ANALISIS SISTEM PENDETEKSIAN DAN PENCEGAHAN PENYUSUP
PADA JARINGAN KOMPUTER DENGAN MENGUNAKAN SNORT DAN FIREWALL PADA SISTEM OPERASI DISTRIBUSI LINUX IPCOP FIREWAL
Disusun Oleh :
Nama : Ferdy Wijaya NIM : 2003-81-045
JURUSAN TEKNIK INFORMATIKA FAKULTAS ILMU KOMPUTER UNIVERSITAS INDONUSA ESA UNGGUL JAKARTA 2008 ANALISIS SISTEM PENDETEKSIAN DAN PENCEGAHAN PENYUSUP PADA JARINGAN KOMPUTER DENGAN MENGUNAKAN SNORT DAN FIREWALL PADA SISTEM OPERASI DISTRIBUSI LINUX IPCOP FIREWALL
Oleh : Nama : Ferdy Wijaya NIM : 2003-81-045
LAPORAN TUGAS AKHIR
Diajukan Sebagai Salah Satu Syarat Untuk Memperoleh Gelar SARJANA KOMPUTER Jenjang Pendidikan Strata-1 Program Studi Teknik Informatika
JURUSAN TEKNIK INFORMATIKA FAKULTAS ILMU KOMPUTER UNIVERSITAS INDONUSA ESA UNGGUL JAKARTA 2008 PENGESAHAN TUGAS AKHIR
Nama : Ferdy Wijaya Nim : 2003-81-045 J urusan : Teknik Informatika Program Studi : Ilmu Komputer J udul Tugas Akhir : Analisis Sistem Pendeteksian dan Pencegahan Penyusup pada Jaringan Komputer dengan Menggunakan SNORT dan Firewall pada Sistem Operasi Ipcop Firewall.
Tugas Akhir diatas telah disetujui sebagai salah satu syarat untuk memperoleh gelar Sarjana Komputer, J enjang Pendidikan Strata-1 Program Studi Teknik Informatika. J akarta, 25 Februari 2008
(Ir. J oko Dewanto, MM) (Ir. Munawar, MMSI, M.Com) Kajur Teknik Informatika Dekan Fakultas Ilmu Komputer
TANDA LULUS MEMPERTAHANKAN TUGAS AKHIR
Nama : Ferdy Wijaya Nim : 2003-81-045 J urusan : Teknik Informatika Program Studi : Ilmu Komputer J udul Tugas Akhir : Analisis Sistem Pendeteksian dan Pencegahan Penyusup pada Jaringan Komputer dengan Menggunakan SNORT dan Firewall pada Sistem Operasi Ipcop Firewall.
Dinyatakan LULUS mempertahankan Tugas Akhir pada ujian Tugas Akhir yang dilaksanakan di Universitas Indonusa Esa Unggul.
J akarta, 9 Maret 2008 Disetujui Oleh :
Ketua penguji : Riya Widayanti S.Kom, MMSI __________________
Penguji I : Indra Budiantho,S.Kom,M.Tech __________________
Penguji II : Ir. Budi Tjahjono, M.Kom __________________
Mengetahui,
(Ir. J oko Dewanto, MM) Kajur Teknik Informatika
UNIVERSITAS INDONUSA ESA UNGGUL Fakultas Ilmu Komputer Program Study Teknik Informatika
Pernyataan Seluruh isi / materi skripsi ini menjadi tanggung jawab penulis sepenuhnya.
Jakarta, 9 Maret 2008
( Ferdy Wijaya )
Nama : Ferdy Wijaya NIM : 2003 81 - 045
ABSTRAK
Dalam era teknologi informasi saat ini, hampir seluruh informasi yang penting bagi suatu institusi dapat diakses oleh para penggunanya dari mana dan kapan saja. Keterbukaan akses tersebut memunculkan berbagai masalah baru antara lain adalah pemeliharaan validitas dan integritas data atau informasi tersebut, jaminan ketersediaan informasi bagi pengguna yang berhak, pencegahan akses informasi dari yang tidak berhak serta pencegahan akses sistem dari yang tidak berhak. Sistem pertahanan terhadap aktivitas gangguan saat ini umumnya dilakukan secara manual oleh para administrator, bahkan administrator hanya bisa melakukan troubleshooting pada sistem setelah terjadi serangan dari pihak luar yang tidak berhak. Oleh karena itu dibutuhkan sistem yang dapat menanggulangi ancaman yang mungkin terjadi secara optimal dalam waktu yang cepat, hal ini akan mempercepat proses penanggulangan gangguan serta pemulihan sistem atau layanan. Salah satu cara yang dapat digunakan untuk menanggulangi atau mengatasi hal tersebut adalah dengan menggunakan Intrusion Detection System (IDS) dan firewall. Salah satu aplikasi yang mendukung intrusion detection system (IDS) adalah Snort. Snort mampu melakukan analisis terhadap bentuk serangan intruder yang menyalahgunakan protokol jaringan. Namun, sulitnya penggunaan Snort untuk intrusion detection system dikarenakan dibutuhkannya lebih dari satu aplikasi untuk mendukung sistem tersebut. Saat ini hal tersebut dapat ditanggulangi dengan menggunakan sistem operasi IPCop Firewall yang merupakan distribusi Linux yang dikhususkan untuk pengamanan jaringan, dimana aplikasi snort untuk intrusion detection system pada jaringan serta firewall sudah terdapat didalamnya.
Kata kunci : Keterbukaan akses data, Intruder, Intrusion Detection System (IDS), firewall, Snort, protokol jaringan, IPCop Firewall.
KATA PENGANTAR
Puji Syukur kepada Allah SWT Yang Maha Kuasa yang dengan izin- Nya lah dapat menyelesaikan Tugas Akhir ini yang berjudul ANALISIS SISTEM PENDETEKSIAN DAN PENCEGAHAN PENYUSUP PADA JARINGAN KOMPUTER DENGAN MENGGUNAKAN SNORT DAN FIREWALL PADA SISTEM OPERASI DISTRIBUSI LINUX IPCOP FIREWALL. Adapun maksud dan tujuan penulisan tugas akhir ini adalah untuk melengkapi salah satu persyaratan akademik bagi setiap mahasiswa Teknik Informatika Fakultas Ilmu Komputer Universitas Indonusa Esa Unggul untuk dapat menyelesaikan pendidikan Strata 1 (S1). Namun tugas akhir ini berusaha dibuat sesuai dengan kemampuan untuk dapat menyajikan sebuah karya tulis yang bermanfaat bagi pembaca. Oleh karena itu kritik dan saran yang bersifat membangun dari pembaca sangat diharapkan. Tugas akhir ini sendiri merupakan hasil kumpulan dan olahan dari berbagai sumber. Ucapan terima kasih kepada semua pihak yang telah membantu dalam proses penyusunan tugas akhir ini, semoga bantuan dan perhatian yang telah diberikan tidak dapat dihitung dengan materi. Doakan semoga semua pihak yang telah memberikan masukan baik tenaga dan pikiran di dalam penulisan ini selalu diberikan kemudahan dan kelancaran oleh Tuhan Yang Maha Esa. Pada kesempatan ini mengucapkan terimakasih yang sebesar-besarnya kepada : 1. Tuhan Yang Maha Esa, yang telah memberikan kesehatan, sehingga bisa menyelesaikan Tugas Akhir ini. 2. kedua orang tuaku, yang selalu memberikan Doa, Perhatian, Dukungan dan Cinta serta Dorongannya untuk tetap semangat berusaha. 3. Bapak Ir. Kundang Karsono, MMSI selaku Pembimbing materi. 4. Ibu Riya Widayanti S.Kom, MMSI selaku Penasehat Akademik dan Pembimbing tulisan. 5. Bapak Ir. Munawar MMSI, M.Com, selaku Dekan Fakultas Ilmu Komputer. 6. Ibu Riya Widayanti S.Kom, MMSI selaku Pembantu Dekan Fakultas Ilmu Komputer. 7. Bapak Ir. I. J oko Dewanto, MM selaku Ketua J urusan Teknik Informatika. 8. Mas Haris, Mba Santi, Gitandi (ole), Eky selaku staff fakultas atas segala bantuannya. 9. Semua Dosen Fakultas Ilmu Komputer, yang tidak bisa disebutkan satu persatu namanya. 10. Saudari Michiko Suki Angeline yang selalu memberikan semangat dan terus mendukung sepenuh hati. 11. Rekan rekan di jurusan Teknik Informatika ( Bram, Indra, Rizal, dll ) rekan angkatan 2003 yang telah memberikan bantuan dan dukungannya.
Akhir kata semoga tugas akhir ini bermanfaat dan dapat memberikan masukkan bagi yang membaca dan yang memerlukannya terutama untuk diri penulis sendiri. J akarta, Februari 2008
Ferdy Wijaya
DAFTAR ISI
ABSTRAK ............................................................................................... i KATA PENGANTAR ............................................................................... iii DAFTAR ISI .............................................................................................. v DAFTAR GAMBAR ................................................................................. xi DAFTAR TABEL ...................................................................................... xiv
BAB I PENDAHULUAN 1.1 Latar Belakang Masalah ......................................................... 1 1.2 Perumusan masalah ................................................................ 2 1.3 ruang lingkup masalah ............................................................ 2 1.4 Tujuan dan manfaaat .............................................................. 2 1.4.1 Tujuan ........................................................................... 2 1.4.2 Manfaat ......................................................................... 3 1.5 Metode penulisan ................................................................... 3 1.7 Sistematika Penulisan ............................................................. 4
BAB II LANDASAN TEORI 2.1 Analisis Sistem ...................................................................... 5 2.1.1 Definisi Analisis ........................................................... 5 2.1.2 Definisi Sistem ............................................................. 5 2.1.3 Karakteristik Sstem ...................................................... 5 2.2 J aringan Komputer ................................................................. 9 2.2.1 Pengertian ...................................................................... 7 2.2.2 J enis J aringan ................................................................ 7 2.2.2.1 Local Area Network (LAN) .............................. 7 2.2.2.2 Metropolitan Area Network (MAN) ................. 8 2.2.2.3 Wide Area Network (WAN) ............................. 8 2.2.2.4 Inter Network .................................................... 9 2.2.3 Topologi J aringan ........................................................ 9 2.2.3.1 Topologi Bus (Token Bus) ................................... 10 2.2.3.2 Topologi Star (Token Star) .................................. 10 2.2.3.3 Topologi Ring (Token Ring) ................................ 11 2.2.3.4 Topologi Tree (Token Tree) ................................. 12 2.2.3.5 Topologi Mesh (Token Mesh) .............................. 12 2.2.4 Komponen J aringan ..................................................... 13 2.2.4.1 Personal PC .......................................................... 13 2.2.4.2 Hub ....................................................................... 13 2.2.4.3 Bridge ................................................................... 14 2.2.4.4 Switch ................................................................... 15 2.2.4.5 Repeater ................................................................ 15 2.2.4.6 Router ................................................................... 16 2.2.4.7 Network Interface Card (NIC) ............................. 17 2.2.4.8 Kabel .................................................................... 17 2.2.5 Protokol ....................................................................... 21 2.2.6 OSI Layer ..................................................................... 22 2.3 Pengertian Secutity System .................................................... 26 2.3.1 Aspek Dasar Keamanan Sistem ................................ 26 2.3.1.1 Privacy / Confidentialy ......................................... 27 2.3.1.2 Integrity ................................................................. 27 2.3.1.3 Authentication ....................................................... 28 2.3.1.4 Availability ........................... ............................... 28 2.3.2 Security System J aringan ........................................ 28 2.3.2.1 Tipe tipe Security .............................................. 29 2.3.2.1.1 Personal Security ......................................... 29 2.3.2.1.2 Network Security ....................................... 30 2.3.2.2 Threats / Ancaman ................................................ 30 2.3.2.3 Vulnerabilities / Serangan ..................................... 31 2.3.2.4 Pengenalan Firewall .. 33 2.3.2.4.1 Fungsi Firewall 34 2.3.2.4.2 J enis Firewall .................... .......................... 35 2.3.2.4.3 Teknik yang digunakan Firewall ................. 36 2.4 Intrusion Detection System .................................................... 37 2.4.1 Fungsi Intrusion Detection System.............................. 38 2.4.2 Tipe Tipe Intrusion Detection System .................... 39 2.4.3 Cara Kerja IDS ........................................................... 44 2.5 Intrusion Prevention System (IPS) ......................................... 46 2.6 Snort ....................................................................................... 47 2.6.1 Komponen Snort ........................................................ 48 2.6.2 Snort. Conf File ......................................................... 50 2.6.3 Perintah Perintah Snort ........................................... 51 2.6.4 Proses Deteksi Snort .................................................. 53 2.6.5 Penempatan Sensor IDS ............................................ 54 2.6.5.1 Antara Router dan Firewall ........................... 54 2.6.5.2 Pada DMZ ..................................................... 55 2.6.5.3 Dibelakan Firewall ........................................ 55 2.6.5.4 Dekat Remote Acces Server ......................... 56 2.7 Sejarah Linux ........................................................................ 56 2.7.1 IPCop Firewall .............................................................. 58 2.8 Megenali Penyusup ................................................................ 61 2.8.1 Penyalahgunaan Protokol J aringan .......................... 61 2.8.1.1 Penyalahgunaan Protokol ARP ( Address Resolution Protocol ) ..................................... 62 2.8.1.2 Penyalahgunaan Internet Protocol (IP) .......... 67 2.8.1.3 Penyalahgunaan UDP ( User Datagram Protocol ) ...................................................... 68 2.8.1.4 Penyalahgunaan TCP (Transmission Control Protocol ) ...................................................... 69 2.8.1.5 Penyalahgunaan ICMP (Internet Control Message Protocol ) ......................................... 71
BAB III Metode Penelitian 3.1 Tahapan Penelitian .................................................. 74 3.2 Metode Penelitian .................................................................. 75 3.3 Tahapan Analisis .................................................................... 75 3.4 Alat dan Bahan ....................................................................... 76
