringan tidak berfungsi Diperlukan repeateruntuk jarak jauh

3.1.2Topologi Token Ring (Cincin)Di dalam Topologi Ring semua Workstation dan Server dihubungakn

sehingga terbentuk suatu pola lingkaran atau cincin. Tiap Workstation atau Server

akan menerima dan melewatkan informasi dari satu komputer ke komputer yang

lainnya, bila alamat-alamat yang di maksud sesuai maka informasi diterima danbila tidak informasi akan di lewatkan.


28/73

16

Gambar 3.2 Topologi Token Ring(Cincin)

Keuntungan menggunakan topologi jaringan token ring(cincin) :

Hemat kabelKerugian menggunakan topologi jaringan token ring(cincin) :

Peka kesalahan Pengembangan jaringan leibih kaku

3.1.3Topologi StarPada Topologi Star, masing-masing Workstation dihubungkan secara

langsung ke ServeratauHub/Swich.Hub/Swichberfungsi menerima sinyal -sinyal

dari komputer dan meneruskannya ke semua komputer yang terhubung dengan

Hub/Swich tersebut. Jaringan dengan topologi ini lebih mahal dan cukup sulit

pemasangannya. Setiap komputer mempunyai kabel sendiri-sendiri sehingga lebih

mudah dalam mencari kesalahan pada jaringan. Kabel yang digunakan biasanya

menggunakan Kabel UTP CAT5.

Gambar 3.3 Topologi Star


29/73

17

Keuntungan menggunakan topologi jaringanstar:

Paling fleksibel

Pemasangan / perubahan stasiun sangat mudah dan tidak mengganggubagian jaringan lain.

Kontrol terpusat Kemudahan deteksi dan isolasi kesalahan/kerusakan. Kemudahan pengelolaan jaringan.

Kerugian menggunakan topologi jaringanstar:

Boros kabel

Perlu penanganan khusus Kontrol terpusat (HUB) jadi elemen kritis

3.1.4Topologi MeshJaringan dengan Topologi Mesh mempunyai jalur ganda dari setiap peralatan

di jaringan komputer. Semakin banyak komputer yang terhubung semakin sulit

untuk pemasangan kabelnya. Karena itu, Topologi Mesh yang murni, yaitu setiap

peralatan dihubungkan satu dengan yang lainya.

Gambar 3.4 TopologiMesh


30/73

18

Keuntungan menggunakan topologi jaringan mesh :

Jika ingin mengirimkan data ke komputer tujuan, tidak membutuhkankomputer lain (langsung sampai ke tujuan)

Memiliki sifat robust, yaitu : jika komputer A mengalami gangguankoneksi dengan komputer B, maka koneksi komputer A dengan komputer

lain tetap baik

Lebih aman Memudahkan proses identifikasi kesalahan

Kerugian menggunakan topologi jaringan mesh:

Membutuhkan banyak kabel Instalasi dan konfigurasi sulit Perlunyaspaceyang memungkinkan

3.1.5 Topologi Hybrid

Hybrid network adalah network yang dibentuk dari berbagai topologi dan

teknologi. Sebuah hybrid network mungkin sebagai contoh, diakibatkan olehsebuah pengambilan alihan suatu perusahaan. Sehingga ketika digabungkan maka

teknologi teknologi yang berbeda tersebut harus digabungkan dalam network

tunggal. Sebuah hybrid networkmemiliki semua karakterisasi dari topoligi yang

terdapat dalam jaringan tersebut.

Karena topologi ini merupakan gabungan dari banyak topologi, maka

kelebihan / kekurangannya adalah sesuai dengan kelebihan/kekurangan dari

masing-masing jenis topologi yang digunakan dalam jaringan bertopologi hybrid

tersebut.


31/73

19

Gambar 3.5 TopologiHybrid

3.1.5Topologi Peer to Peer Network

Peer artinya rekan sekerja. Peer to peer network adalah jaringan komputer

yang terdiri dari beberapa computer. Dalam system jaringan ini yang diutamakan

adalah penggunaan program, data, dan printer secara bersama sama biasanya

tidak lebih dari 10 komputer dengan 12printer.

Gambar 3.6 TopologiPeer to Peer Network

3.2I ntr usion Detection System(IDS)Intrusion Detection System (IDS) dapat didefenisikan sebagai tool, metode,

sumber daya yang memberikan bantuan untuk melakukan identifikasi,

memberikan laporan terhadap aktivitas jaringan komputer dan mendeteksi

aktivitas pada lalu lintas jaringan yang tidak layak terjadi. IDS secara khusus

berfungsi sebagai proteksi secara keseluruhan dari sistem yang telah diinstall IDS.

Secara umumIntrusion Detection System(IDS) bekerja pada lapisan jaringan

dari OSI layer dan sensor jaringan pasif yang secara khusus diposisikan pada


32/73

20

choke point pada jaringan metode dari lapisan OSI. Hal ini untuk menganalisis

paket dan menemukan pola dari suatu lalu lintas jaringan. Semua pola yang

dicatat akan disimpan dalam bentukfile log.

Ada beberapa alasan untuk menggunakan IDS :

1. Mencegah risiko keamanan yang terus meningkat, karena banyakditemukan kegiatan ilegal yang diperbuat oleh orang yang tidak

bertanggung jawab.

2. Mendeteksi serangan dan pelanggaran keamanan system jaringan yangtidak bisa dicegah oleh sistem yang umum dipakai, seperti firewall.

Penyerang menggunkan teknik yang telah dipublikasikan, yang bisa

diakses dengan mudah ke suatu sistem. Jika sistem yang terhubung dengan

jaringan public tidak mempunyai pertahanan yang baik, bila tidak

diperhatikan dengan baik maka akan banyak situasi yang menyebabkan

ada begitu banyak lubang keamanan.

3. Mendeteksi serangan awal. Penyerang yang akan menyerang suatu sistembiasanya melakukan langkah langkah awal yang mudah diketahui.

Langkah awal dari suatu serangan pada umumnya adalah dengan

melakukan penyelidikan atau pengujian terhadap sistem jaringan yang

akan dijadikan target, untuk mendapatkan titik titik dimana mereka akan

bisa masuk.

4. Mengamankanfileyang keluar dari jaringan. Kebanyakan serangan yangterjadi pada awalnya berasal dari dalam jaringan itu sendiri, karena

keteledoran para pemakai, sehingga file file yang akan dikirim ke

jaringan eksternal tidak memenuhi policy yang ada. File file tersebut

kemudian dimanfaatkan oleh penyerang untuk batu loncatan mendapat

akses yang lebih besar, seperti Syn Attack, IP spoofing, teardrop, dan

sebagainya.