BAB IV ANALISIS DAN PEMBAHASAN 4.1 Pemilihan Tipe IDS ................................................................ 77 4.2 Pemilihan Sistem Operasi ...................................................... 79 4.3 Instalasi Ipcop Firewall .......................................................... 80 4.3.1 Snort pada Ipcop Firewall ............................................. 84 4.4 Analisis Network Intrusion Detection System ....................... 87 4.4.1 Skema analisis NIDS ..................................................... 87 4.4.2 Pengujian NIDS ............................................................. 89 4.4.2.1 Skenario pengujian ........................................... 89 4.4.2.2 Pengujian .......................................................... 90 4.4.2.3 Pencegahan Menggunakan Firewall ................. 99 4.4.3 Sebelum dan sesudah sistem pendeteksian berjalan ...... 101 4.4.3 Kesimpulan .................................................................... 105
BAB V PENUTUP 5.1 Kesimpulan .............................................................................. 106 5.2 Saran ........................................................................................ 106 DAFTAR PUSTAKA DAFTAR GAMBAR
Gambar 2.1 Area Network (LAN) 8 Gambar 2.2 Metropolitan Area Network (MAN) 8 Gambar 2.3 Wide Area Network (WAN) 9 Gambar 2.4 Token Bus 10 Gambar 2.5 Token Star 11 Gambar 2.6 Token Ring 11 Gambar 2.7 Token Tree 12 Gambar 2.8 Token Mesh 12 Gambar 2.9 Hub 14 Gambar 2.10 Bridge 15 Gambar 2.11 Switch 15 Gambar 2.12 Repeater 16 Gambar 2.13 Router 16 Gambar 2.14 Network Interface Card (NIC) 17 Gambar 2.15 UTP Cable 18 Gambar 2.16 kabel koaksial 20 Gambar 2.17 kabel Fiber Optic 20 Gambar 2.18 Diagram OSI Layer 23 Gambar 2.19 Sistem IDS Standard 46 Gambar 2.20 Support Snort 48 Gambar 2.21 Snort v 52 Gambar 2.22 Snort v de 52 Gambar 2.23 Proses Deteksi Snort 53 Gambar 2.24 Antara Router dan Firewall 54 Gambar 2.25 Pada DMZ 55 Gambar 2.26 Dibelakang Firewall 55 Gambar 2.27 Dekat Remote Acces Control 56 Gambar 2.28 IPCop Firewall 58 Gambar 2.29 Topologi IPCop Firewall 60 Gambar 2.30 ARP packet Format 64 Gambar 2.31 Ilustrasi ARP Spoofing 67 Gambar 2.32 Overlappig Fragments 68 Gambar 2.33 Ilustrasi UDP flood 69 Gambar 2.34 Ilustrasi Syn Attack 71 Gambar 2.35 Ilustrasi ICMP Flood 72 Gambar 3.1 Workflow Diagram 74 Gambar 4.1 green interface 81 Gambar 4.2 Network Configuration Type 81 Gambar 4.3 Drivers and Card Assignments 82 Gambar 4.4 address settings 82 Gambar 4.5 Password untuk admin 83 Gambar 4.6 Snort Version 84 Gambar 4.7 direktori snort 84 Gambar 4.8 snort rules directory 85 Gambar 4.9 ps-ef|grep snort 85 Gambar 4.10 report snort mode sniffer 87 Gambar 4.11 Skema pengujian NIDS 88 Gambar 4.12 security alert 91 Gambar 4.13 login 91 Gambar 4.14 konfigurasi NIDS 92 Gambar 4.15 status of intrusion detetion system 93 Gambar 4.16 denial of sevice 94 Gambar 4.17 Ping attack 94 Gambar 4.18 hasil port scanning 95 Gambar 4.19 report serangan ping attack 96 Gambar 4.20 report serangan menggunakan tools hacker Inferno 97 Gambar 4.21 report serangan menggunakan Nessus 97 Gambar 4.22 memory usage 98 Gambar 4.23 traffic pada interface 99 Gambar 4.24 Firewall Options 99 Gambar 4.25 ping attack 100 Gambar 4.26 hasil block menggunakan firewall 100 Gambar 4.27 proses CPU 101 Gambar 4.28 network connection 102 Gambar 4.29 K-MAC 103 Gambar 4.30 Adapter Information 103 Gambar 4.31 jangkauan wireless 104 Gambar 4.32 konektifitas 104
DAFTAR TABEL
Tabel 2.1 UTP Category 19 Tabel 2.2 Layer Pada OSI Reference Model 44 Tabel 2.3 Perbandingan IDS dengan IPS 47 Tabel 4.1 perbandingan HIDS dan NIDS 77 Tabel 4.2 perbandingan Sistem Operasi untuk implementasi IDS 79
BAB I PENDAHULUAN
1.1 Latar Belakang Masalah Dalam era teknologi informasi saat ini, hampir seluruh informasi yang penting bagi suatu institusi seperti organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintah maupun individiual (pribadi) dapat diakses oleh para penggunanya dari mana dan kapan saja. Keterbukaan akses tersebut memunculkan berbagai masalah baru antara lain adalah pemeliharaan validitas dan integritas data atau informasi tersebut, jaminan ketersediaan informasi bagi pengguna yang berhak, pencegahan akses informasi dari yang tidak berhak serta pencegahan akses sistem dari yang tidak berhak. Sistem pertahanan terhadap aktivitas gangguan saat ini umumnya dilakukan secara manual oleh para administrator. Hal ini mengakibatkan integritras sistem bergantung pada keterasediaan dan kecepatan administrator dalam me-respons gangguan. Apabila gangguan tersebut berhasil membuat suatu jaringan mengalami malfungsi, administrator tidak dapat lagi melakukan pemulihan sistem dengan cepat. Oleh karena itu dibutuhkan sistem yang dapat menaggulangi ancaman yang mungkin terjadi secara optimal dalam waktu yang cepat. Hal ini akan mempercepat proses penanggulangan gangguan serta pemulihan sistem atau layanan. Salah satu cara yang dapat digunakan untuk menanggulangi atau mengatasi hal tersebut adalah dengan menggunakan Intrusion Detection System (IDS). IDS adalah sistem pendeteksian dan pencegahan penyusup dengan menggunakan suatu perangkat lunak (software) atau perangkat keras (hardware) yang bekerja secara otomatis untuk memonitor keadaan pada jaringan komputer dan dapat menganalisis masalah keamanan jaringan. Dengan keadaan tersebut dalam penulisan ini penulis mengangkat judul ANALISIS SISTEM PENDETEKSIAN DAN PENCEGAHAN PENYUSUP PADA JARINGAN KOMPUTER DENGAN MENGUNAKAN SNORT DAN FIREWALL PADA SISTEM OPERASI DISTRIBUSI LINUX IPCOP FIREWALL.
1.2 Perumusan Masalah Dengan didasari latar belakang masalah tersebut dapat dirumuskan beberapa masalah sebagai berikut: - Bagaimana pola penyerangan yang dilakukan oleh Intruder. - Sejauh mana peranan Intrusion Detection System dan firewall pada keamanan jaringan komputer.
1.3 Batasan Masalah Untuk mencegah meluasnya pembahasan masalah tersebut diatas, maka ruang lingkup masalah akan dibatasi sebagai berikut: - Pengenalan pola penyerangan intruder. - Konfigurasi IPCop Firewall. - Teknik dan Metode Penggunaan Network Intrusion Detection System (NIDS) dan Firewall pada IPCop Firewall.
1.4 Tujuan dan Manfaat 1.4.1 Tujuan - Mengamankan jaringan komputer internal dengan mendeteksi serta mencegah upaya penyusupan dengan merekam paket data yang mencurigakan. - Mengawasi traffic pada jaringan komputer - Memahami Penggunaan IDS dan firewall pada sistem operasi IPCop Firewall - salah satu persyaratan untuk memperoleh gelar Strata-1 pada jurusan tehnik informatika, Fakultas ilmu komputer Universitas Indonusa Esa Unggul 1.4.2 Manfaat - Membuka wawasan baru terhadap metode keamanan jaringan yang dapat di implementasikan. - Sebagai usaha dalam meningkatkan sistem keamanan jaringan komputer.
1.5 Metode Penulisan Metode yang digunakan dalam melakukan analisis adalah: a. Observasi atau pengamatan Pengamatan terhadap issue-issue dan hipotesis-hipotesis yang muncul terhadap masalah keamanan jaringan komputer dan Intrusion Detection System. b. Studi literature Dalam penulisan ini, data-data yang diperlukan didapat dari buku-buku maupun web site yang relevan dengan proses analisis ini. c. Metode analisis Metode ini dilakukan untuk melakukan penelitian terhadap Intrusion Detection System dan firewall dalam keamanan jaringan komputer, menganalisi temuan penelitian tersebut, dan mengidentifikasikan peran serta kapabilitas Intrusion Detection System dan firewall pada keamanan jaringan computer menggunakan IPCop Firewall.
1.6 Sistematika Penulisan Penulisan tugas akhir ini terbagi kedalam 5 bab dengan susunan sebagai berikut: Bab I Pendahuluan Pada bab ini dikemukakan latar belakang, perumusan masalah, batasan masalah, tujuan dan manfaat penelitian, metodologi penelitian, dan sistematika penulisan. Bab II Landasan Teori Pada bab ini dikemukakan dasar-dasar teori yang digunakan sebagai acuan dalam penyusunan tugas akhir. Bab III Metodologi Penelitian Pada bab ini dikemukakan tentang cara dan prosedur dalam melakukan penelitian. Bab IV Analisis dan Pembahasan Pada bab ini dikemukakan hasil analisis dan pembahasan mengenai Intrusion Detection System dan firewall didalam keamanan jaringan komputer menggunakan IPCop Firewall. BAB V Simpulan dan Saran Pada bab ini dikemukakan simpulan yang berkenaan dengan hasil pemecahan masalah yang diperoleh dari penyusunan tugas akhir ini serta beberapa saran untuk pengembangan lebih lanjut.
BAB II LANDASAN TEORI
2.1 Analisis Sistem 2.1.1 Definisi Analisis Analisis adalah suatu kegiatan untuk memahami seluruh informasi yang terdapat pada suatu kasus, mengetahui isu apa yang sedang terjadi, dan memutuskan tindakan apa yang harus segera dilakukan untuk memecahkan masalah. 1
2.1.2 Definisi Sistem Suatu sistem adalah suatu jaringan kerja dari prosedur-prosedur yang saling berhubungan, berkumpul bersama-sama untuk melakukan suatu kegiatan atau untuk menyelesaikan suatu sasaran yang tertentu. 2
2.1.3 Karakteristik Sistem Sistem memiliki karakteristik atau sifat-sifat tertentu 3 ,sebagai berikut : Komponen Sistem Suatu sistem terdiri dari sejumlah komponen yang saling berinteraksi atau dapat dikatakan saling berkerja sama untuk mencapai satu kesatuan, di mana komponen sistem dapat berupa subsistem yang merupakan bagian dari sistem, dan memiliki sifat dari sistem yang menjalankan suatu fungsi tertentu. Batasan Sistem Batasan sistem adalah suatu daerah atau wilayah yang membatasi antara suatu sistem dengan sistem yang lain, termasuk lingkungan di luar
1 http://bondanmanajemen.blogspot.com/200611/membuat-evaluasi-program-puskesmas.html 2 http://www.kamii_yogyakarta.tripod.com/SI.htm, 2007 3 Tata Sutabri (www.google.co.id, 25 januari 2008) sistem, dan batas dari suatu sistem menunjukkan suatu ruang lingkup dari sistem tersebut. Lingkungan Luar Sistem Lingkungan luar sistem adalah segala sesuatu di luar batas dari sistem yang dapat mempengaruhi jalannya operasi di dalam sistem. Lingkungan luar sistem memiliki 2 alternatif, yaitu bersifat menguntungkan apabila energi positif dari sistem dipertahankan dan merugikan apabila lingkungan luar sistem tidak dapat dikendalikan sehingga mengganggu jalannya sistem. Penghubung Sistem Merupakan suatu media penghubung antara satu subsistem dengan subsistem yang lain. Penghubung ini memungkinkan untuk memberikan aliran sumber daya dari satu subsistem ke subsistem lainnya. Output / keluaran dari satu subsistem akan mejadi input / masukan untuk subsistem yang lain sehingga setiap subsistem dapat saling berinteraksi. Masukan Sistem Merupakan suatu energi yang dimasukan ke dalam suatu sistem agar sistem tersebut dapat beroperasi untuk memperoleh output / keluaran. Keluaran Sistem Adalah hasil yang diperoleh dari proses energi yang diolah dan diklasifikasikan untuk menjadi keluaran (output) yang bermanfaat dan sisa pembuangan dapat menjadi masukan pada subsistem yang lain. Pengolahan Sistem Adalah suatu cara / susunan untuk mengolah sistem agar dapat berubah dari masukan (input) menjadi keluaran (output). Sasaran Sistem Sasaran yang ingin dicapai dari suatu sistem sangat menentukan masukan (input) yang dibutuhkan oleh sistem dan keluaran (output) yang dihasilakan oleh sistem. 2.2 Jaringan Komputer 2.2.1 Pengertian Sebuah jaringan komputer biasanya terdiri dari dua buah atau lebih komputer yang saling berhubungan. Keadaan ini didesain untuk memfasilitasi ide sharing resources seperti printer, CD ROM, file, dll. 4
J aringan komputer juga memungkinkan terjadinya komunikasi secara elektronik. Hubungan antara komputer yang satu dengan komputer yang lainnya untuk membentuk suatu jaringan dimungkinkan dengan menggunakan suatu media baik itu berupa kabel maupun media lainnya. Secara umum terdapat 4 jenis jaringan /network yaitu : 1. Local Area Network (LAN) 2. Wide Area Network (WAN) 3. Metropolitan Area Network (MAN) 4. Inter Network.
2.2.2 Jenis Jaringan 2.2.2.1 Local Area Network (LAN). Local area network merupakan jenis dari jaringan komputer yang paling sederhana, jaringan ini tidak terlalu luas umumnya dibatasi oleh suatu lingkungan seperti perkantoran disebuah gedung atau universitas. J arak maksimal antara satu titik komputer dengan yang lainnya hanya 100 meter dan kecepatan transmisi data berkisar dari 10 Mbps sampai 100 Mbps.
4 Tanenbaum, Andrew S., J aringan Komputer Edisi Bahasa Indonesia ( J akarta : pregalindo, 1997 )
Laser printer
Gambar 2.1 Local Area Network (LAN) Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.2.2 Metropolitan Area Network (MAN) Metropolitan Area Network merupakan pembangunan dari Lokal Area Network atau bisa dikatakan sebagai gabungan dari beberapa Lokal Area Network yang ada dan pemanfaatan teknologinya pun hampir sama dengan yang ada di Lokal Area Network. Luas dari Metropolitan Area Network ini biasanya mencakup jaringan antar gedung atau kantor secara sekaligus untuk dapat saling bertukar data.
Gambar 2.2 Metropolitan Area Network (MAN) Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.2.3 Wide Area Network (WAN) J aringan ini merupakan gabungan dua atau lebih LAN. Biasanya WAN telah menggunakan sarana satelit ataupun kabel bawah laut sebagai media transmisinya. Luas jangkauan dapat mencapai 50 km. Kecepatan transmisi pada WAN tergantung pada media transmisi yang digunakan.
Satellite Workstation Workstation Laptop computer
Gambar 2.3 Wide Area Network (WAN) Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.2.4 Inter Network Inter network atau yang lebih dikenal dengan nama Internet merupakan jaringan terbesar yang ada didunia. Internet menjangkau seluruh negara di dunia dengan memanfaatkan media transmisi kabel telepon, satelit, dan media lainnya.