5. Sebagai pengendali untuksecurity designdan administrator, terutama bagiperusahaan yang besar. IDS yang dipasang pada suatu jaringan yang besar

akan sangat membantu untuk mendapat system yang tidak mudah diserang

oleh jaringan internal maupun eksternal.


33/73

21

6. Menyediakan informasi yang akurat terhadap gangguan secara langsung,meningkatkan diagnosis, recovery, dan mengoreksi faktor faktor

penyebab serangan.

3.2.1Jenis I ntr usion Detection System(IDS)Pada dasarnya terdapat dua jenis IDS, yaitu :

1. Host Based: IDS host basedbekerja pada host yang akan dilindungi.IDS jenis ini dapat melakukan berbagai macam tugas untuk mendeteksi

serangan yang dilakukan pada host tersebut. Keunggulannya adalah pada

tugastugas yang berhubungan dengan keamanan file. Untuk melakukan

analisis terhadap paket data IDS memperoleh data informasi dari data yang

dihasilkan oleh sistem pada sebuah komputer yang diamati. Data host

basedIDS biasanya berupa logyang dihasilkan dengan memonitor sistem

file, event, dan keamanan pada Windows NT dan syslogpada lingkungan

sistem operasi UNIX. Saat terjadi perubahan pada log tersebut makan

dilakukan ananlisis apakah sama dengan pola serangan yang ada pada

basis data IDS.

Gambar 3.7HostBasedIDS

2. Network Based: IDS network based biasanya berupa suatu mesin yangkhusus dipergunakan untuk melakukan seluruh segmen dari jaringan. IDS


34/73

22

network based akan mengumpulkan paket paket data yang terdapat

pada jaringan dan kemudian menganalisisnya serta menentukan apakah

paketpaket itu berupa suatu paket yang normal atau suatu serangan atau

berupa suatu aktivitas yang mencurigakan. IDS memperoleh informasi

dari paketpaket jaringan yang ada. Network based IDS menggunakan

raw packet yang ada di jaringan sebagai sumber datanya dengan

menggunakan network adapter sebagai alat untuk menangkap paket

paket yang akan dipantau. Network adapter berjalan pada mode

prosmicuous untuk memonitor dan melakukan analisis paket paket yang

ada yang berjalan di jaringan.

Gambar 3.8NetworkBasedIDS

Beberapa cara yang digunakan untuk mengenali serangan pada network based IDS antara lain :

Pola data, ekspresi atau pencocokan secara bytecode Frekuensi atau pelanggaran ambang batas Korelasi yang dekat dengan sebuah event Deteksi anomalysecara static


35/73

23

Tabel 3.1 Perbedaan NIDS dan HIDS

NIDS HIDS

Ruang lingkup yang luas (mengamati

semua aktivitas jaringan)

Ruang lingkup yang terbatas

(mengamati hanya aktivitas pada host

tertentu)

Lebih mudah melakukan setup Setup yang kompleks

Lebih baik untuk mendeteksi serangan

yang berasal dari luar jaringan

Lebih baik untuk mendeteksi serangan

yang berasal dari dalam jaringan

Lebih murah untuk diimplementasikan Lebih mahal untuk diimplementasikan

Pendeteksian berdasarkan pada apa

yang direkam dari aktivitas jaringan

Pendeteksian berdasarkan pada single

hostyang diamati semua aktivitasnya

Mengujipacket headers Packet headerstidak diperhatikan

Respon yang real time Selalu merespon setelah apa yang terjadi

OSindependent OSspecific

Mendeteksi serangan terhadap jaringan

sertapayloaduntuk dianalisis

Mendeteksi serangan local sebelum

mereka memasuki jaringan

Mendeteksi usaha dari serangan yang

gagal

Memverifikasi sukses atau gagalnya

serangan

3.2.2 Skema Analisis I ntr usion Detection System(IDS)

Proses dasar dari IDS, baik pada NIDS atau HIDS adalah mengumpulkan

data, melakukan pre-proses, dan mengklisifikasikan data tersebut. Dengan hasil

static suatu aktivitas yang tidak normal akan bisa dilihat, sehingga IDS bisa

mencocokkan dengan data dan pola yang sudah ada. Jika pola yang ada cocok

dengan keadaan yang tidak normalmakan akan dikirim respon tentang aktivitas

tersebut.


36/73

24

Dalam menganalisis paket data yang melintas di dalam jaringan, IDS

melakukan beberapa tahap, antara lain :

1. Prepocessyang dilakukan dalam tahap ini adalah mengumpulkan data tentang pola

dari serangan dan meletakkannya pada skema klasifikasi atau pattern

descriptor. Dari skema klasifikasi, suatu model akan dibangun dan

kemudian dimasukkan ke dalam bentuk format yang umum, seperti

signature name, signature ID, signature description, kemungkinan

deskripsi yang palsu, informasi yang berhubungan dengan Vurnerability,

dan user notes.

2. AnalisisData dan formatnya akan dibandingkan dengan pattern yang ada untuk

keperluan analisis engine patternmatching. Analisis enginemencocokan

dengan pola serangan yang sudah dikenal.

3. ResponseJika ada yang cocok dengan pola serangan, analisis engine akan

mengirimkan alarm ke server.

3.2.3Rule I ntr usion Detection System(IDS)Rule IDS merupakan database yang berisi pola pola serangan berupa

signature jenis jenis serangan yang akan dijadikan acuan untuk menganalisis

dan mengidentifikasi setiap packetdata yang keluar masuk jaringan. Berikut ini

pola ruledalam Intrusion Detection System (IDS):

Action | Protokol | Source IP | Source Port -> Destination IP | Destination

Port| (option keyword | option argument | option separator)


37/73

25

Gambar 3.9 ContohRulepada SnortIDS

Dari rule seperti gambar di atas IDS dapat menentukan apakah sebuah paket

data dianggap sebagai penyusup/serangan atau bukan dan akan menindaklanjuti

setiap hasil identifikasi sesuai dengan actionyang telah dibuat.

3.3 Arsitektur Jaringan KomputerStandar yang paling popular dan sering digunakan untuk menggambarkan

arsitektur jarigan computer adalah model referensi Open System Interconnect

(OSI) yang dikembangkan oleh International Organization for Standarization

(ISO) pada tahun 1977 dan diperkenalkan pada tahun 1984[2]. Pada model OSI

terdapat tujuh lapisan yang menggambarkan fungsifungsi jaringan antara lain :

1. Lapisan ke-7ApplicationLapisan yang paling dekat dengan pengguna dan memiliki fungsi untuk

menyediakan sebuah jaringan kepada pengguna aplikasi. Contoh : Simple

Mail Transfer Protocol (SMTP), Hypertext Transfer Protocol (HTTP),

File Transfer Protocol(FTP), dan POP[1].

Lapisan ini berfungsi untuk menentukan format data yang dipindahkan

antar aplikasi dan menawarkan pada program program aplikasi seiring

pada layanan transformasi data. Lapisan ini menyediakan layanan berupa

transformasi format data, enkripsi, dan kompresi[5].

2. Lapisan ke-6PresentationLapisan ini menetukan format data yang dipindahkan di antara aplikasi

dan mengelola informasi yang disediakan oleh lapisan Applicationsupaya

informasi yang dikirimkan dapat dibaca oleh lapisan Application pada

sistem lain[5]. Lapisan Presentation menentukan syntax yang digunakan


38/73

26

antara aplikasi. Contoh layanan dari lapisan Presentationadalah kompresi

data dan enkripsi data[1].

3. Lapisan ke-5SessionLapisan ini bertanggung jawab atas sesi komunikasi antara berbagai

tingkat yang lebih tinggi dalam komunikasi program, proses, dan user.

Lapisan ini membuat suatu virtual circuit yang proses komunikasinya

pada sistem jaringan bertugas menyampaikan informasi. Bertugas

menyediakan layanan kepada lapisan presentation dan juga

mensinkronisasi dialog di antara dua komputer lapisan presentation dan

mengukur pertukaran data[5].

4. Lapisan ke-4TransportLapisan ini berfungsi sebagai pemecah informasi menjadi paket paket

data yang akan dikirim dan menyusun kembali paket paket data menjadi

sebuah informasi yang dapat diterima. Dua protokol umum pada lapisan

ini adalah Transfer Control Protocol(TCP) yang berorientasi koneksi dan

User Datagram Protocol(UDP) yang tidak berorientasi koneksi[5].

5. Lapisan ke-3NetworkLapisan jaringan ini bertanggung jawab atas pengalamatan, paket, dan

transmisi data[1], menyediakan transfer informasi di antara ujung sistem

melewati beberapa jaringan komunikasi berurutan. Lapisan ini melakukan

pemilihan jalur terbaik dalam komunikasi jaringan yang terpisah secara

goegrafis[5].

6. Lapisan ke-2Data LinkLapisan ini berfungsi untuk mengubah paket paket data menjadi bentuk

frame, menghasilkan alamat fisik, pesan pesan kesalahan, pemesanan

pengiriman data. LapisanData Linkmengupayakan agar lapisan Physical

dapat bekerja dengan baik dengan menyediakan layanan untuk

mengaktifkan, mempertahankan, dan menonaktifkan hubungan[5]. Contoh

standar dari lapisan ini adalah HDLC, LAPB, LLC, dan LAPD[1].

7. Lapisan ke-1Physical


39/73

27

Lapisan Physical bertugas menangani transmisi data dalam bentuk bit

melalui jalur komunikasi. Lapisan ini menjamin transmisi data berjalan

dengan baik dengan cara mengatur karakteristik tinggi tegangan, periode

perubahan tegangan, lebar jalur tegangan, jarak maksimum komunikasi

dan koneksi[5].

3.4 SnortIDSSnort IDS merupakan IDS open sourceyang secara defacto menjadi standar

IDS di industri[4]. Snort mampu menganalisis paket yang melintas di jaringan

secara real time traffic dan logging ke dalam database serta mampu mendeteksi

berbagai macam serangan yang berasal dari luar jaringan.

Snortdapat dioperasikan dengan tiga mode[1]:

1. Paketsniffer : untuk melihat paket yang lewat di jaringan.Contoh : . / Snortv , . / Snortvd , . / Snortvde, . / Snortvde

2. Paket logger : untuk mencatat semua paket yang lewat di jaringan untukdianalisis di kemudian hari.

Contoh : . / Snortdevl . / log, . / Snortdevl . / logh 192.168.1.0/24

3. NIDS, deteksi penyusup pada network : pada mode ini Snort akanberfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan

komputer dengan tambahan ruleyang akan digunakan untuk membedakan

sebuah paket normal dan tidak normal.

Contoh : . / Snortdevl . / logh 192.168.1.0/24c Snort.conf

3.4.1 Komponen

komponenSnort

Snort mempunyai tujuh komponen dasar yang bekerja saling berhubungan

satu dengan yang lain[1]seperti berikut ini :

1. DecoderSesuai dengan paket yang di-capture dalam bentuk struktur data dan

melakukan identifikasi protokol, decodeIP dan kemudian TCP atau UDP

tergantung informasi yang dibutuhkan, seperti port number, IP address.

Snortakan memberikan alert jika menemukan suatu paket yang cacat.


40/73

28

2. PreprocessorsPada dasarnyapreprocessorsberfungsi mengambil paket yang mempunyai

potensi yang berbahaya yang kemudian dikirim ke detection engineuntuk

dikenali polanya.

3. Global SectionBertugas mengizinkan mapping file untuk IIS Unicode, configure alert

untuk proxy server dengan proxy_alert (jika menggunakan proxy server)

atau konfigurasi deteksi lalu - lintas HTTP pada nonauthorizedport

dengan menggunakan detect_anomalous_traffic.

4. Server SectionMengizinkan untuk setting HTTP server profiles yang berbeda untuk

beberapa server yang berbeda. Konfigurasi tipe serangan dan

monormalisasikan berdasarkan server yang ada.

5. Rules FilesMerupakan suatufileteks yang berisi daftar aturan yang sintaksnya sudah

diketahui. Sintaks ini meliputi protokol, address, output plug-ins, dan hal

hal yang berhubungan dengan berbagai hal.

6. Detection EngineMenggunakan detection plug-ins, jika ditemukan paket yang cocok maka

Snortakan menginisialisasi paket tersebut sebagai suatu serangan.

7. Output Plug-insMerupakan suatu modul yang mengatur format dari keluaran untuk alert

dan file logs yang bisa diakses dengan berbagai cara, seperti console,

extern files, database, dan sebagainya.

3.4.2 Proses Deteksi Pada SnortSebagai I ntr usion Detection System(IDS)

Proses deteksi Snort sebagai intrusion detection system secara menyeluruh

digambarkan sebagai berikut :


41/73

29

Gambar 3.10 Proses Deteksi Snort[1]

Pada Snort sebagai IDS, rule merupakan suatu hal yang penting karena

dengan adanya suatu rule maka IDS bisa berfungsi untuk mendeteksi suatu

kejadian. Suatu ruledapat mengenali suatu paket digambarkan sebagai berikut :

Gambar 3.11 ProsesRuleMengenali Suatu Paket


42/73

30

Sifat dari ruleSnortadalah seperti berikut[7]:

1. Dynamic2. Activation3. Alert4. Pass5. logDan sebagai tambahan, jika kita menjalankan Snort dalam mode inline, kita

memiliki beberapa opsi tambahan, yaitu : drop, reject,sdrop[10].