2.2.3 Topologi Jaringan Banyak Topologi yang bisa kita gunakan dalam membangun suatu jaringan. Namun untuk membangun sebuah jaringan lokal (Local Area Network), kita bisa menggunakan topologi topologi berikut : a) Topologi Bus (Token Bus). b) Topologi Bintang (Star / Ethernet). c) Topologi Cincin (Token Ring). d) Topologi Pohon (Tree). e) Topologi Mesh
2.2.3.1 Topologi Bus (Token Bus). Bus mempunyai karakteristik yaitu melalui penggunaan suatu media multi titik.Seluruh stasiun terhubung melalui suatu hardware interface yang tepat yang disebut tap, secara langsung terhubung ke suatu media transmisi linier, atau bus. Operasi full duplex di antara stasiun dan tap memungkinkan data bisa ditransmisikan ke bus dan diterima dari bus tersebut.Transmisi dari suatu stasiun merambat sepanjang media pada dua arah dan mampu diterima oleh seluruh stasiun lainnya.Pada masing masing bus terdapat terminator yang menyerap sinyal dan kemudian mengeluarkannya dari bus.
Ethernet
Gambar 2.4 Token Bus Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.3.2 Topologi Bintang (Token Star) Konfigurasi jaringan star memperlihatkan sebuah pengendali pusat yang berada pada titik tengah yang berfungsi sebagai central joint ke semua terminal. Pada waktu terminal ingin melakukan komunikasi dengan terminal lainnya, pengendali pusat berfungsi sebagai switch yang membuat sirkuit atau patch khusus antara kedua terminal yang ingin berkomunikasi tersebut. 1 2 34 5 6 7 8 9101112 A B 12x 6x 8x 2x 9x 3x 10x 4x 11x 5x 7x 1x Ethernet A 12x 6x 8x 2x 9x 3x 10x 4x 11x 5x 7x 1x C
Gambar 2.5 Token Star Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.3.3 Topologi Cincin (Token Ring) Pada topologi cincin, jaringan terdiri dari serangkaian repeater yang bersama sama dengan jalur ujung ke ujung berada di dalam suatu loop tertutup.Repeater merupakan suatu perangkat komparatif sederhana, yang mampu menerima data pada salah satu jalur dan kemudian mentransmisikannya, bit demi bit, pada jalur lainnya secepat mereka menerima.Jalurnya bersifat unidireksional, maksudnya, data hanya ditransmisikan dalam satu arah, sehingga data tersebut memutari cincin dalam satu arah (searah jarum jam atau berlawanan dengan arah jarum jam). Masing masing stasiun terhubung ke jaringan pada repeater dan mampu mentransmisikan data pada jaringan melalui repeater tersebut.
Gambar 2.6 Token Ring Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.3.4 Topologi Tree (Token Tree) Topologi ini merupakan perpaduan topologi bus dan topologi star dimana topologi ini terdiri dari kelompok-kelompok sub jaringan bertopologi star yang terhubung ke media utama yang bertopologi bus.
Gambar 2.7 Token Tree Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.3.5 Topologi Mesh Topologi ini menggunakan media sendiri-sendiri antar satu node dengan node lain dan masing-masing node dihubungkan dengan seluruh node yang ada dalam jaringan. Topologi ini biasa digunakan pada komunikasi saluran telepon.
Gambar 2.8 Token Mesh Sumber : www.ilmukomputer.com (25 Desember 2007 ) 2.2.4 Komponen Jaringan Perangkat sistem jaringan meliputi media transmisi secara fisik untuk menghubungkan beberapa komponen jaringan (hub, switch, router, dll) berupa peralatan input output, peralatan pemrosesan media penyimpanan, dan peralatan fisik lainnya yang dapat digunakan untuk mendukung kerja jaringan computer 2.2.4.1 Personal Computer (PC) Tipe personal komputer yang digunakan di dalam jaringan akan sangat menentukan unjuk kerja dari jaringan tersebut. Komputer dengan unjuk kerja tinggi akan mampu mengirim dan mengakses data dalam jaringan dengan cepat. Server Server adalah komputer yang berada pada sutau jaringan dimana komputer ini mempunyai banyak fungsi sebagai berikut : 1. Penyedia jasa bagi perangkat yang terkoneksi dalam jaringan . 2. Menentukan hak akses bagi client untuk mengakses resource yang tersedia dalam jaringan. 3. mengatur dan mengawasi kegiatan dalam jaringan.
Workstation / Client Semua komputer/host yang terhubung dalam jaringan selain server disebut dengan client dimana masing- masing client mempunyai komponen input output (keyboard, mouse, monitor) dan Central Processing Unit (CPU) untuk mengolah input dan menghasilkan output dari input yang dimasukan.
2.2.4.2 Hub Hub merupakan sebuah perangkat yang menyatukan berbagai kabel-kabel network dari tiap-tiap host/komputer , server, dan perangkat lain dalam jaringan. Hub sering juga disebut multiport repeater. Hub sering dipertimbangkan untuk dipakai dalam jaringan karena hub dapat membuat koneksi terpusat pada jaringan dan meningkatkan reliabilitas jaringan. Hub juga disebut sebagai share device karena jika hub tersebut mempunyai kemampuan transmisi data sebesar 100 Mbps dan mempunyai 10 port misalnya maka masing masing port hanya mempunyai kecepatan transmisi data 10 Mbps, hub akan membagi rata untuk semua port yang ada. Hub bekerja pada Physical Layer pada 7 model referensi OSI.
Gambar 2.9 Hub Sumber : www.ilmukomputer.com (25 Desember 2007 ) 2.2.4.3 Bridge Bridge digunakan untuk mengsegmentasi jaringan menjadi dua buah segmen jaringan. J ika sebuah jaringan menggunakan bridge untuk membuat segmentasi maka masing-masing jaringan yang tersegmentasi mempunyai masing-masing satu collision domain. Bridge bekerja pada Datalink Layer pada 7 model referensi OSI.
Gambar 2.10 Bridge Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.4.4 Switch Switch mempunyai fungsi yang sama dengan hub hanya saja switch mempunyai beberapa keunggulan dibandingkan dengan hub yakni switch tidak membagi sama rata kecepatan transmisi datanya pada masing-masing port. J ika switch tersebut mempunyai kecepatan transfer data sebesar 100 Mbps dan terdapat 12 port, maka masing- masing port juga mempunyai kecepatan transfer data sebesar 100 Mbps. Satu lagi keunggulan switch dibanding alat-alat sejenis yakni switch dapat membuat collision domain untuk masing-masing port yang terhubung padanya. Switch bekerja pada Datalink Layer pada 7 model referensi OSI.
Gambar 2.11 Switch Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.4.5 Repeater Repeater merupakan alat yang digunakan untuk menguatkan kembali sinyal transmisi data jika terdapat perangkat jaringan yang berada diluar jangkauan media sehingga sinyal yang dikirimkan akan melemah bahkan rusak.
Gambar 2.12 Repeater Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.4.6 Router Router adalah microcomputer yang mempunyai lebih dari satu buah NIC. Router juga digunakan untuk mentransmisikan data dari suatu jaringan lokal ke jaringan luar. Router hampir sama seperti bridge hanya router lebih pintar karena dapat mem-filter packet data yang keluar dan masuk. Router terdiri dari dua macam yaitu PC router dan Hardware router. PC router mempunyai sistem operasi network yang built-in dengan sistem operasi PC sedangkan hardware router hanya terdapat processor didalamnya dan menggunakan Internet Operating System (IOS).
Gambar 2.13 Router Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.4.7 Network Interface Card (NIC) NIC (Network Interface Card) adalah suatu hardware berupa electric card yang terpasang pada slot motherboard komputer yang terhubung pada jaringan. NIC terdiri dari RAM, ROM, dan Tranceiver (Transmitter & Receiver). RAM digunakan sebagai buffer dan terdapat flow control supaya data yang ditampung pada buffer tidak terlalu berlebihan. Pada ROM terdapat access method dan code (MAC Address) yang burn-in. Tranceiver digunakan sebagai alat transmisi dan receiver data dari dan ke komputer.
Gambar 2.14 Network Interface Card (NIC) Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.4.8 Kabel Kabel yang digunakan sebagai media transmisi tentu tidak sembarangan, tetapi banyak sekali jenisnya dan setiap jenis kabel berpengaruh terhadap kualitas transmisi yang dilakukan. Adapun jenis-jenis kabel tersebut adalah : Twisted Pair Kabel ini terbuat dari tembaga yang terpilin (twisted) bersama dalam satu pasang (pair). Sebuah kabel bisa terdiri dari dua hingga delapan pasang kabel. Kabel ini terbagi menjadi dua jenis yaitu Shielded dan Unshielded. Shielded Twisted Pair (STP) memiliki lapisan tembaga dan foil disekeliling kabel dalam bungkus plastik untuk melindunginya dari sinyal listrik yang berlebihan. Kabel ini relatif lebih mahal dan lebih sulit mengkonfigurasinya karena lebih berat dan kurang fleksibel. Unshielded Twisted Pair (UTP) merupakan kabel yang paling populer digunakan dalam jaringan karena lebih murah dan mudah mengkonfigurasinya. Baik kabel STP maupun UTP menggunakan konektor RJ -45.
Gambar 2.15 UTP Cable Sumber : www.ilmukomputer.com (25 Desember 2007 )
Kabel ini memiliki kategori kategori seperti yang tertera pada table dibawah ini :
Tabel 2.1 UTP Category Kategori Aplikasi Category 1 Untuk komunikasi suara dan digunakan untuk kabel telepon dirumah-rumah. Category 2 Terdiri dari 4 pasang kabel twisted pair dan dapat digunakan untuk komunikasi data sampai 4 Mbps Category 3 Dapat digunakan untuk transmisi data sampai 10 Mbps dan digunakan untuk Ethernet dan TokenRing. Category 4 Sama dengan category 3 tapi dengan kecepatan transmisi sampai 16 Mbps Category 5 Dapat digunakan pada kecepatan transmisi sampai 100 Mbps, biasa digunakan untuk Fast Ethernet (100 Base).
Sumber : Dony Ariyus (Intrusion Detection System, 2007)
Coaxial Cable (10Base2) Media ini paling banyak digunakan sebagai media LAN, meskipun mahal kabel ini memiliki bndwith yang lebar sehingga bisa digunakan untuk komunikasi broadband. Dapat menjangkau jarak 500 m bahkan 2500 m dengan menggunakan repeater. Kabel jenis ini proses pemasangannya menggunakan konector BNC, pada jaringan ini untuk menyambung ke masing-masing komputer menggunakan konektor T (T- connector) dan setiap ujungnya menggunakan terminator atau penutup jika tidak menggunakan Hub.
Gambar 2.16 kabel koaksial Sumber : www.ilmukomputer.com (25 Desember 2007 )
Fiber Optic Kabel fiber optic (serat optic) mempunyai kemampuan mentransmisi sinyal melewati jarak yang jauh dari pada kabel koaksial maupun kabel twisted pair, juga mempunyai kecepatan yang baik. Hal ini sangat baik digunakan ketika digunakan untuk fasilitas konferensi Radio atau layanan interaktif. 10baseF adalah merujuk ke spesifikasi untuk kabel fiber optic dengan membawa sinyal ethernet.
Gambar 2.17 kabel Fiber Optic Sumber : www.ilmukomputer.com (25 Desember 2007 )
2.2.5 Protokol Protokol merupakan suatu aturan main yang harus diikuti untuk menjamin keberlangsungan suatu kejadian dalam hal ini merupakan suatu bahasa yang terstandarisasi untuk komunikasi dalam jaringan maupun antar jaringan. Protokol ini terdapat bermacam-macam jenis yang dikenal secara luas, yakni : 1. Novell Merupakan network operating system yang dirancang untuk mengkaitkan PC ke dalam jaringan yang dapat memungkinkan media storage (hardisk) dari server atau client yang ada menjadi transparan bagi satu dengan yang lain. 2. TCP/IP Transmission Control Protocol/Internet Protocol (TCP/IP) merupakan standart protocol dalam jaringan Internet yang compatible dengan semua platform. Dengan TCP/IP interaksi antara satu komputer dengan komputer lainnya dapat terjadi tanpa dibatasi satu platform tertentu. Protokol ini merupakan hasil pengembangan DoD (Department of Defence) Amerika Serikat. Protokol ini terdiri dari 2 jenis utama protocol yakni : Host-to-Host Transport Protocol - Transmision Control Protocol (TCP) - User Datagram Protocol (UDP) Internet Layer Protocol - Internet Protocol (IP) - Address Resolution Protocol (ARP) - Reverse Address Resolution Protocol (RARP) - Internet Control Message Protocol (ICMP)
Lainnya - Telnet - File Transfer Protocol (FTP) - Trivial File Transfer Protocol (TFTP) - Network File System (NFS) - Simple Mail Transfer Protocol (SMTP) - Line Printer Daemon (LPD) - Simple Network Managemen Protocol (SNMP) - Boostrap Protocol (BootP) 3. IPX/SPX IPX/SPX merupakan protocol standar untuk jaringan Novell (Netware) untuk mengatasi masalah internetworking pada jaringan PC yang menggunakan Novell. Pada prakteknya IPX dijalankan berkaitan dengan TCP karena lebih menguntungkan.
4. Protokol Komunikasi peer to peer Protokol ini antara lain diimplementasikan pada Windows for Workgroup.
2.2.6 OSI Layer Pada tahun-tahun awal penggunaan jaringan komputer, masing- masing vendor (perusahaan) besar seperti IBM, Digital Equipment, & Honeywell memiliki standardisasi sendiri untuk menghubungkan komputer. Artinya komunikasi antar komputer hanya bisa dilakukan pada protokol yang sama yang diciptakan dari vendor yang sama. J adi komunikasi tidak akan terjadi pada protokol yang berbeda. Komunikasi data tidaklah flexible. Task-task komunikasi pada vendor-vendor besar sangatlah kompleks. Maka, dibutuhkanlah suatu standard dari vendor, user dan badan standard untuk membuat suatu standar arsitektur yang dapat mengijinkan pertukaran informasi walaupun antar protokol dan sistem komputer menggunakan software dan peralatan dari vendor yang berbeda. Sehingga proses pertukaran informasi dapat flexible. Berdasarkan hal ini ISO pada tahun 1977 membentuk suatu subkomite untuk mengembangkan semacam arsitektur. Hasilnya adalah model referensi OSI (Open System Interconnection). Hal-hal yang dipersatukan oleh ISO OSI model : a) Desain untuk menetapkan komunikasi data yang mempromosikan multivendor interoperability. b) Terdiri dari 7 layer, dengan sebuah set spesifikasi fungsi jaringan yang dialokasikan pada tiap layer dan penunjuk untuk implementasi dari interface antar layer. c) Menspesifikasikan set dari protokol dan interface untuk implementasi di tiap layer. Diagram OSI Layer :
Gambar 2.18 Diagram OSI Layer Sumber : Dede Sopandi (Instalasi dan Konfigurasi Jaringan Komputer, 2005) Physical Layer Physical Layer Berfungsi untuk menentukan karakteristik dari kabel yang digunakan untuk menghubungkan komputer dengan jaringan. Selain itu berfungsi untuk mentransfer dan menentukan cara bit-bit dikodekan, menangani interkoneksi fisik (kabel), mekanikal, elektrikal, prosedural yaitu dimana kabel, konektor dan spesifikasi pensinyalan didefinisikan.
Datalink Layer Layer ini bertugas menentukan protokol untuk pertukaran frame data yang lewat melalui kabel. Layer ini berperan dalam pengambilan dan pelepasan paket data dari dan ke kabel, deteksi, dan koreksi kesalahan, serta pengiriman ulang data.
Data Link Layer terdiri atas dua sublayer : 1. LLC ( Logical Link Control ) Melakukan pemeriksaan kesalahan dan menangani transmisi frame. Setiap frame merupakan sebuah paket daya dan nomor urut yang digunakan untuk memastikan pengiriman dan sebuah checksum untuk melacak data yang korup. 2. MAC ( Media Access Control ) Berurusan dengan mengambil dan melepaskan data dari dan ke kabel, menentukan protokol untuk akses ke kabel yang di-share di dalam sebuah LAN.
Network Layer Network Layer bertanggung jawab untuk merutekan paket ke tujuan yang seharusnya. Selain itu layer ini juga mengendalian operasi subnet dan mengatasi semua masalah yang ada pada jaringan sehingga memungkinkan jaringan-jaringan yang berbeda bisa saling berkoneksi.
Transport Layer Transport layer berfungsi untuk menerima data dari session layer, kemudian memecah data menjadi bagian-bagian yang lebih kecil, meneruskan data ke network layer dan menjamin semua potongan data tersebut bisa tiba di sisi penerima dengan benar. Transport layer juga mementukan jenis layanan untuk session layer dan pada gilirannya menyediakan jenis layanan bagi para pemakai jaringan termasuk user lokal. Transport Layer juga menyediakan koneksi end to end (ujung ke ujung) diantara komputer-komputer. Layer ini juga memastikan ketiga layer terendah bekerja dengan serta menyediakan aliran data yang transparan dan logis antara end user dengan jaringan yang dipilihnya. Selain itu juga bertugas untuk menciptakan frame, memisahkannya dan menggabungkannya kembali.
Session Layer Session layer mengijinkan para pengguna untuk menetapkan session dengan pengguna lainnya. Sebuah session selain memungkinkan transport data biasa, seperti yang dilakukan oleh transport layer, juga menyediakan layanan yang istimewauntuk aplikasi-aplikasi tertentu. Session layer juga diperlukan untuk kendali dialog antar proses yang menentukan penanganan komunikasi dua arah dan pengujian paket yang keluar dari urutannya.
Presentation Layer Fungsi dari lapisan ini adalah melakukan terjemahan struktur data diantara berbagai arsitektur, perbedaan dalam representasi data dikelola di tingkat ini. Selain itu juga layer ini melakukan kompresi data, enkripsi dan dekripsi serta konversi format data misal dari EBCDIC ke ASCII.
Application Layer Application layer terdiri dari bermacam-macam protokol. Application layer berfungsi untuk menyediakan akses tingkat aplkasi ke jaringan . Transfer terminal remote dan elemen lain dari jaringan, aktivitas yang dilakukan seperti akses dan transfer file.
2.3 Pengertian Security System Security sistem merupakan sebuah konsep dimana suatu sistem komputer dilindungi sedemikian rupa untuk menghindari gangguan-gangguan internal maupun eksternal yang bersifat destruktif (baik pada sistem operasi maupun sistem jaringan) yang dapat mengakibatkan sistem berjalan lambat, mengurangi bandwidth, kebocoran data, dan bahkan menghancurkan perangkat keras.
2.3.1 Aspek Dasar Keamanan Sistem Dalam perencanaan keamanan sistem yang baik hendaknya memperhatikan 4 aspek dasar keamanan sistem yang sangat fundamental bagi jaringan. Keempat aspek tersebut adalah Privacy/Confidentialy, Integrity, Authentication, dan Availability. 5
2.3.1.1 Privacy/Confidentialy Konsep privacy/confidentialy pada sistem informasi jaringan merupakan usaha untuk mencegah akses terhadap informasi-informasi yang tidak seharusnya diakses oleh yang tidak berkepentingan. Konsep privacy lebih mengarah kepada data-data yang bersifat private sedangkan confidentiality cenderung mengarah kepada kerahasiaan data-data yang yang saling berkomunikasi. Kebocoran pada konsep ini dapat berakibat kepada bocornya informasi-informasi rahasia perusahaan. Adapun berbagai elemen komunikasi yang digunakan untuk memastikan konsep ini adalah : o Network Security Protocol o Data Encryption Service
2.3.1.2 Integrity Konsep integrity memastikan bahwa modifikasi data tidak dilakukan oleh user yang tidak memiliki izin untuk mengakses data dan tidak berwenang melakukan modifikasi data, modifikasi data yang tidak diperbolehkan dilakukan oleh user bahkan oleh user yang memiliki akses terhadap data, data konsisten baik secara internal maupun eksternal. Kebocoran pada konsep ini
5 Agus Fanar Syukuri, Masa Depan Sekuriti Informasi (jakarta : www.ilmukomputer.com,2003) dapat menyebabkan pihak lain diluar sistem jaringan dapat merubah informasi-infornmsi yang krusial bagi perusahaan. Adapun beberapa elemen yang digunakan untuk memastikan konsep ini adalah : Firewall Service Communication Security Management Intrusion Detection Service
2.3.1.3 Authentication Konsep authentication merupakan suatu metode atau cara yang diterapkan untuk memvalidasi terhadap keaslian data maupun user yang mengakses jaringan, apakah data maupun user yang dimaksud terdaftar dalam sistem jaringan. Kebocoran pada konsep ini dapat menyebabkan terbaginya atau terekploitasinya resource dalam jaringan internal perusahaan oleh user yang tidak terdaftar dalam jaringan. Adapun elemen untuk memastikan konsep ini adalah Network Authentication Service.
2.3.1.4 Availability Konsep availability memastikan bahwa akses terhadap data-data yang dilakukan oleh user yang berwenang dapat dilakukan secara reliable dan terjadi pada saat itu juga. Dengan kata lain konsep ini memastikan bahwa sistem selalu siap dan berjalan ketika dibutuhkan. Kebocoran pada konsep ini menyebabkan kegagalan sistem jaringan (down) yang dapat mengakibatkan menurunnya kinerja elemen-elemen dalam perusahaan. Adapun elemen-elemen untuk memastikan konsep ini adalah :
Backup Service Log History System
2.3.2 Security Sistem Jaringan Security sistem jaringan merrupakan suatu konsep perlindungan sistem jaringan yang dirancang sedemikian rupa sehingga dapat melindungi sistem jaringan dari gangguan baik dari internal maupun eksternal sistem jaringan 6 . Perlindungan ini mencakup perlindungan dari gangguan yang bersifat destruktif yang dapat mengakibatkan melambatnya proses, pengurangan bandwidth, kebocoran data, dan bahkan penghancuran perangkat keras. Berikut ini merupakan tipe-tipe security sistem jaringan, yakni : 1. Personal Security 2. Network Security
2.3.2.1 Tipe Tipe Security Dalam security sistem jaringan terdapat dua tipe utama security jaringan yaitu Personal Security dan Network Security. Masing-masing tipe mempunyai peran tersendiri didalam security sistem jaringan. 2.3.2.1.1 Personal Security Personal Security adalah konsep security sistem jaringan dimana konsep ini berusaha untuk memproteksi dirinya sendiri dari serangan-serangan yang muncul ketika sedang online di Internet. Serangan-serangan yang paling sering ditujukan pada personal security ini adalah Local Attack, Console Attack, dan Hacker Attack. Serangan-
6 Agus Fanar Syukuri. op ci, hal 56. serangan ini merupakan usaha-usaha pihak tertentu (hacker) untuk memasuki sistem secara illegal karena tidak mempunyai hak akses Bahaya lain yang dapat mengancam Personal Security adalah virus. Virus ini biasanya di- package bersama dengan sebuah program yang mungkin di- download dari Internet. Untuk itu diperlukan suatu antivirus untuk mendeteksi virus ini sehingga keberadaan virus dapat diketahui dan dapat mencegah penyebaran virus dari suatu komputer ke komputer lain dalam jaringan.
2.3.2.1.2 Network Security Network Security adalah konsep security sistem jaringan dimana perlindungan sistem difokuskan pada keamanan jaringan komputer yang ada. Disini segala usaha untuk memproteksi jaringan dari serangan-serangan yang bersifat destruktif dilakukan. Pada umumnya teknologi jaringan dibagi menjadi dua, yaitu : 1. Guided Pada teknologi ini penyebaran sinyal atau transmisi data menggunakan sinyal terarah seperti menggunakan media kabel. 2. Unguided Pada teknologi ini penyebaran sinyal atau transmisi data dilakukan secara broadcast atau menyebar seperti menggunakan media gelombang radio, wireless, infrared, Bluetooth, dsb. Serangan-serangan dari teknologi-teknologi ini dapat mengancam security jaringan. Serangan-serangan yang umum dilakukan adalah sniffing, hijacking, exploit, spoofing, dan lainnya yang tentu saja dapat menyebabkan kebocoran data.
2.3.2.2 Threats / ancaman Threats/ancaman yang ada pada suatu security sistem dapat berupa :
1. Accidental Loss Accidental Loss merupakan suatu kelalaian yang tidak disengaja yang menyebabkan sesuatu yang bersifat destruktif bagi sistem. Contoh : kesalahan dalam meng-input, kesalahan transaction process. 2. Inappropriate Activities Inappropriate activities merupakan suatu perilaku dalam komputer yang walaupun belum sampai pada tahap kriminal namun dapat mengganggu sistem maupun bisnis perusahaan. Contoh : Inappropriate content, yakni menyimpan konten-konten yang dilarang pada sistem informasi perusahaan, mengindukan sistem informasi perusahaan pribadi pada sistem informasi perusahaan, dll. 3. Illegal Computer Operation and Intention Attack Illegal computer operation dan Intentional Attack merupakan suatu perilaku dalam komputer yang telah sampai pada tahap tindakan kriminal. Contoh : Eavesdropping, Fraud, Sabotase, Pencurian.
2.3.2.3 Vulnerabilities / Serangan Serangan-serangan pada sistem dapat bermacam-macam bentuknya dan kesemuanya dapat pula berasal dari threats/ancaman- ancaman yang ada pada point diatas. Secara umum terdapat beberapa serangan yang sering diterapkan pada suatu sistem yakni : 1. Packet Sniffer Packet Sniffer adalah suatu cara mencuri data dari paket-paket yang dikirimkan melalui protokol apa saja. Cara ini dilakukan dengan mengambil paket-paket data yang sedang melewati jaringan lalu di-decode oleh pencuri karena data-data yang ditangkap menggunakan bahasa tingkat rendah hampir mendekati bahasa mesin.. 2. Denial of Service DoS merupakan suatu serangan yang melumpuhkan servis - servis yang dapat diberikan komputer sehingga kinerja sistem menjadi tidak maksimal karena resource- resource yang ada tidak dapat didayagunakan sistem. Berikut merupakan penyebab terjadinya DoS : Penyebaran virus Device yang memproteksi jaringan rusak J aringan kebanjiran traffic Partisi jaringan dengan cara membuat komponen jaringan Tipe tipe DoS adalah : Buffer Overlow attack SYN Attack Terdrop Smurf 3. Mailicious Code Malicious code merupakan suatu program yang dibuat sedemikian rupa sehingga jika program tersebut dieksekusi maka dapat menyebabkan sesuatu yang tidak diinginkan dalam sistem umumnya bersifat destruktif bagi sistem. Contoh malicious code adalah worm. Worm dapat menduplikasi diri dan menyebar ke seluruh sistem tanapa interferensi user setelah program itu dijalankan. Contoh lain malicious code adalah virus. Virus dapat menduplikasi dirinya dan dapat menyebar kedalam sistem dengan interferensi dari user. Malicious code dapat menyebabkan timbulnya DoS, kerusakan sistem, dan bahkan menghancurkan perangkat keras. Ancaman malicious code merupakan ancaman yang paling sering dijumpai. 4. Probe Probe merupakan suatu usaha-usaha yang dilakukan untuk memperoleh akses kedalam suatu sistem jaringan. Biasanya ini digunakan untuk memetakan jaringan yang ingin diserang. Melalui itu segala service-service yang tersedia dalam jaringan dapat diketahui 5. Scan Metode probe yang paling sering digunakan adalah scan. Cara ini dilakukan dengan melakukan pemeriksaan terhadap lubang-lubang yang terbuka dalam jaringan sehingga hacker dapat melakukan penetrasi kedalam jaringan. Salah satu lubang yang paling diincar adalah port.
2.3.2.4 Pengenalan Firewall Dalam terminologi internet, istilah firewall didefinisikan sebagai sebuah titik diantara dua/lebih jaringan dimana semua lalu lintas (traffic) harus melaluinya (chooke point), trafik dapat dikendalikan oleh dan diautentifikasi melalui sautu perangkat, dan seluruh traffic selalu dalam kondisi tercatat (logged). Dengan kata lain, firewall adalah penghalang (barrier) antara kita dan mereka dengan nilai yang diatur (arbitrary). 7
2.3.2.4.1 Fungsi Firewall Terdapat 4 fungsi firewall dalam keamanan sistem jaringan dimana 3 poin pertama masih dalam konteks dimana komunikasi antara server dan client secara langsung. 8 Keempat fungsi tersebut adalah : 1. Static packet filtering Firewall mem-filter paket paket berupa : IP address Port Flag 2. Dynamic packet filtering Pada dynamic packet filtering firewall akan membuat suatu list koneksi yang mencatat log-log yang nantinya akan diperiksa untuk memvalidasi hak akses. Kelemahan sistem ini adalah user harus selalu melakukan login untuk membuka sesi padahal ketika login user harus
7 Chesswick, W & Bellovin, S., 1994 8 Ahmad Muammar W. K. Firewall(J akarta:www.ilmukomputer.com, 2004)
memasukan username dan password. Untuk menanggulanginya digunakan poin berikut (poin 3). 3. State Full Filtering Untuk menanggulangi kelemahan pada dynamic packet filtering maka firewall tidak membuat list koneksi melainkan list aplikasi.
4. Proxy Pada fungsi terakhir ini komunikasi antara server dan client tidak dilakukan secara langsung tetapi melewati proxy server.