3.4.3 Penempatan Sensor Snort

Sensor merupakan komponen yang sangat penting dari suatu Intrusion

Detection System (IDS). Sensor networkuntuk IDS biasanya terinstall pada lokasi

berikut :

1. Antara routerdanfirewallPenempatan sensor diantara router dan firewall berfungsi untuk

melindungi jaringan dari serangan ekstenal, termasuk melindungin

demilitarized zone[1].

2. Pada demilitarized zone (DMZ)Penempatan sensor Snort pada lokasi ini untuk melindungi

demilitarized zone yang meliputi Web, FTP, dan SMTP server,

externalDNS server dan hostyang diakses oleh externaluser[1].

3. Di belakangfirewallSensor Snortbisa diletakkan di belakangfirewallbersebelahan dengan

LAN. Keuntungan dari penempatan ini adalah bahwa semua lalu-lintas

jaringan biasanya melitasfirewall[1].

4. Dekat akses remoteserverBila sensor Snort berada pada lokasi dekat dengan remote access

server maka akan mudah untuk mengontrol serangan yang berasal dari

user yang mempunyai akses ke jaringan melalui server. Metode ini

jarang digunakan karena administrator bisa mendeteksi unauthorized


43/73

31

activityberasal dari user yang mana (siapa yang menggunakan modem

untuk koneksi)[1].

5. Pada network backbone6. Dengan key segment internal network7. Pada remote office

3.5 Basic Analysis and Secur ity Engine(BASE)

BASE merupakanBasic Analysis and Security. Hal ini berdasarkan pada kode

dari hasil Analysis for Intrusion Database (ACID). Aplikasi ini menyediakan web

front-enduntuk query dan menganalisis alertyang berasal dari sistem SnortIDS.

BASE merupakan web antarmuka yang berfungsi untuk menganalisis

gangguan yang terdeteksi oleh Snort IDS dalam jaringan. Ini menggunakan

autentikasi pengguna dan sistem role base, sehingga admin keamanan jaringan

dapat memutuskan apa dan berapa banyak informasi yang pengguna bisa lihat[6].

BASE adalah mesin analisis berbasis PHP untuk mengelola database hasil dari

peristiwa keamanan. Peristiwa ini bisa dari IDS (seperti Snort) serta darifirewall,

alat monitor jaringan dan bahkanfile pcap.Fitur dari BASE sendiri adalah :

1. Sebuah antarmuka untuk mencari database dan pembangunan query.Pencarian dapat dilakukan antara parameter jaringan tertentu seperti

penyerang terhadap protokol IP address, dengan meta parameter seperti

waktu atau tanggal peristiwa[8].

2. Sebuah paket browser yang dapat memutuskan dan menampilkaninformasi layer3 dan layer4 dari paket logger[8].

3. Kemampuan memanajemen data termasuk pengelompokan alert(sehinggamemungkinkan mengelompokkan semua eventyang berhubungan dengan

sebuah insiden gangguan), penghapusan alert, dan pengarsipan dan

mengimpor pesan e-mail[8].

4. Generasi dengan berbagai garik grafis dan statistik berdasarkan parametertertentu[8].


44/73

32

3.6 Jenis Serangan Terhadap Jaringan Komputer

Menurut Ariyus[1] ada berbagai macam teknik yang dilakukan seorang

attacker dalam menyerang sebuah jaringan. Dalam melakukan percobaan

penyerangan terhadap sebuah jaringan tersebut ada beberapa tahap yang

dilakukan, seperti pada gambar berikut :

Gambar 3.12LifecycleSerangan

Seranganserangan yang terjadi pada sistem komputer diantaranya adalah :

3.6.1 Port Scanning

Port Scanningmerupakan suatu proses untuk mencari dan membuakportpada

suatu jaringan komputer. Dari hasil pencarian akan didapat letak kelemahan

system tersebut. Pada dasarnya port scanning mudah untuk dideteksi, tetapi

penyerang akan menggunakan berbagai metode untuk menyembunyikan serangan.

Sebagai contoh, banyak jaringan penyerang dapat mengirimkan initial packet

dengan suatu SYN tetapi tidak ada ACK, dan mendapat respon kembali dankemudian berhenti diporttersebut. Hal ini sering disebut dengan SYNscanatau

half open scan[1].

3.6.2 Teardrop

Teardrop merupakan suatu teknik yang digunakan untuk mengeksploitasi

proses disassembly reassembly paket data. Dalam jaringan internet seringkali

data harus dipotong kecil kecil untuk menjamin reliabilitas dan proses multiple

akses jaringan. Pada proses pemotongan paket data yang normal, setiap potongan


45/73

33

diberi informasi offsetdata yang kira kira berbunyi demikian potongan paket

ini merupakan potongan 600 byte dari 800 bytepaket yang dikirim. Disinilah

program teardrop bekerja untuk memanipulasi offset potongan data sehingga

akhirnya terjadi overlapping antara paket yang diterima di bagian penerima

setelah potongan potongan paket ini di-reassemblyyang menyebabkan system

menjadi crash, hangdan reboot[1].

3.6.3 IPspoofing

IP spoofingmerupakan suatu serangan teknis yang rumit yang terdiri dari

beberapa komponen. Ini adalah eksploitasi keamanan yang bekerja dengan

menipu komputer, seolah-olah yang menggunakan komputer tersebut adalah

orang lain. Hal ini terjadi karena design flaw(salah rancang). Lubang keamanan

yang dapat dikategorikan ke dalam kesalahan design adalah design urutan nomor

(sequence numbering) dari paket TCP/IP.

IPspoofingmelakukan aktivitasnya dengan menulis ke raw socket. Program

dapat mengisi header fielddari suatu paket IP apapun yang diingini. IPspoofing

juga sering digunakan untuk menyembunyikan lokasi attackerpada jaringan[1]

.

3.6.4 LandAttack

Land attackmerupakan serangan kepada sebuah sistem dengan menggunakan

program yang bernama land. Apabila serangan ditujukan pada sistem Windows

95, maka sistem yang tidak diproteksi akan menjadi hang (dan bisa keluar layar

biru). Demikian pula apabila serangan diarahkan ke beberapa UNIX versi lama,

maka sistem akan hang. Jika serangan diarahkan ke sistem Windows NT, maka

sistem akan sibuk dengan penggunaan CPU mencapai 100% untuk beberapa saat

sehingga sistem seperti macet. Serangan land ini membutuhkan nomor IP dan

nomor port dari serveryang dituju. Untuk sistem yang berbasis Windows, port

139 merupakan jalan masuknya serangan[1].


46/73

34

3.6.5 Smurf Attack

Smurf attack biasanya dilakukan dengan menggunakan IP spoofing, yaitu

mengubah nomor IP dari datangnya request. Dengan menggunakan IPspoofing,

respon dari ping tadi dialamatkan ke komputer yang IP-nya di-spoof. Akibatnya,

komputer tersebut akan menerima banyak paket. Hal ini dapat mengakibatkan

pemborosan penggunaan (bandwidth) jaringan yang menghubungkan komputer

tersebut.

Serangan jenis ini juga merupakan serangan secara paksa pada fitur spesifikasi

IP yang kita kenal sebagai direct broadcast addressing. Seorang smurf hacker

biasanya membanjiri router dengan paket permintaan echo Internet Control

Message Protocol (ICMP) yang kita kenal sebagai aplikasi ping[1].

Untuk menjaga agar jaringan tidak menjadi perantara bagi serangan ini maka

broadcast addressingharus dimatikan di router. Alternatif lain adalah dengan cara

memasang upstream firewall yang di-set untuk menyaring ICMP echo atau

membatasi traffic echo agar persentasenya kecil dibandingkan traffic jaringan

keseluruhan.

3.6.6 UDP Flood

Pada dasarnya mengaitkan dua system tanpa disadari. Dengan cara spoofing,

User Datagram Protocol (UDP)flood attackakan menempel pada layanan UDP

chargen di salah satu mesin, yang untuk keperluan percobaan akan

mengirimkan sekelompok karakter ke mesin lain, yang deprogram untuk meng-

echo setiap kiriman karakter yang diterima melalui layanan chargen. Karena

paket UDP tersebut di-spoofingdi antara ke dua mesin tersebut maka yang terjadiadalah banjir tanpa henti kiriman karakter yang tidak berguna di antara kedua

mesin tersebut.

3.6.7 Packet Interception

Sistem kerja dari packet interception ini adalah dengan cara membaca suatu

paket disaat paket tersebut dalam perjalanan. Cara ini sering disebut dengan

packet sniffing. Ini adalah suatu cara penyerang untuk mendapatkan informasi

yang ada di dalam paket tersebut.


47/73

35

3.6.8 ICMP Flood

Seorang penyerang melakukan eksploitasi sistem dengan tujuan untuk

membuat target host menjadi hang, yang disebabkan oleh pengiriman sejumlah

paket yang besar ke arah target host.Exsploting systemini dilakukan dengan cara

mengirimkan suatu comman ping dengan tujuan broadcast adalah target host.

Semua pesan balasan dikembalikan ke target host. Hal inilah yang membuat target

host menjadi hang dan menurunkan kinerja jaringan[1]. Bahkan hal ini dapat

mengakibatkan terjadinya denial of service[9].


48/73

36

BAB IV

ANALISIS DAN PERANCANGAN

Kebutuhan akan sebuah tools (alat) untuk mendukung meningkatkan

keamanan dalam sebuah jaringan sangatlah penting. Berbagai alat telah digunakan

untuk mengingkatkan keamanan jaringan komputer dari segala ancaman,

gangguan, atau serangan. Masih banyak perusahaan hanya mengandalkanfirewall

sebagai alat keamanan dalam jaringan computer dengan berfungsi sebagai tembok

yang menyaring semua paket data yang akan dilewatkan. Tetapi dengan hanya

menggunakanfirewalltersebut jaringan komputer masih belum aman dari segala

ancaman, gangguan, dan serangan dikarenakan firewall tidak dapat memberikan

reportsecara real timekepada administratortentang aktivitas jaringan.

4.1Sistem Kerja FirewallFirewall adalah suatu sistem perangkat lunak yang mengizinkan lalu lintas

jaringan yang dianggap aman untuk bisa melaluinya dan mencegah lalu lintas

jaringan yang dianggap tidak aman. Umumnya, sebuahfirewallditerapkan dalam

sebuah mesin terdedikasi, yang berjalan pada gateway antara jaringan local

dengan jaringan Internet[11].

Fungsifirewalladalah sebagai berikut :

1. Mengatur dan mengontrol lalu lintas jaringan.2. Melakukan autentikasi terhadap akses.3. Melindungi sumber daya dalam jaringanprivate.Secara umum dapat dijelaskan bahwa firewall bekerja sesuai rules yang

diberikan administrator tanpa memberikan report hasil kerja kepada

administrator.

4.2Identifikasi masalahDari penjelasan di atas, maka permasalahan yang dihadapi yang

mengakibatkan kurangannya keamanan jaringan adalah sebagai berikut:

1. Masih kurangnya pengimplementasian tools(alat) yang mampu merekamaktivitas jaringan secara real time.


49/73

37

2. Sulit menganalisa pola trafficjaringan yang terjadi.3. Sulit mengenali adanya ancaman, gangguan, atau serangan terhadap

jaringan.

4. Sulit mengidentifikasi jenis ancaman, gangguan, atau serangan yangterjadi terhadap jaringan.

4.3Identifikasi penyebab masalahDari hasil indentifikasi masalah diatas, terdapat beberapa penyebab masalah

yang menguragi keamanan dalam sebuah jaringan komputer :

1. Tools (alat) tidak mampu merekam setiap aktivitas jaringan secara realtime.

2. Tidak ada report kepada administrator dari hasil rekaman yang terjaditerhadap jaringan komputer.

3. Kurangnya rules yang mengidentifikasi setiap jenis ancaman, gangguan,atau serangan terhadap jaringan.

4.4AnalisisDari hasil identifikasi masalah dan indentifikasi penyebab masalah yang telah

dibahas di atas dapat disimpulkan, bahwa untuk meningkatkan keamanan dalam

sebuah jaringan dibutuhkan sebuah tools (alat) yang sistem kerjanya mampu

merekam semua aktivitas jaringan secara real time dan menampilkan semua

reportdari hasil rekaman aktivitas jaringan yang sudah dikelola tersebut kepada

administrator, sehingga administrator dapat dengan mudah memahami setiap

hasil laporan yang ditampilkan. Dengan demikian, administratorakan lebih cepat

mengambil tindakan apabila terjadi ancaman, gangguan, atau serangan terhadap

jaringan tanpa melakukan analisis terlebih dahulu, karena hasil yang ditampilkan

kepada administrator sudah dianalisis terlebih dahulu oleh sistem.

Sistem pendeteksian penyusupan pada sistem jaringan komputer ini dibuat

untuk kebutuhan sebagai berikut :

a. Mampu mengawasi traffic jaringan yang terdiri dari paket data TCP,UDP, dan ICMP.


50/73

38

b. Mampu mengidentifikasi anomali traffic jaringan atau traffic yangdianggap tidak normal dan dikelompokkan sesuai jenisnya

c. Menampilkan informasi trafficjaringan kepada administrator.d. Informasi yang ditampilkan kepada administrator berupa alert dan

informasi aktivitas jaringan secara spesifik.