2.3.2.4.2 Jenis Firewall Firewall terdiri dari 3 jenis berdasarkan fisiknya yaitu : 1. Embeded Firewall Pada jenis ini firewall menjadi satu dengan perangkat lain. Ada dua kemungkinan yaitu embeded dengan router atau embeded dengan switch. Pada umumnya harga embedded firewall lebih mahal. 2. Hardware Firewall Pada jenis ini firewall merupakan suatu hardware yang khusus dibuat menjadi firewall. Suatu PC biasa dapat dijadikan hardware firewall namun perlu dipertimbangkan komponen-komponen yang digunakan untuk membuat hardware firewall ini. Contohnya jangan gunakan sistem operasi windows untuk memprogram firewall. 3. Software Firewall Pada jenis ini firewall berupa suatu perangkat lunak yang dapat diinstalasikan pada lingkungan sistem jaringan. Firewall jenis ini merupakan firewall yang paling banyak digunakan dan harganya lebih murah dibandingkan jenis firewall yang lain.
2.3.2.4.3 Teknik yang digunakan Firewall Terdapat beberapa teknik yang digunakan firewall, namun pada dasarnya teknik-teknik yang digunakan ini berpedoman pada access control list yang merupakan bagian dari policy yang ditentukan top management. Berikut merupakan teknik-teknik yang digunakan dalam jaringan : 1. Service Control Teknik ini ditekankan pada tipe-tipe layanan yang dapat dan yang tidak dapat digunakan baik kedalam maupun keluar firewall. Biasanya firewall akan memeriksa IP address dan nomor port yang digunakan pada protocol TCP ataupun UDP. 2. Direction Control Teknik ini ditekankan pada arah traffic dari permintaan layanan yang akan dikenali dan diijinkan melewati firewall baik inbound maupun outbound. 3. Behaviour Control Teknik ini ditekankan pada perilaku mengenai seberapa banyak suatu layanan telah digunakan. 4. User Control Teknik ini ditekankan pada user untuk dapat meminta dan menjalankan suatu layanan dimana terdapat user yang boleh dan tidak boleh meminta dan menjalankan layanan tersebut. Teknik ini biasanya digunakan untuk membatasi user jaringan lokal untuk mengakses keluar. 5. Host Control Teknik ini ditekankan pada host untuk dapat meminta dan menjalankan suatu layanan dimana terdapat host yang boleh dan tidak boleh meminta dan menjalankan layanan tersebut. 6. Time Control Teknik ini ditekankan pada waktu dimana suatu layanan dapat diminta dan dijalankan. Teknik ini digunakan untuk mencegah terjadinya akses keluar disaat yang tidak diijinkan misalkan pada saat jamkerja, dsb. 7. Transmission Line Control Teknik ini ditekankan pada jalur transmisi yang digunakan sistem. J alur transmisi ini dapat berupa private maupun public transmission line.
2.4 Intrusion Detection System Intrusion Detection system (IDS) adalah sistem pencegahan penyusup dengan menggunakan suatu perangkat lunak (software) atau perangkat keras (hardware) yang bekerja secara otomatis untuk memonitor keadaan pada jaringan komputer dan dapat menganalisis masalah keamanan jaringan. 9
Intrusion Detection system (IDS) dapat didefinisikan sebagai tools, metode, sumber daya yang memberikan bantuan untuk melakukan identifikasi, memberikan laporan terhadap aktifitas jaingan komputer. Kemampuan dari IDS adalah memberikan peringatan kepada administrator server saat terjadinya sebuah aktivitas tertentu yang tidak diinginkan administrator sebagai penanggung jawab sebuah sistem, selain meberikan peringatan, IDS juga mampu melacak aktivitas yang merugikan sebuah sistem. Suatu IDS dapat melakukan pengamatan (monitoring) terhadap paket paket yang melawati jaringan dan berusaha menemukan apakah terdapat paket paket yang berisi aktivitas aktivitas mencuruigakan.
2.4.1 Fungsi Intrusion Detection system (IDS) Intrusion Detection system (IDS) berfungsi melakukan pengamatan (monitoring) kegiatan kegiatan yang tidak lazim pada jaringan sehingga awal dari langkah para penyerang bisa diketahui. Dengan demikian administrator bisa melakukan tindakan pencegahan dan bersiap atas kemungkinan yang akan terjadi. 10 Ada beberapa alasan untuk memperoleh dan menggunakan intrusion detection system, diantaranya adalah : 1. Mencegah resiko keamanan yang terus meningkat, karena banyak ditemukan kegiatan ilegal yang diperbuat oleh orang orang yang tidak bertanggung jawab. 2. Mendeteksi serangan dan pelanggaran keamanan sistem jaringan yang tidak bisa dicegah oleh sistem yang umum dipakai, seperti firewall. 3. Mendeteksi serangan awal (biasanya network probe dan aktifitas doorknob ratting). Penyerang yang akan menyerang
10 Dony Ariyus M.Kom. op ci, hal 25. biasanya melakukan langkah langkah awal yang dapat diketahui oleh IDS. 4. Mengamanakan file yang keluar dari jaringan. 5. Sebagai pengendali untuk security design dan administrator, terutama bagi perusahaan yang besar. 6. Menyediakan informasi yang akurat terhadapa gangguan secara langsung, meningkatkan diagnosis, recovery dan mengkoreksi faktor faktor penyebab serangan.
2.6.2 Tipe Tipe Intrusion Detection System Pembagian jenis jenis IDS yang ada pada saat sekarang ini didasarkan atas beberapa terminologi, diantaranya : 1. Arsitektur sistem Dibedakan menurut komponen fungsional IDS, bagaimana diatur satu sama lainnya. Host-Target Co-Location IDS yang dijalankan pada sistem yang akan dilindungi. Host-Target Separation IDS ini diletakan pada komputer yang berbeda dengan komputer yang dilindungi. 2. Tujuan sistem Ada 2 bagian tujuan intrusion detection system, diantaranya :
Tanggung jawab Adalah kemampuan untuk menghubungkan suatu kegiatan dan kejadian dan bertanggung jawab terhadap semua kejadian. Respons Suatu kemampuan untuk mengendalikan aktivitas yang merugikan dalam suatu sistem komputer. J ika terjadi serangan maka harus mampu menghalangi atau mengendalikan serangan tersebut. 3. Strategi Pengendalian IDS dibedakan menurut bagaimana IDS IDS yang ada dikendalikan, baik input msupun output. J enis jenis IDS menurut terminologiini adalah :
Terpusat Seluruh kendali ada pada IDS, baik monitoring, deteksi, dan pelaporannya dikendalikan secara terpusat. Terdistribusi parsial Monitoring dan deteksi dikendalikan dari node local dengan hierarki pelaporan pada satu atau beberapa pusat lokasi. Terdistribusi total Monitoring dan deteksi menggunakan pendekatan berbasis agen, dimana keputusan respon dibuat pada kode analisis. 4. Waktu Waktu dalam hal ini berarti waktu pada kejadian, baik monitoring maupun analisis. J enisnya adalah :
Interval-Based (Batch Mode) Informasi dikumpulkan terlebih dahulu dan kemudian dievalusai menurut iterval waktu yang telah ditentukan. Realtime (Continues) IDS memperoleh data secara terus menerus dan dapat mengetahjui bahwa penyerangan sedang terjadisehingga secara cepat dapat melakukan respons terhadap penyerangan. 5. Sumber Informasi Host-Based IDS memperoleh dari sebuah sistem komputer. Host- Based IDS memperoleh informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Data Host-Based IDS biasanya berupa log yang dihasilkan dengan memonitor sistem file, event dan kemamanan pada Windows NT dan syslog pada lingkungan sistem operasi UNIX. Saat terjadi perubahan pada log tersebut dilakukan analisis apakah sama dengan pola serangan yang ada pada basis data IDS. Teknik yang sering digunakan pada host-based IDS adalah dengan melakukan pengecekan pada kunci file sistem dan file eksekusi dengan checksum pada interval waktu untuk mendapatkan perubahan yang tidak diharapkan (unexpected changes). Kelebihan host-based IDS : o Menguji keberhasilan atau kegagalan serangan. o Memonitor aktifitas sistem tertentu. o Mendeteksi serangan yang lolos dari network-based IDS. o Cocok untuk lingkungan encrypt dan switch. o Deteksi dan Respons secara real realtime. o Tidak mermelukan perangkat keras tambahan.
Kelemahan Host-Based IDS : o Manajemen yang rumit serta informasi harus dikonfigurasi untuk setiap host yang ada. o Sedikit sumber informasi (dan kadang bagian dari analisis engine) karena host- based berada pada host yang menjadi target suatu serangan. o Host-Based tidak cocok untuk mendeteksi suatu jaringan atau melakukan monitoring terhadap suatu jaringan. o Host-based IDS mengunakan sistem operasi audit sebagai sumber informasi yang akan memberikan ruang tambahan pada hardisk. o Host-based IDS menggunakan sumber daya komputer untuk melakukan monitoring terhadap paket paket yang merugikan sehingga menambah biaya dari pemakaian sumber daya itu sendiri.
Network-Based IDS. IDS memperoleh dari paket paket jaringan yang ada. Network-Based IDS menggunakan raw packet yang ada pada jaringan sebagai sumber datanya. Network-Based IDS menggunakan network adapter sebagai alat untuk menagkap paket paket yang akan dipantau. Network adapter berjalan pada mode prosmicuous untuk memonitor dan melakukan analisis paket paket yang ada yang berjalan di jaringan. Beberapa cara yang digunakan untuk mengenali serangan pada Network-Based IDS, antara lain : a) Pola data, ekspresi atau pencocokan secara bytecode. b) Frekwensi atau pelanggaran ambang batas c) Korelasi yang dekat dengan sebuah event. d) Deteksi anomali secara statistik. Kelebihan Network-Based IDS antara lain : 4. Biaya yang lebih rendah. 5. Deteksi serangan yang tidak dapat terdeteksi oleh host based IDS. 6. Kesulitan bagi penyerang untuk menghapus jejak. 7. Deteksi dan respons secara realtime 8. Deteksi serangan yang gagal dan kecenderungan serangan. 9. tidak tergantung pada sistem operasi. Kekurangan Network-Based IDS adalah : 1. Network-Based IDS sulit untuk memproses semua paket yang besar dan jaringan sibuk. 2. Banyak keuntungan IDS tidak berlaku untuk jaringan yang menggunakan metode switch- based. 3. Network-Based IDS tidak bisa menganalisis paket yang telah terenkripsi. 4. Kebanyakan Network-Based IDS tidak bisa memberitahukan apakah suatu serangan telah berhasil mendapatkan system, hanya dapat memberitahukan bahwa serangan sedang terjadi. 5. Banyak dari Network-Based IDS mempunyai masalah bila berhadapan dengan serangan yang menggunakan paket fragmentasi.
2.6.3 Cara Kerja IDS IDS bekerja pada lapisan jaringan dari OSI model dan sensor jaringan pasif yang secara khusus diposisikan pada choke point pada jaringan metode dari lapisan OSI yang dapat dilihat pada table dibawah ini.
Table 2.2 Layer Pada OSI Reference Model Layer Fungsi Protokol Aplication (User Interface) Lapisan ini digunakan untuk aplikasi seperti HTTP, yang secara khusus berjalan pada jaringan dan mengijinkan ke layanan jaringan. Lapisan ini menangani network DNS, FTP, TFTP, BOOTP, SNMP, RLOGIN, SMTP, MIME, NFS, FINGER, Lanjutan tabel 2.2 transparency, resource allocation dan masalah partitioning.
TELNET, APPC, AFP. Presentation (translation) Lapisan presentasi, membantu menterjemahkan aplikasi dan format jaringan
Nimed pipes, mail slots, RPC, NCP, SMB Session Lapisan sessi, membantu untuk menetapkan, memelihara dan mengakhiri sesi ke seberang jaringan
NetBios Transport Lpisan transport, mengatur kendali arus dari paket antara satu jaringan ke jaringan yang lain.
TCP, ARP, RARP, SPX, NWlink, ATP, NetBEUI Network (addressing; routing) Lapisan jaringan penerjemah alamat ligika yang menjadi alamat fisik dan bertanggung jawab atas pengaturan jaringan seperti switching packet, data dan routing. IP, ARP, RARP, ICMP, RIP, OSFP, IGMP, IPX, NWlink, OSI, DDP, DECnet Data link (data frames to bits) Lapisan data link, berfungsi sebagai peng konversi paket kebentuk bit yang akan dikirim dan menerima bit bit data yang dikonversi kembali kebentuk aslinya. Lapisan ini juga menangani masalah data frame antara jaringan dan lapisan fisik.
Physical Lapisan physical, mentransmisikan bit IEEE 802, IEEE stream pada kabel fisikal atau airwave (jika yang digunakan adalah teknologi wireless), atau juga didefinisikan sebagai kabel, card dan aspek fisik lainnya. 802.2, ISO 2110, ISDN
Sumber : Dony Ariyus (Intrusion Detection System, 2007)
Pada dasar dari IDS, baik pada HIDS dan NIDS adalah mengumpulkan data, melakukan pre-proses, dan mengklasifikasikan data tersebut. Dengan analisis statistik suatu aktivitas yang tidak normal akan bisa dilihat, sehingga IDS bias mencocokan dengan data dan pola yang sudah ada. J ika data dan pola cocok dengan keadaan yang tidak normal maka akan dikirim respons tentang aktivitas tersebut. Hal ini diilustrasikan pada gambar dibawah ini.
Gambar 2.19 SistemIDS Standard Sumber : Dony Ariyus (Intrusion Detection System, 2007) 2.5 Intrusion Prevention System (IPS) Intrusion Prvention System (IPS) merupakan bentuk pengembangan dari IDS. IPS mampu mencegah serangan yang datang dengan bantuan administrator secara minimal atau bahkan tidak sama sekali. 11 Secara logika IPS akan menghalangi suatu serangan sebelum terjadi eksekusi pada memori, metode lain dari IPS adalah dengan membandingkan file checksum yang tidak semestinya dengan file checksum yang semestinya mendapatkan izin untuk di eksekusi dan juga bisa menginterupsi sistem call. Secara khusus IPS memiliki empat komponen utama : Normalisasi traffic Service Scanner Detection engine Traffic Shaper Table 2.3 Perbandingan IDS dengan IPS IDS IPS Install pada segment jaringan (NIDS) dan pada Host (HIDS) Install pada segment J aringan (NIPS) dan pada Host (HIPS) Berada pada jaringan sebagai sistem yang pasif Berada pada jaringan sebagai sistem yang aktif Tidak bisa menguraikan lalu lintas enkripsi Lebih baik untuk melindungi aplikasi Manajemen control terpusat Manajemen control terpusat Baik untuk mendeteksi serangan Ideal untuk mem-blocking perusakan web Alerting (reaktif) Blocking (proaktif)
Sumber : Dony Ariyus M.KomIntrusion Detection System 2007
11 Dony Ariyus M.Kom. op cit, hal 53 2.6 Snort Snort adalah Intrusion Detection System jaringan open source yang mampu menjalankan analisis real-time dan paket logging pada IP network. 12
Snort dapat menjalankan analisis protokol, content searching atau maching, dan dapat digunakan untuk mendeteksi berbagai serangan dan penyusupan. Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup maupun menganalisa paket yang melintasi jaringan computer secar realtime traffic dan logging ke dalam database serta mampu mendeteksi berbagai serangan yang berasal dari luar jaringan. Snort dapat digunakan pada platform sistem operasi Linux, BSD, Solaris, Windows dan sistem operasi lainnya. Snort merupakan suatu intrusion detectiom system yang dipakai oleh banyak orang. www.snort.org menyediakan layanan untuk update rule dan signature, mailing list, forum diskusi, komunitas project dan layanan lain yang memudahkan user untuk mendapatkan informasi.
Gambar 2.20 Support Snort Sumber : www.snort.org (25 november 2007)
12 TomThomas, Network Security first Step (Yogyakarta : Andi, 2004) Snort dapat dioperasikan dengan tiga mode : 1. packet sniffer : untuk melihat paket yang lewat di jaringan. 2. packet logger : untuk mencatat semua paket yang lewat di jaringan untuk dianalisis di kemudian hari. 3. NIDS, deteksi pemyusup pada jaringan : pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer.
2.6.1 Komponen komponen Snort Snort mempunyai enam komponen dasar yang bekerja saling berhubungan satu dengan yang lainnya seperti berikut.
1. Decoder Sesuai dengan paket yang di capture dalam bentuk struktur data dan melakukan indentifikasi protokol, decode IP da kemudian TCP atau UDP tergantung informasi yang dibutuhkan, seperti port number, IP Address. Snort akan memerikan alert jika menemukan suatu paket yang cacat.
2. Preprocessors Pre-processors baru diperkenalkan pada snort versi 1.5, preprocessors Merupakan suatu saringan yang mengindentifikasi berbagai hal yang harus diperiksa seperti detection engine. Pada dasarnya preprocessors berfungsi mengambil paket yang mempunyai potensi yang berbahaya yang kemudian dikirim ke detection engine untuk dikenali polanya. Contohya : HTTPInspect HTTPInspect menggantikan http_decode sebagai preprocessor yang bertabggung jawab untuk meng decode kan lalu lintas http dan mendeteksi lapisan aplikasi serangan eksploit http design atau impelementasi. HTTPInspect mempunyai dua bagian : 1. Global section 2. Server Section
3. Rules Files Merupakan suatu file teks yang berisi daftar aturan yang sintaks- nya sudah diketahui. Sintaks ini meliputi protokol, address, output plug-ins dan hal hal yang berhubungan dengan berbagai hal. Konfigurasi rule pada snort.conf adalah sebagai berikut :
4. Detection Engine Menggunakan detection plug-ins, jika ditemukan paket yang cocok maka snort akan menginisialisasi paket tersebut sebagai suatu serangan. 5. Output plug-ins Merupakan suatu modul yang mengatur format dari keluaran untuk alert dan file logs yang bisa diakses dengan berbagai cara, seperti console, exteren files, database, dan sebagainya
2.6.2 Snort.conf File Snort.conf file merupakan merupakan otak dari snort itu sendiri. Dari sini kita bisa melakukan setting apa yang diinginkan pada snort, meliputi network dan configuration variables, snort decoder, dan detection engine configuration variables, preprocessor configurations, output configuration dan file inclusions. a. Network dan configuration variables Network configuration dan variabelnya merupakan hal yang pertama kali harus dikonfigurasi. Fungsi dari konfigurasi network dan variabelnya untuk menentukan lokasi sistem. Secara default, variable didefinisikan dengan nilai any. Berarti snort akan men-capture any IP address yang ada, sehingga akan ditemukan banyak alert false positif. Untuk menghindarinya harus dimasukkan IP address yang akan di capture oleh snort. Contoh IP address adalah : IP address tunggal Digunakan untuk mendeteksi pada sebuah host atau kelas tertentu.contoh : - Untuk memonitor atau mendeteksi IP address kelas C dengan range 192.168.10.0 192.168.10.255 adalah : var HOME_NET 192.168.10.0/24 - Untuk memonitor atau mendeteksi single host kelas C dengan IP address 192.168.10.2 adalah: var HOME_NET 192.168.10.2/32
Multiple Host Dugunakan untuk memonitor atau mendeteksi jaringan dengan beberapa gabungan host,dengan menggunakan tanda kurung dan tanda koma tanpa menggunakan spasi. Contoh : var HOME_NET [192.168.10.0/24,192.168.11.0/24] Konfigurasi lainnya adalah RULE_PATH. Rule_path merupakan suatu variable yang wajib di setting karena bagian ini adalah rules rules yang menjadi acuan untuk melakukan monitoring. J ika rule_path ini terlupakan snort tidak akan sepenuhnya jalan. var RULE_PATH C:\snort\rules
2.6.3 Perintah Perintah Snort Untuk menjalankan snort pada sniffer mode dengan menggunakan beberapa perintah perintah seperti dibawah ini : #snort v #snort vd #snort v d e
Ket : -v digunakan untuk melihat header TCP/IP packet yang lewat -d untuk melihat isi paket -e untuk melihat header link layer packet seperti Ethernet header. Perintah dengan bentuk snort v menghasilkan laporan seperti gambar dibawah ini :
Gambar 2.21 snort v Sumber : www.snort.org (25 januari 2008)
Gambar 2.22 snort v de Sumber : www.snort.org (25 januari 2008)
Dari gambar diatas : 02/05-12:18:14.309269 adalah format timestamp, dua digit untuk hour (jam), dua digit untuk menit, dua digit untuk detik, dan enam digit untuk bagian terkecil dari suatu detik. 192.168.241.10 - > 192.168.241.1 adalah untuk nama atau IP source host dan tujuan/target host. ICMP protocol yang digunakan atau dikirim TTL:128 adalah Time To Life yang di set oleh host yang mengirim datagram. TOS:0x0 adalah Time Of Service ID:268 adalah ID datagram ID:47105 adalah ID untuk signature yang terdapat pada Snort IpLen:20 adalah IP leght DgmLen:84 adalah panjang datagram DF adalah simbol tidak adanya fragment flag
2.6.4 Proses Deteksi Snort Proses deteksi snort sebagai intrusion detection system secara menyeluruh digambarkan sebagai berikut :
Gambar 2.23 Proses Deteksi Snort Sumber : Dony Ariyus (Intrusion Detection System, 2007)
Pada Snort sebagai Intrusion Detection System, rule merupakan suatu hal yang penting, dengan adanya rule maka IDS bisa atau dapat berfungsi untuk mendeteksi suatu jaringan. Network Traffic Output plug-ins Detection Preprocessors Decoder Packet Capture Module (berdasarkan WinPcap) Detection plug-ins Rule File Memilih output mode (Log Files, Console, Report Read / Applies References
2.6.5 Penempatan Sensor IDS Penempatan sensor IDS harus benar benar diperhatikan karena merupakan bagian yang sangat penting dalam IDS. Penempatannya antara lain adalah : Antara router dan firewall Pada DMZ Dibelakang firewall Dekat akses remote server
2.6.5.1 Antara Router dan Firewall Pada kasus ini, sensor network mutlak unprotected, karena lokasi luar jaringan dilindungi oleh firewall.
Gambar 2.24 Antara Router dan Firewall Sumber : Dony Ariyus (Intrusion Detection System, 2007)
2.6.5.2 Pada DMZ (Demilitarized Zone) Penempatan pada DMZ hanya akan merekam traffic yang lewat pada DMZ yamg meliputi Web server, FTP, SMTP server dan lain-lain.
Gambar 2.25 Pada DMZ Sumber : Dony Ariyus (Intrusion Detection System, 2007)
2.6.5.3 Dibelakang Firewall Sensor diletakan bersebelahan dengan LAN. Semua traffic melewati firewall, sehingga keamanan dapat maksimal. INTERNET Network Sensor Switch Router Firewall LAN DMZ
Gambar 2.26 Dibelakang Firewall Sumber : Dony Ariyus (Intrusion Detection System, 2007) 2.6.5.4 Dekat Remote Access Server Pada banyak perusahaan, remote access server melayani akses bersama sama ke source, bila sensor berada dekat dengan remote access server maka akan mudah untuk mengontrol serangan yang berasal dari user yang mempunyai hak akses ke jaringan melalui server.
Gambar 2.27 Dekat Remote Acces Control Sumber : Dony Ariyus (Intrusion Detection System, 2007)
2.7 Sejarah Linux Nama Linux merupakan kombinasi unik antara nama penciptanya dan nama sistem operasi yang menjadi targetnya (UNIX). Semuanya berawal dari sebuah sistem operasi bernama Minix. Minix dibuat oleh Profesor Andrew Tanenbaum. Minix adalah sistem operasi mirip UNIX yang bekerja pada PC. Torvald adalah salah seorang mahasiswa di Universitas Helsinki yang menggunakan Minix. Walaupun cukup bagus, ia belum menganggap Minix memadai Kemudian pada tahun 1991 ia membuat sistem operasi yang merupakan clone UNIX, yang diberi nama Linux. Seperti halnya Minix, Linux tidak menggunakan kode apa pun dari vendor UNIX komersial, sehingga Torvalds mendistribusikan linux di Internet secara bebas dan gratis. Pada Oktober 5 1991, Torvalds mengeposkan sistem operasinya di newsgroup comp. os.minix. Ia mengumumkan bahwa source code Linux tersedia dan meminta bantuan programmer-programmer lain untuk ikut mengembangkannya. Ketika itu Linux masih setengah matang, sistem operasi ini hanya bisa menjalankan sedikit perintah UNIX, seperti bash, gcc dan gnu-make. Saat Linux 1.0 diluncurkan pada 1994, sistem operasi ini telah cukup stabil dan memiliki banyak feature, seperti preemptive multitasking (kemampuan untuk membagi sumber daya CPU untuk banyak aplikasi) dan symmetric multiprocessing (kemampuan untuk membagi tugas di antara banyak CPU). Linux bahkan memiliki maskotnya sendiri yang oleh torvalds dijelaskan sebagai seekor penguin yang menggemaskan dan ramah, yang kekenyangan setelah makan banyak ikan hering. Pada 1996, tim pengembangan Linux yang ada diseluruh dunia mulai memberikan hasilnya. Tahun itu mereka telah membuat versi Linux untuk sejumlah versi hardware, dari Atari ST sampai Macintosh. Linux terus berkembang pesat, utamanya karena ada sejumlah distributor (seperti RedHat, Caldera, dsb) yang berkompetisi untuk berebut pangsa pasar. Oleh karena itu dibentuk kelompok bernama Linux Standard Base. Kelompok ini bekerja untuk memastikan bahwa beragam distribusi Linux yang ada tetap bisa menjalankan aplikasi yang sama dan saling berinteroperasi. Saat ini ada tujuh distribusi Linux paling terkenal, yaitu : 1. RedHat Linux, distributor paling populer di AS dan salah satu yang paling mudah digunakan. 2. Mandrake Linux, distributor yang menambahkan update dan patch untuk RedHat Linux. 3. Caldera Open Linux, distibrusi Linux dengan instalasi dan lingkungan pengguna berbasis grafis yang bagus. 4. Suse Linux, distribusi Linux paling populer di Eropa yang juga menyediakan perangkat instalasi dan panduan berbahasa Indonesia. 5. Slackware Linux. 6. Debian GNU/Linux. 7. TurboLinux, distribusi Linux paling populer di Asia yang menyediakan dukungan untuk set karakter khusus Asia. Distributor Linux masih banyak lagi. Yang mana yang terbaik tergantung dari kenyamanan pengguna. Masing-masing mempunyai kelebihan dan kelemahan sendiri.
2.7.1 IPCop Firewall IPcop Firewall adalah distro Linux untuk aplikasi firewall yang menyediakan kemudahan dalam me-manage (simple-to-manage) berbasis hardware PC. IPCop dibangun berdasarkan kerangka Linux netfilter. Pada dasarnya IPCop merupakan pengembangan dari SmoothWall Linux firewall, selanjutnya project ini berkembang secara signifikan dan berdiri sendiri. IPCop sangat mudah dalam mengatur security update yang diperlukan. Selain itu, IPCop dapat diimplementasikan oleh pengguna yang baru belajar linux sekalipun. 13
Gambar 2.28 IPCop Firewall www.microconcept.com (29 J anuari 2008) Dengan penerapan teknologi yang ada bersama teknologi baru beorientasi pada 'secure programming', IPCop dapat digunakan sseperti
13 https://indo-ipcop.blogspot.com/2007/10/tentang-ipcop-firewall.html distribusi Linux lainnya bagi mereka yang serius ingin menjaga keamanan komputer dan jaringannya. Beberapa hal berikut dapat dijadikan pertimbangan dalam kita memilih IPCop Firewall sebagai aplikasi firewall ; 1. Kemudahan instalasi dan free license under GPL. 2. Kemudahan dalam mengkonfigurasi. 3. Banyaknya support dari kalangan komunitas maupun perseorangan. 4. Add ons sebagai tambahan tools yang disesuaikan dengan kebutuhan. 5. Autocheck untuk Security Update. 6. Kebutuhan hardware PC yang disesuaikan dengan kondisi network kita. 7. Berfungsi sebagai Proxy Server.
Pada Ipcop Linux memiliki beberapa istilah untuk interface jaringan komputernya, yaitu : Green Network Interface : Digunakan untuk bagian jaringan local seperti LAN. Interface ini juga digunakan untuk melakukan monitoring terhadap web GUI-nya Ipcop. Orange Network Interface : Digunakan untuk bagian jaringan publik pada jaringan terpisah seperti DMZ. Dimana di dalamnya merupakan bagian dari jaringan server, seperti web server, databases server dan lain lain. Red Network Interface : Digunakan untuk bagian jaringan yang tidak dipercaya yaitu Internet. Blue Network Interface : Interface ini merupakan opsional pada Ipcop. Digunakan untuk bagian luar jaringan seperti Wireless.
Berikut adalah adalah bentuk topologi pada jaringan Ipcop :
Gambar 2.29 Topologi Ipcop Firewall Sumber : www.Ipcop.org (25 J anuari 2008)
2.8 Mengenali penyusup Penyusupan (intrusion) didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect atau inappropriate yang terjadi di jaringan atau di host. 14
Pada intrusion detection system, pengenalan terhadap penyusup dibagi menjadi dua bagian : 1. Knowledgebased atau missue detection Mengenali adanya penyusup dengan cara menyadap paket data kemudian membandingkan dengan database rule (berisi signature signature serangan). J ika paket data mempunyai pola yang sama atau setidaknya salah satu polanya terdapat di database rule, maka akan dianggap sebagai serangan. 2. Behavior Based atau anomaly based Mengenali adanya peyusup dengan mengamati adanya kejanggalan kejanggalan pada sistem, atau adanya penyimpangan dari kondisi normal. Proses deteksi anomaly tidak menggunakan rulew atau signature, hanya mengamati kondisi normal dari system jaringan. J ika kondisi tidak normal hal ini akan dianggap sebagai sutu serangan.