4.4.1Analisis KebutuhanAnalisis kebutuhan sangat penting dalam mendukung kinerja sistem yaitu

untuk mendukung tercapainya tujuan keakuratan data informasi.

a. Spesifikasi sistem yang akan dibangun.Tabel 4.1 Spesifikasi Sistem yang akan Dibangun

Sistem Keterangan

Intrusion Detection System

Berjenis NIDS (Network Intrusion

Detection System) yang akan

mengawasi setiap segmen jaringan.

Client

Difungsikan sebagai sistem yang

menerima serangan atau gangguan

dari attacker / intruder pada saat

skenario uji coba

Intruder /Attacker Difungsikan sebagai sistem yang

melakukan serangan terhadap client

pada saat skenario uji coba

b. Spesifikasisoftware(perangkat lunak)Perangkat lunak yang digunakan dalam sistem ini adalah sebagai berikut :

Tabel 4.2 Spesifikasi Software(Perangkat Lunak) yang Digunakan

No Jenis perangkat lunak Keterangan

1 Ubuntu 10.10Sistem operasi yang akan digunakan di

mesinIntrusion Detection System(IDS).

2 Backtrack 5 Genome r3

Sistem operasi yang digunakan sebagai

intruder/ attackeryang berfungsi untuk

menyerang client

3 Windows XP SP2Sistem operasi yang digunakan sebagai

client.


51/73

39

4 Snort

Intrusion Detection System (IDS) yang

digunakan sebagai sensor yang

merekam semua trafficdalam jaringan.

5 Acidatau BASE

Aplikasi yang digunakan untuk

mengelola database logyang dihasilkan

oleh sensor Snortdan menampilkannya

ke administrator.

6 Nmap

Sebuah aplikasi yang terdapat dalam

sistem operasi Backtrack yang berfungsi

untuk mengidentifikasi IP yang sedang

up, port yang terbuka serta spesifikasi

sistem operasi yang digunakan olehkorban.

7 MySql

Applikasi yang berguna untuk

menyimpan ke database hasil report

yang dilakukan oleh SnortIDS dan akan

digunakan oleh BASE sebagai acuan

untuk menampilkan setiap informasi

tentang jaringan kepada administrator

8 Apache

Applikasi sebagai server agar BASE

bisa menampilkan informasi tentangjaringan kepada administrator dalam

mode local host.

c. SpesifikasiHardware(Perangkat Keras)Perangkat keras yang digunaka dalam sistem ini adalah sebagai berikut :

Tabel 4.3 SpesifikasiHardware(Perangkat Keras) yang Akan Digunakan

No Jenis perangkat keras Spesifikasi

1 PC Mesin Sensor

ProcessorIntel Pentium 4 3,2 GHz

Memory2.00 GB

Hard disk32 GB

2port network interface

1 buah monitor

1 buah keyboard

1 buah mouse

2 PC Mesin Client

ProcessorIntel Pentium 4 3,2 GHz

Memory1.00 GB

Hard disk128 GB

1port network interface


52/73

40

1 buah monitor

1 buah keyboard

1 buah mouse

3 Switch 8port network interface

4 Kabel UTP 3 buah kabelstraight

4.5PerancanganSetelah melakukan identifikasi masalah, identifikasi penyebab masalah, serta

analisis, penulis memberikan solusi yaitu dengan pengimplementasian Intrusion

Detection System (IDS) dengan menggunakan software Snort yang terintegrasi

dengan BASE sebagai alat yang merekam aktivitas jaringan secara real timedan

menampilkan hasil analisanya terhadap administrator.

Penulis akan memasang sebuah sensor SnortIDS pada sebuah bagian jaringan

kantor dan melakukan konfigurasi agar sensor tersebut dapat berjalan dengan

baik. Berikut topologi jaringan Dinas Komunikasi dan Informatika

(DISKOMINFO) Jawa Barat di Bandung secara keseluruan :

Gambar 4.1 Topologi NOC Jarkom Pemprov Jabar 2013

Dan berikut gambar topologi jaringan tempat dimana Snort IDS akan dipasang

dan diuji.


53/73

41

Gambar 4.2 Topologi Tempat SnortIDS Akan Dipasang.

Sebagai topologi rancangan untuk implementasi Snort IDS adalah sebagai

gambar berikut ini :

Gambar 4.3 Topologi Rancangan SnortIDS

Dibagian topologi jaringan inilah akan diamati setiap aktivitas jaringan dan

setiap informasi akan ditampilkan ke administratordengan menggunakan BASE.

4.5.1Deskripsi dari SistemPada implementasi Snortterintegrasi degan BASE ini, setiap aktivitas jaringan

yang direkam oleh Snortberupa log tersebut akan dikirimkan ke sensor. Sensor

akan melakukan analisis dengan melakukan perbandingan setiap detail aktivas


54/73

42

jaringan dengan rules yang telah disediakan. dari hasil analisis tersebut, jika

terjadi kesamaan antara aktivitas dengan rulesyang ada, akan menghasilkan alert.

Setelah proses analisis selasai, hasilnya akan dikirimkan ke databaseyang telah

disediakan untuk menampung semua hasil analisis Snort IDS. Kemudian BASE

mengakses database tersebut untuk mengambil data data hasil analisis Snort

untuk ditampilkan kepada administrator.

Pada tampilan tersebut BASE akan menampilkan sesuai pengelompokan.

Berikut fiturfitur yang dimiliki BASE sesuai dengan pengelompokannya

1. Menampilkan persentasi paket data TCP, UDP, dan ICMP serta spesifikasimasingmasing.

2. Menampilkan persentasi dan spesifikasiportscanyang terjadi.3. Menampilkan jumlah host yang dipantau berserta IP address masing

masing.

4. Menampilkan total jumlah alert yang dihasilkan oleh sensor Snort sertamenampilkan jenisjenis alert.

5. Menampilkan alertyang dianggap unik.6. MenampilkansourceIP addressdan destinationIP address.7. Menampilkansource portdan destination port.

4.6Skenario Uji CobaSelain implementasi Snort IDS, penulis juga melakukan uji coba terhadap

kinerja SnortIDS dengan melakukan sebuah skenario yang telah dirancang.

Pada uji coba kali ini akan dilakukan sebuah skenario dimana sebuah

komputer intruder/ attackerakan melakukan serangan terhadap sebuah komputer

client dengan menggunakan aplikasi nmap dimana serangan tersebut melalui

SnortIDS sebelum sampai ke komputer client.

Seorang hacker sebelum melakukan penetrasi terhadap korbannya, hacker

tersebut terlebih dahulu harus mengetahui spesifikasi korban yang akan diserang,

mulai dari IP addreses, system operation yang digunakan korban, serta

kemungkinanportyang digunakan sebagai jalan untuk dilakukan serangan[1].


55/73

43

Disini nmapberfungsi untuk mengidentifikasi halhal yang sudah disebutkan

di atas mulai IP addressyang up (sedang digunakan ) dalam sebuah network, jenis

system operatiaonyang digunakan client, sertaportportyang terbuka[3].