2.8.1 Penyalahgunaan Protokol Jaringan Penyalahgunaan protokol jaringan dari OSI Model Reference sampai dengan lapisan yang lebih tinggi, jika protokol yang lebih rendah disalahgunakan secara langsung maupun tidak langsung akan memberikan dampak pada protokol yang ada pada level yang lebih tinggi. J enis dari serangan yang mengusahakan spoof, fake, dan legimate traffic dalam beberapa keadaan, sehingga system percaya bahwa traffic adalah legimate dan akan meberikan respons atas permintaan yang ada.
14 Dony Ariyus M.Kom. op cit, hal 172 Hal ini dikenal dengan dengan istilah penipuan terhadap protokol jaringan sehingga sistem memberikan ijin untukmenerima permintaan karena protokol tersebut sah.
2.8.1.1 Penyalahgunaan ARP (Address Resolution Protocol) Protokol ARP (Address Resolution Protocol) digunakan host untuk menentukan alamat perangkat keras yang sesuai dengan yang diinginkan oleh alamat IP sehingga bisa saling berkomunikasi. ARP dirancang dengan fleksibel untuk menangani media yang berbeda dengan bermacam macam alamat perangkat keras sehingga ukuran field nya memungkinkan untuk dipakai pada ukuran berbeda. ARP packet format meliputi : Hardware Type : 16 bit field (nilai dari 0 65.535) kemudian encode tipe hardware yang dilibatkan. Code Ethernet adalah 1. Protocol Type : 16 bit field (nilai dari 0 65.535) kemudian encode tipe skema pengalamatan ketika digunakan. Nilai untuk pengalamatan IP adalah 0x0800 (dalam heksadesimal) Hardware Address length : 8 bit field (nilai dari 0 sampai 255) menetapkan ukuran dari bit alamat hardware untuk Ethernet, value akan menjadi 6. Protocol Address Length : 8 bit field (nilai dari 0 sampai 255) menetapkan ukuran byte untuk alamat protocol yang digunakan. Untuk IPv4 nilai akan menjadi 4.
Operation Code : 16 bit field (nilai dari 0 sampai 65.535) menandakan jenis operasi yang digunakan. Ada beberapa nilai umum, seperti : o 1 ARP Request o 2 ARP Reply o 3 RARP Request o 4 RARP Reply Source Hardware address : Panjang variable field (panjang tergantung dari nilai panjang alamat hardware. Source Protocol Address : Panjang variable field (panjang tergantung dari nilai panjang alamat protocol. Destination Harware Address : Panjang variable field (panjang tergantung dari nilai panjang alamat hardware. Destination Protocol Address : Panjang variable field (panjang tergantung dari nilai panjang alamat protocol. Data : Data yang ada ditentukan oleh protokol yang memerlukan.
Tidak ada authentication dari permintaan atau respons dari protokol ini. Protokol ini menciptakan subnet lokal sehingga sistem mempunyai kelemahan untuk digunakan oleh penyusup. Kebanyakan dilakukan penyusup dengan memodifikasi subnet yang ada. Serangan terjadi terhadap ARP seperti ARP flooding, MAC Spoofing dan ARP Spoofing.
Gambar 2.30 ARP packet format Sumber : Dony Ariyus (Intrusion Detection System, 2007)
1. ARP Flooding Sebelum membahas tentang pembanjiran suatu jaringan dengan spoofed paket ARP yang mempunyai implikasi keamanan, terlebih dahulu membahas tentang switch dan unswitch network. a. Unswitch network : yang dibangun pada teknologi ethernet hub, transmit semua lalu lintas port pada hub. Hub disebut juga dengan wiring center, yang berfungsi sebagai pusat transmisi data yang ada pada suatu jaringan, begitu juga dengan paket ARP yang saling berkomunikasi dengan host host yang terkoneksi dengan hub. b. Switched network : menggunakan ethernet switch yang berfungsi sebagai pengatur suatu jaringan dengan menentukan host mana yang melakukan suatu komunikasi. Keuntungan dari metode ini adalah suatu lalu lintas jaringan pada host yang akan terkoneksi bisa diatur sebab hanya satu alamat host ke sistem pada switch port. Host tidak akan memperdulikan suatu komunukasi yang berada pada host yang berbeda. Metode switch digunakan untuk menentukan routing dari traffic secara pasif. Metode switch maintainece suatu cache dari respons ARP yang telah melintasi suatu jaringan, dan address traffic router menunjukan suatu alamat perangkat keras dari port mana suatu paket datang yang bisa dilihat dari respons yang diberikan oleh ARP. Ketika suatu switch dihadapkan dengan suatu paket yang menunjukan suatu alamat perangkat keras, kemudian cache sementara di revert ke hub, mode dan pengiriman paket ke semua port berada pada switch. Port akan memberikan respons dan akan direkam oleh ARP cache. J ika cache sudah penuh, ada dua strategi yang dapat dijalankan : o Switch bisa revert ke hub untuk alamat hardware bukan ke cache. Performace dari suatu system switch akan menurun, tetapi traffic akan terus berjalan dengan lancer untuk mengantar packet. o Switch dapat membagi ke buffer dan menerima data baru. Dalam sekenario ini paket akan dikirim ke hub sampi switch dapat mempelajari penempatan port dari host. Dari metode diatas, traffic yang ditentukan untuk port akan menjadi bocor yang bisa dilihat pada port yang lain. Traffic berpotensi untuk terkena serangan. Penyerang menggunakan suatu aplikasi sniffing. Sniffing berfungsi sebagai perekam semua kegiatan dari suatu jaringan untuk mendapatkan password, informasi konfidensial, dan informasi sensitif lainnya, masalah yang terjadi bahwa aplikasi ini akan berada pada dalam suatu sistem jaringan dalam waktu tertentu tanpa terdeteksi. Itu berarti metode switch memberikan peluang bagi para penyusup untuk mendapatkan akses illegal ke sistem jaringan dengan menciptakan suatu flood reply ARP packet dan membuat ARP cache menjadi penuh dan penyusup bisa melanjutkan serangan. 2. MAC Spoofing Lalu lintas jaringan dapat diganggu jika dua Ethernet adapter mempunyai alamat hardware (MAC) yang sama. Hal ini bisa terjadi jika suatu vendor tidak mempunyai alamat yang unik untuk setiap produk yang mereka keluarkan. Kemunkinan lain yang bisa terjadi adalah human error. Banyak kejadian yang mengejutkan banyak orang di dunia maya, bahwa Ethernet adapter bisa diprogram ulang kembali untuk mendapatkan alamat yang diinginkan. Walaupun program ulang jarang terjadi, Ethernet adapter yang sudah diprogram ulang digunakan untuk spoof sistem jaringan yang dikehendaki sehingga mengakibatkan suatu sistem bisa berkomunikasi dengan penyusup. 3. ARP Spoofing Pada dasarnya hal ini hamper sama dengan MAC spoofing. Packet respons ARP bisa menjadi spoof pada traffic untuk mengalihkan traffic yang mengganggu. Sistem A akan melakukan komunikasi dengan sistem B, kemudian sistem A akan mengirimkan permintaan untuk mengetahui alamat hardware dari sistem B, dan penyusup berada pada sistem C yang melihat komunikasi dari dua sistem tersebut, C akan berpura pura menjasi A dan B, sehingga sistem C bisa melakukan komunikasi dengan dua sistem tersebut. Penyusup yang jenius akan mengkombinasikan ARP spoofing dengan Denial Of Service Attack pada sistem B untuk mencegah agar sistem B tidak bisa memberikan respons terhadap permintaan sistem A. munkin sistemB dibanjiri dengan SYN flood.
Gambar 2.31 Ilustrasi ARP Spoofing Sumber : www.gajahmada.edu (24 J anuari 2008)
2.8.1.2 Penyalahagunaan Internet Protocol (IP) Terdapat beberapa penyalahgunaan internet protocol yang digunakan penyusup/penyerang antara lain adalah :
a. IP address spoofing Suatu serangan IP address spoofing terdiri dari injeksi paket ke dalam jaringan dengan IP address yang berbeda dari IP address yang sebenarnya dari sistem yang mengirim paket. Alasan menggunakan address spoofed untuk mendapatkan respons dari komputer target. Paket yang dikirim penyerang akan di respons oleh komputer target sebagai paket yang sah dari alamat IP address yang sebenarnya. Serangan semacam ini sering juga disebut dengan serangan fire and forget. b. Denial of Service (DoS) Biasa terjadi pada IP fragmentation dimana penyusup atau penyerang memanfaatkan fragmentasi pada paket data dengan melibatkan bug dari sistem operasi untuk mengetahui susunan/urutan dari fragmentasi paket data tersebut. c. Hidden attack Penyusup atau penyerang akan menggunakan metode bagaimana membuat suatu paket fragmentasi menjadi overlap, dengan membangun bagian overlap yang akan mengelabui sistem.
Gambar 2.32 Overlapping Fragments Sumber : Dony Ariyus (Intrusion Detection System, 2007)
2.8.1.3 Penyalahgunaan UDP (User Datagram Protocol) UDP menyediakan layanan nirkoneksi untuk prosedur prosedur pada level aplikasi. Pada dasarnya UDP merupakan suatu layanan protokol yang kurang bisa diandalkan karena karena kurang memberikan perlindungan dalam pengiriman dan duplikasi data. UDP header secara klasik tidak nampak sehingga tidak dapat disalahgunakan. Header dari UDP hanya berisi source dan detination port, packet length dan checksum. Isi dari header UDP jelas bisa digunakan untuk spoofing dengan malicious party. Untuk keperluan authentication memerlukan source packet yang bisa dipercaya. UDP flood Pada dasarnya mengaitkan dua sistem tanpa disadari. Dengan cara spoofing, User Datagram Protocol (UDP) flood attack akan menempel pada service UDP chargen di salah satu mesin, yang untuk keperluan percobaan akan mengirimkan sekelompok karakter ke mesin lain, yang deprogram untuk meng- echo setiap kiriman karakter yang diterima melalui sevice chargen. Karena paket UDP tersebut di-spoofing diantara kedua mesin tersebut maka yang terjadi adalah banjir tanpa henti kiriman karakter yang tidak berguna diantara kedua mesin tersebut.
Gambar 2.33 Ilustrasi UDP flood Sumber : www.ilmukomputer.com (25 J anuari 2008)
2.8.1.4 Penyalahgunaan TCP (Transmission Control Protocol) Protokol TCP pada umumnya digunakan pada layanan internet. Sebagai contoh : Telnet, FTP, SMTP, NNTP, dan HTTP.TCP memungkinkan untuk adanya tiga aplikasi layer : Tujuan menerima aplikasi data jika data lain telah dikirim, Tujuan menerima semua aplikasi data, Tujuan tidak menerima duplikasi beberapa aplikasi data. Protokol TCP akan melakukan kill untuk suatu koneksi yang melanggar aturan dari salah satu aplikasi data di atas. Sebagai contoh, jika pertengahan paket TCP hilang atau rusak pada waktu pengiriman paket maka paket tersebut tidak akan diterima. J ika pengiriman diulagi kembali dan tetap ada data yang hilang maka koneksi akan terputus secara otomatis. Pada dasarnya sulit untuk melakukan spoofing terhadap koneksi TCP, kecuali penyusup mengontrol suatu router antara dua sistem. Penyusup atau penyerang selalu bisa diindetifikasi jika menyalahgunakan koneksi TCP. 1. TCP Retransmisi Retransmisi paket TCP memperkenalkan sutu level dari keandalan mekanisme IP transport. Ketika retransmisi suatu paket TCP, paket yang ditransmisikan harus sama dengan paket yang asli. J ika suatu IDS menemukan transmisi ulang pada suatu paket dengan ceksum yang benar dan mempunyai muatan yang berbeda dibandingkan dengan paket yang asli, IDS akan mengasumsikannya sebagai suatu implementasi TCP/IP atau malicious attack 2. Syn Attack Paket SYN dikrimkan pada saat handshake (jabat tangan) antara aplikasi sebelum pengiriman data dilakukan. Proses terjadi ketika sebuah koneksi TCP dimulai, host tujuan akan menerima paket SYN (synchronize) dari host pengirim dan akan mengirim kembali SYN ACK (synchronize acknowledge). Host tujuan kemudian akan mendapatkan paket ACK sebagai kelanjutan SYN ACK sebelum koneksi tersebut terhubung secara lengkap dan sukses. Pada saat menunggu paket ACK, akan terjadi proses antrian koneksi pada host tujuan yang berada pada kondisi menunggu koneksi. Antrian ini biasanya akan cepat hilang karena paket ACK akan datang beberapa millisecond setelah SYN ACK. Serangan TCP SYN memenfaatkan kelemahan desain koneksi TCP dengan memuat host pengirim mambangkitkan da mengirim paket paket TCP SYN menggunakan alamat pengirim secara acak ke host tujuan dan host tujuan akan mengirim kembali paket SYN ACK ke alamat pengirim dan menambahkan pada antrian koneksi yang sebenarnya alamat yang sebenarnya tidak ada, sehingga hal ini terjadi berulang ulang maka akan mengakibatkan paket yang tidak mempunyai alamat sebenarnya banyak berada pada antrian TCP dan membuat layanan TCP seperti FTP dan www sibuk sehingga akhirnya akan berhenti.
Gambar 2.34 ilustrasi Syn Attack Sumber : www.ilmukomputer.com (25 Januari 2008)
2.8.1.5 Penyalahgunaan ICMP (Internet Control Message Protocol) ICMP (Internet Control Message Protocol) adalah protokol pad TCP/IP yang bertugas mengirimkan pesan pesan kesalahan dan kondisi lain yang memerlukan perhatian khusus. Hal ini dapat dilakukan dengan mengevaluasi pesan yang dihasilkan oleh ICMP. ICMP packet spoofing bisa digunakan untuk menciptakan denial of service dengan memanfaatkan indikasi error pada jaringan. ICMP bukan sesi yang diorientasikan, suatu paket yang ICMP diterima tidak bisa membuktikan keasliannya bahwa benar benar dari host yang mengirim. Pada umumya ICMP error pada transmisi dimanfaatkan oleh peyerang yang secara terus menerus spoofing pesan dari kesalahan tersebut. Secara umum gangguan seperti ini akan berhenti jika paket telah sampai pada jaringan korban. ICMP Flood Penyerang melakukan eksploitasi sistem dengan tujuan membuat suatu target host menjasi hang, yang disebabkan oleh sejumlah dpaket besar kearah target host. Eksploting system ini dilakukan dengan mengirimkan suatu command ping dengan tujuan broadcast atau multicast dimana si pengirim dibuat seolah olah adalah target host. Semua balasan dikembalikan ke target host. Hal ini membuat target host menjadi hang dan menurunkan kinerja jaringan. Bahkan hal ini dapat mengakibatkan terjadinya denial of service.