Untuk itu penulis menganggap penggunaan nmap dalam sebuah jaringan

merupakan sebuah intrusion (gangguan) dalam jaringan tersebut. Maka dari itu

penulis memilih menggunakan nmap sebagai tools untuk menguji kinerja Snort

IDS apakah mampu mendeteksi seranga awal yang dilakukan oleh hacker.

Gambar berikut menjelaskan skenario yang dilukakan penulis untuk

membuktikan kinerja SnortIDS.

Gambar 4.4 Skenario Uji Coba Kinerja SnortIDS

Dari gambar diatas dapat dimengerti ketika intruder melancarkan serangan

terhadap client, semua paket data yang dikirim terlebih dahulu melewati Snort

IDS sebelum diteruskan ke client. Ketika paket data melewati Snort IDS, semua

paket data akan di-capture dan dianalisis. Kemudian data yang dikirimkan oleh

intruderakan dibandingkan dengan rulesyang ada di dalam SnortIDS, dan jikaterdapat kesamaan Snort IDS akan mengirimkan hasil analisa ke BASE untuk

ditampilkan ke administrator.


56/73

44

BAB V

IMPLEMENTASI DAN UJI COBA

5.1Implementasi5.1.1Konfigurasi SnortIDS

Pada implementasi Snort IDS ini, penulis melakukan konfigurasi sesuai

dengan deskripsi sistem yang ada pada bab sebelumnya. Tahap pertama yang

dilakukan adalah mengkonfigurasi network yang akan diawasi oleh Snort IDS,

dengan mendaftarkan network atau beberapa IP address yang akan diawasi dan

juga network atau IP address eksternal. Biasanya selain alamat network internal

diinisialisasikan sebagai eksternal, seperti yang terlihat pada gambar berikut ini

Gambar 5.1 KonfigurasiNetwork Internal danNetworkEksternal

Setelah mengkonfigurasi networkyang akan diawasi, tahap selanjutnya adalah

konfigurasi untuk menentukan dimana sensor SnortIDS akan ditempatkan, seperti

pada gambar berikut ini :

Gambar 5.2 Konfigurasi Untuk Menempatkan Sensor SnortIDS


57/73

45

Penempatan mesin sensor Snort IDS untuk mengawasi sebuah jaringan

sangatlah penting. menempatkan sensor SnortIDS dengan tepat membuat kinerja

sensor menjadi baik dan data yang dihasilkan pun menjadi akurat[1]. Pada

implementasi ini, penulis menempatkan sensor Snort IDS di interfaceeth0 yang

digunakan sebagaigateway.

Selanjutnya adalah mengaktifkan rule rule yang akan digunakan. Pada saat

implementasi, penulis mengaktifkan semua ruleruleyang tersedia.

Gambar 5.3Path Ruleyang Akan Digunakan

Rule yang tersedia dapat kita nonaktifkan dengan cara menambah karakter #

pada awal baris ruleyang kita inginkan sesuai dengan kebutuhan kita.

Sampai tahap ini, Snort IDS sudah dapat dijalankan dengan modesniffer

ataupun console.


58/73

46

5.1.2 Konfigurasi Acidatau BASE

Hasil yang didapatkan oleh Snortketika dijalankan dengan mode snifferatau

console belum sepenuhnya dapat membantu administrator dalam menganalisa

trafficjaringan yang sedang terjadi. Untuk itu dibutuhkan sebuah aplikasi analisis

yang dapat menganalisa hasil kerja SnortIDS tersebut yaitu dengan menggunakan

Acidatau BASE.

Acid atau BASE membutuhkan sebuah database yang dapat menampung

semua hasil capture Snort IDS terhadap traffic jaringan dan mengelola semua

hasil captureSnortIDS untuk dianalisis dan ditampilkan kepada administrator.

Gambar 5.4Acidatau BASE MenggunakanMysqlSebagaiDatabase

Pada implementasi ini, penulis menggunakan MySql sebagai databaseuntuk

menyimpan semua hasil captureSnortIDS terhadap sebuah jaringan.

Gambar 5.5Register Acidatau BASE TerhadapDatabase Server

Setelah Acid atau BASE ter-install dan sudah dikonfigurasi, maka untuk

menjalankannya kita dapat membukanya dengan menggunakan browser dan

memasukkan alamat URLhttps://localhost/acid.Dan berikut adalah tampilannya
https://localhost/acidhttps://localhost/acidhttps://localhost/acidhttps://localhost/acid


59/73

47

Gambar 5.6 TampilanAcidatau BASE

5.2Pengambilan Data dan Analisis5.2.1 TrafficJaringan

Dalam lalu lintas jaringan biasanya menggunakan beberapa tipe protocol.

Protocol ini digunakan untuk berkomunikasi antar komputer. Komputer dapat

berkomunikasi dan bertukar informasi atau data satu sama lain harus dengan

menggunakan protocolyang sama. Sehingga dapat disimpulkan lalu lintas yang

terjadi dalam sebuah jaringan adalah banyaknya traffic protocolyang ada dalam

jaringan tersebut.

Pada implementasi ini, penulis mengamati dan mengambil data tingkat

komunikasi antara jaringan internal dan jaringan eksternal dengan menggunakan

protocolTCP, UDP, maupun ICMP yang terdeteksi oleh SnortIDS. Pengambilan

data ini dilakukan selama lima hari kerja.

Dari hasil pengamatan komunikasi jaringan internal dan jaringan eksternal

dengan menggunakan protocol TCP, UDP, maupun ICMP yang dilakukan selama

lima hari kerja diperoleh data sebagai berikut.


60/73

48

Tabel 5.1 Akses Jaringan yang Terjadi Selama 5 Hari Kerja

Harike- ProtocolTCP Protocol UDP ProtocolICMP

1 105 45 0

2 21 2 0

3 37 1 0

4 10 3 0

5 38 10 0

Gambar 5.7 Grafik Trafik Jaringan Dalam 5 Hari Kerja

Pada grafik di atas dapat dilihat bahwa komunikasi jaringan internal dan

jaringan eksternal dapat dideteksi oleh Snort IDS, yaitu dengan mendeteksi

komunikasi dengan menggunakanprotocolTCP, UDP, dan ICMP.

Berdasarkan grafik di atas dilihat bahwa protocol TCP lebih banyak

digunakan jaringan komputer internal untuk berkomunikasi dengan jaringan

eksternal dan dapat disimpulkan bahwa jaringan komputer kantor Dinas

Komunikasi dan Informatika (DISKOMINFO) Bandung lebih banyak

menggunakan protocol TCP untuk berkomunikasi dan bertukar data dengan

jaringan eksternal dengan kebanyak menggunakan application layer HTTP,

SMTP ataupun FTP.

0

20

40

60

80

100

120

0 1 2 3 4 5 6

Jumlahakses

Hari ke-

Network Traffic

Protocol UDP

Protocol ICMP

Protocol TCP


61/73

49

Ketika terjadi komunikasi antara jaringan internal dan eksternal, Snort IDS

juga mendeteksi beberapa anomaly yang dianggap dapat mengganggu jaringan

internal. Jenis anomalytersebut disajikan pada table berikut ini.

Tabel 5.2 JenisAnomalyyang Terdeteksi Oleh SnortIDS

Jenis Anomaly Jumlah

Community SIP TCP/IP message flooding directed to

SIP Proxy 210

Openport443 51

Openport80 7

TCPPortsweep 3

Double Decoding Attack 7DNS Spoof 45

http_inspect 9

Gambar 5.8 Grafik Jumlah dan JenisAnomalyyang Terdeteksi Oleh SnortIDS

Berdasarkan grafik di atas, kita melihat jenis anomaly CommunitySIP TCP/IP

lebih banyak dideteksi oleh Snort IDS ketika terjadi komunikasi antara jaringan

internal dan jaringan eksternal. Terdapat 63,25% jumlah anomalyCommunitySIP

TCP/IP yang terdeteksi. Apabila dilihat dari jumlah akses data dengan

menggunakanprotocolTCP maupunprotocolUDP yang terjadi terjadi sebanyak

272 kali, sementara jumlah anomaly Community SIP TCP/IP yang terdeteksi

sebanyak 210, hal ini menandakan anomaly Community SIP TCP/IP terdeteksi

0

50

100

150

200

250

Community

SIP TCP/IP

Open port

443

Open port 80 TCP

Portsweep

Double

DecodingAttack

DNS Spoof http_inspect


62/73

50

hampir setiap kali terjadi komunikasi antar jaringan dengan menggunakan

protocol TCP maupun protocol UDP.Dalam hal ini Community SIP/IP tidak

berbahaya karena Community SIP/IP hanya menentukan jalur terpendek untuk

mengirimkan informasi.

Dalam hasil kerja praktek ini juga ditemukan tingkat open port443 dan DNS

Spoof yang cukup tinggi. Open port 443 dimaksudkan bahwa Snort IDS dapat

mampu mendeteksi adanya request dari dan ke port http yang bersifat secure.

Yang perlu diwaspadai adalah DNS Spoof. Seperti yang kita ketahui DNS Spoof

adalah salah satu cara untuk menyamarkan IP addresssuatu domain. Teknik DNS

Spoof ini juga sering digunakan oleh para intruder untuk melakukan serangan

sebagai penyamaran sehingga host victim tidak dapat mengetahui informasi

tentang intruder. Tetapi teknik DNS Spoof ini juga digunakan untuk

mengamankan sebuah domain dari serangan intruder agar intruder tidak

mengetahui informasi tentang domain tersebut karena informasi yang diperoleh

intruderadalah informasi yang sudah disamarkan. Dalam hasil kerja praktek ini,

tingkat DNS Spoof yang penulis dapatkan dari hasil analisa Snort IDS adalah

tidak sebuah ancaman bagi jaringan karena karena dari hasil analisa Snort IDS

sebuah hostdari jaringan internal mengakses sebuah domaindan domaintersebut

merespon dengan menyamarkan IP addressdari domaintersebut.

5.3.Skenario Uji CobaPada skenario uji coba yang penulis lakukan, penulis menggunakan aplikasi

nmap yang sudah ter-install di sebuah sistem operasi, yaitu Backtrack 5 R3.

Nmapadalah sebuah aplikasi yang sering digunakan ketika seorang hackeringin

melakukan tindakan hacking. Sebelum seorang hacker menyerang korbannya,

hacker tersebut terlebih dahulu harus mengetahui kondisi korban yang akan

diserang. Di sinilah aplikasi nmap digunakan. Nmap berfungsi untuk

mengidentifikasi IP addressyang sedang digunakan dalam sebuah jaringan, port

port dari host yang terbuka, dan bahkan sistem operasi yang digunakan oleh

korban.


63/73

51

Berikut ini adalah gambar hasil running nmap

Gambar 5.9 Perintah Untuk Menjalankan nmap

Pada gambar 5.9 seperti di atas, penulis menggunakan perintah nmapv A

192.168.5.0/24 untuk mengidentifikasi IP addressyang sedang digunakan dalam

network192.168.5.0/24. n digunakan untuk mengidentifikasi portyang sedang

terbuka danA untuk mengidentifikasi jenis sistem operasi yang digunakan oleh

host.Berikut adalah gambar hasilscanningdengan menggunakan nmap

Gambar 5.10 Hasil Scanningdengan Menggunakan nmap

Dari gambar dapat dilihat hasilscanningdengan menggunakan nmapterhadap

sebuah hostdengan alamat host 192.168.5.10. Dari hasil scanningdiketahuiport

135, 139, 445 dalam kondisi terbuka dengan menggunakan sistem operasi

Microsoft WindowsXP|2003.


64/73

52

Untuk menguji apakah sebuah Snort IDS dapat digunakan untuk mendeteksi

sebuah serangan nmap, penulis menjalakan Snort IDS dengan mode console

seperti pada gambar berikut.

Gambar 5.11 Perintah Menjalankan SnortIDSMode Console

Gambar 5.12 Hasil runningSnortIDS

Dari gambar di atas membuktikan bahwa Snort IDS dapat digunakan untuk

mendeteksi serangan nmapdengan menginformasikan jenis serangan yaitu ICMP

PINGNMAP, asal IP addressseranganan, dan IP addresstujuan serangan.


65/73

53

BAB VI

PENUTUP6.1.Kesimpulan

Dari pelaksanaan kerja praktek Pemanfaatan SnortIDS Untuk Meningkatkan

Keamanan Jaringan di Kantor Dinas Komunikasi dan Informatika

(DISKOMINFO) Bandungini, mulai dari tahap persiapan, analisa, perancangan

sampai implementasi sistem, dapat diambil kesimpulan sebagai berikut :

1. SnortIDS dapat diimplementasikan dan digunakan untuk merekam semuaaktivitas jaringan secara real-timedengan cara meng-capturesemua paket

data yang masuk maupun keluar jaringan, kemudian menganalisa setiap

paket tersebut dan hasilnya dilaporkan kepada administrator.

2. Snort IDS juga dapat digunakan untuk mengidentifikasi jenis serangan,gangguan, dan ancaman yang berasal dari luar jaringan internal dengan

cara data yang keluar ataupun masuk jaringan di-captureSnortIDS. Setiap

paket data yang di-captureoleh sensor SnortIDS disamakan dengan rules

yang tel

Date post:	15-Oct-2015
Category:	Documents
Upload:	wesly-naipospos
View:	259 times
Download:	10 times

Implementasi snort

Documents