Gambar 2.35 ilustrasi ICMP flood Sumber : www.ilmukomputer.com (25 Januari 2008)
Fungsi ICMP flood yang dapat digunakan penyerang adalah : a. ICMP Echo Reply. b. ICMP Host Unreachable. c. ICMP Source Quench. d. ICMP Redirect. e. ICMP Echo Request. f. ICMP Time Exceeded for a Datagram. g. ICMP Parameter Problem on Datagram. h. Large ICMP Packet.
BAB III METODE PENELITIAN
3.1 Tahapan Penelitian Tahapan penelitian merupakan urutan sistematis di dalam melakukan penelitian. Pada penyusunan tugas akhir ini tahapan analisis yang dilakukan secara umum dapat dilihat pada workflow diagram sebagai berikut :
Gambar 3.1 Workflow Diagram
Start Pengumpulan Data Proses Analisis Finish Pilih Tipe IDS Pilih SistemOperasi Analisis IDS Test IDS dan firewall Studi Litelatur Observasi Testing 3.2 Metode penelitian Dalam proses meneliti, metode metode penelitian yang digunakan dalam rangka mengumpulkan data adalah sebagai berikut :
1. Studi Literatur Melakukan studi literature untuk mendapatkan data data yang diperlukan. Data data tersebut didapatkan melalui buku buku perpustakaan, artikel, jurnal, paper, dan tesis yang didapat melalui situs situs internet.
2. Observasi Melakukan observasi mengenai aspek aspek obyek penelitian dan mendapatkan data perbandingan dari data data yang diperoleh melalui metode metode studi literature.
3.3 Tahapan Analisis Tahapan analisis yang dilakukan dalam penelitian diantaranya sebagai berikut : 1. Pemilihan Tipe intrusion detection system Menentukan tipe intrusion detection system yang akan digunakan sebagai pertimbangan disesuaikan dengan kebutuhan administrator karena setiap tipe yang ada pada intrusion detection system memiliki kelebihan dan kekurangannya masing masing. 2. Pemilihan sistem operasi untuk intrusion detection system Menentukan sistem operasi yang digunakan untuk menjalan intrusion detection system. Sistem operasi yang digunakan harus dipertimbangkan tingkat kemudahan, keamanan dari sistem operasi itu.
3. Analisis intrusion detection system Melakukan analisis terhadap intrusion detection system, peran, serta kapabilitas dengan keamanan jaringan komputer. 4. Testing intrusion detection system Melakukan testing terhadap intrusion detection system dan firewall untuk mendapatkan pembuktian seperti yang diharapkan.
3.4 Alat dan Bahan Pada saat melakukan analisis ini alat alat dan bahan yang diperlukan adalah : 1. Perangkat keras PC Intel Pentium VI Core 2 Duo 1.86 Gz RAM DDR2 PC 5300 1 Gb Hardisk 160 Gb CD/DVD Rom
2. Sistem Operasi Microsoft Windows XP professional Service Pack 2 IPCop Firewall Versi 1.4.18
4.1 Pemilihan Tipe IDS Pada analisis ini, pemilihan tipe IDS dimaksudkan untuk memilih tipe apa yang sebaiknya digunakan untuk kegiatan monitoring pada jaringan komputer. Pemilihan dimaksudkan untuk keamanan dalam melakukan implementasi serta fungsionalitasnya sebagai pendeteksi penyusup dalam jaringan komputer. Pada sistem pendeteksian penyusup yang berdasarkan sumber infomasinya terdapat dua jenis tipe IDS, yaitu : 1. HIDS ( Host Intrusion Detection System ) Bekerja pada host yang akan dilindungi. IDS dengan tipe ini dapat melakukan berbagai macam tugas untuk mendeteksi serangan yang dilakukan pada host tersebut. 2. NIDS ( Network Intrusion Detection System ) IDS tipe ini akan mengumpulkan paket paket data yang terdapat pada jaringan dan kemudian menganalisisnya serta menentukan apakah paket paket itu berupa suatu paket yang normal atau suatu serangan atau berupa aktifitas yang mencurigakan.
Berikut adalah tabel perbandingan dari kedua jenis tipe sistem pendeteksian penyusup berdasarkan sumber informasinya.
Tabel 4.1 perbandingan HIDS dan NIDS Keterangan HIDS NIDS Sumber Informasi Dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. dari paket paket jaringan komputer yang diamati. Lanjutan tabel 4.1 Monitoring Memonitor aktifitas sistem tertentu Memonitor aktifitas jaringan komputer. Sistem Operasi Bergantung Pada Sistem Operasi tidak tergantung pada sistem operasi. Respons Deteksi Secararealtime Secara realtime Cakupan Sumber Informasi Hanya Pada Host itu sendiri. Multi host Konfigurasi Rumit (konfigurasi untuk setiap host) Mudah (konfigurasi pada pusat IDS) Tingkat keamanan IDS beresiko (Host merupakan target) Tidak beresiko (host bukan target) Deteksi serangan Lebih baik mendeteksi serangan yang berasal dari dalam jaringan. Lebih baik untuk mendeteksi serangan yang berasal dari luar jaringan Kinerja Memverifikasi sukses atau gagalnya suatu serangan Mendeteksi usaha dari serangan yang gagal Cost Lebih mahal untuk diimplementasikan Lebih murah untuk diimplementasikan
Berdasarkan tabel 4.1, penggunaan tipe IDS yang dimaksudkan untuk melakukan monitoring pada jaringan komputer yang baik untuk analisis ini adalah NIDS (Network Intrusion Detection System). Dikarenakan cangkupan yang luas yang dapat memantau jaringan komputer yang ada, tingkat keamanan yang dimiliki NIDS yang tidak beresiko dikarenakan sistem yang digunakan untuk melakukan monitoring bukan merupakan sistem yang menjadi target penyusup, sehingga sistem pendeteksian dapat bekerja secara optimal serta biaya pengimplementasiannya yang lebih murah dibandingkan dengan HIDS.
4.2 Pemilihan Sistem Operasi Pada analisis ini, pemilihan sistem operasi dimaksudkan untuk mempermudah dalam pengimplementasian sistem pendeteksian penyusup pada jaringan komputer serta sebagai pertimbangan keamanan dari sistem penyusup itu sendiri. Sistem operasi yang digunakan untuk melakukan perbandingan adalah : 1. Windows XP Profesional Service Pack 2 2. Distribusi Linux Red Hat 9.0 3. Distribusi Linux IPCop Firewall Versi 1.4.18
Berikut adalah tabel perbandingan antara sistem operasi yang digunakan untuk pengimplementasian sistem pendeteksian penyusup pada jaringan komputer (dengan spesifikasi hardisk 4 Gb memori 256Mb menggunakan VMware 6.0 ).
Tabel 4.2 perbandingan Sistem Operasi untuk implementasi IDS Keterangan XP Red Hat 9.0 IPcop Firewall Waktu Instalasi 40 50 menit 50 60 menit <20 menit Space Hardisk >700 Mb >1,1 Gb <300 Mb Sofware Pendukung IDS WinPcap, Snort, SQL server, PHP, Apache, Adodb, PHPlot, BASE Snort, MySQL, apache, PHP, ADODB, ACID, Zlib, LibPcap Snort, Apache, Cron, LibPcap Konfigurasi Sulit Sulit Mudah keberhasilan konfigurasi Rendah Rendah Tinggi Keamanan tidak ditunjukan untuk keamanan jaringan tidak ditunjukan untuk keamanan jaringan Secure Programming
Pada sistem operasi Windows XP dan Red Hat tingkat kesulitan dalam melakukan konfigurasi sangat tinggi dikarenakan banyaknya aplikasi yang harus dikonfigurasikan. Seperti snort.conf pada aplikasi snort, penyesuaian database pada mysql dan SQL server, penggabungan konfigursi untuk PHP, Adodb dan Apache. Serta konfigurasi ACID dan BASE agar terhubung ke sistem database masing masing sistem operasi. Kesulitan yang paling besar adalah kesulitan dalam melakukan penggabungan snort dengan komponen komponen tambahan seperti BASE, ACID, PHPlot, Zlib dll, dikarenakan tidak semua versi snort sesuai dengan komponen yang digunakan untuk mengembangkan IDS lebih lanjut. Berdasarkan tabel 4.2, sistem operasi yang digunakan untuk analisis ini adalah IPcop Firewall dikarenakan kemudahan instalasi, yang untuk orang awam memerlukan waktu kurang dari 20 menit, kemudian space hardisk yang digunakan kurang dari 300 Mb (tanpa penggunaan aplikasi tambahan seperti addons) serta kemudahan konfigurasi untuk sistem pendeteksi penyusup dan tingkat keamanan dari IPcop yang merupakan secure programming. Serta tidak perlu lagi melakukan konfigurasi dan penggabungan komponen komponen pendukung snort karena pada Ipcop firewall semua komponen untuk melakukan monitoring sudak terkonfigurasi dengan baik.
4.3 Instalasi IPCop Firewall Ipcop Firewall pada penulisan ini menggunakan tiga NIC, satu berfungsi sebagai adapter local area network, yang lain berfungsi sebagai koneksi keluar jaringan. Berikut adalah langkah langkah instalasi Ipcop Firewall : Booting dengan CD bootable melalui CD Rom Sesaat akan muncul command prompt dan muncul tampilan selamat datang dari Ipcop Firewall tekan ENTER Pilih bahasa yang akan digunakan pilih english. Pilih media instalasi konfirmasi partisi hardisk pilih OK. Pilihan untuk melakukan back up, pilih skip. Masukan IP address untuk network interface green
Gambar 4.1 green interface
Konfirmasi instalasi tekan OK. Pilihan keyboard mapping pilih US. Pilihan Time Zone pilih Asia/J akarta. Menu pemberian nama untuk hostname, domain name Menu konfigurasi ISDN Setelah terkonfigurasi maka akan muncul tampilan network configuration menu. Pilih network configuration type. Pilih green, orange dan red.
Gambar 4.2 Network Configuration Type
Dikarenakan pada instalasi Ipcop firewall menggunakan tiga buah NIC, maka setiap NIC harus di konfigurasi agar sesuai dengan setiap network interface yang ada. Untuk menyesuaikan setiap NIC pilih pilihan Driver and Card assignments. Dikarenakan network interface green sudah maka pada sesi sebelumnya maka pada menu ini hanya melakukan penyesuaian untuk network interface orange dan red saja.
Gambar 4.3 Drivers and Card Assignments
Setiap network interface harus memiliki ip address, untuk memberikan ip address pilih pilihan Address Settings. Dikarenakan network interface green sudah maka pada sesi sebelumnya maka pada menu ini hanya melakukan pengalamatan untuk network interface orange dan red saja.
Gambar 4.4 address settings Pilih menu DNS and Gateway settings untuk melakukan konfigurasi primary dan secondary domain name server dan default gateway. Pilih menu DHCP Server Configuration untuk melakukan konfigurasi dynamic host control protocol Setelah semua terkonfigurasi dengan baik maka pilih done untuk menyelesaikan konfigurasi. Masukan password minimal enam character untuk root Masukan password untuk admin yang akan diggunakan untuk login
Pada autentikasi pada tampilan web Ipcop dengan menggunakan user name admin. Pastikan password ini memiliki tingkat keamanan yang cukup tinggi.
Gambar 4.5 Password untuk admin
Masukkan password untuk back up key. Password ini digunakan untuk menyimpan konfigurasi Ipcop firewall serta menyimpan log log yang telah tersimpan pada sistem Ipcop firewall. Secara otomatis Ipcop akan melakukan reboot. Selesai melakukan reboot Ipcop Firewall akan masuk ke dalam sistem utama dimana semua konfigurasi dapat dapat di setting kembali. Setelah reboot sistem Ipcop firewall akan meminta username dan password untuk bisa masuk ke dalam sistem. Gunakan username root serta password yang telah di masukan pada sesi instalasi sebelumnya. Pastikan semua sevices pada sistem Ipcop Firewall berjalan dengan semestinya dan jangan lupa untuk memastikan setiap interface terkonfigurasi dengan baik.
4.3.1. Snort Pada Ipcop Firewall Pada IPCop Firewall terdapat aplikasi perangkat lunak yang mendukung sistem pendeteksi penyusup yaitu Snort, snort pada Ipcop Firewall 1.4.18 adalah versi 2.6.1.5.
Gambar 4.6 Snort Version
File file konfigurasi snort berada pada direktori /etc/snort didalamnya berisi file local.rules, ruleslist.conf, rulestags, snort.conf, threshold.conf, vars serta direktori rules.
Gambar 4.7 direktori snort
Direktori yang sangat penting pada snort adalah direktori rules, karena pada direktori ini signature signature serangan berasal. Rules sangat diperlukan untuk menganalisis serangan yang masuk kedalam network interface pada ipcop.
Gambar 4.8 snort rules directory
Untuk memastikan keadaan snort aktif atau tidak dapat di periksa dengan perintah ps ef|grep snort, dengan perintah ini service snort pada Ipcop dapat diperlihatkan, perintah ini akan menampilkan service setiap interface network yang dipantau oleh snort.berikut adalah tampilan setelah menggunakan perintah ps ef|grep snort.
Gambar 4.9 ps-ef|grep snort Pada akhir baris pada service snort, terdapat perintah service i eth0, -i eth1, -i eth2, itu menandakan snort bekerja dan melakukan monitoring terhadap interface network 0 (green), interface network 1(orange), interface network 2 (red) dengan alert mode fast.
Snort bekerja dengan menggunakan sintaks sintaks tertentu, sintaks sintaks berikut yang biasanya digunakan pada pantauan jaringan komputer pada ipcop :
-A set alert mode: fast, full, console, or none (alert file alerts only) -b log pakets in tcdump format -d dump the application layer -e display the second layer header info -i listen on interface -I add interface name to alert output -o change the rule testing order to pass|alert|log -p disable promiscuous mode sniffing -P set explicit snaplen of packet -q quit.
Berikut adalah tampilan penggunaan sintaks sintaks yang digunakan pada ipcop firewall dengan menggunakan mode packet sniffer. Dengan merekam
Gambar 4.10 report snort mode sniffer
4.4 Analisis Network Intrusion Detection System 4.4.1 Skema Analisis NIDS Sebelum melakukan analisis pengujian Intrusion Detection System dalam hal ini analisis network intrusion detection system (NIDS), terlebih dahulu membuat skema analisis Network Intrusion Detection System pada lingkungan implementasinya, skema ini digunakan untuk mempermudah melakukan analisis pada lingkungan implementasinya. Skema analisis tersebut sebagai berikut :
Gambar 4.11 Skema pengujian NIDS
Keterangan : Ipcop Firewall (VMWare 1 ) o Processor Intel Core 2 duo 1.85 Ghz o Memori 256 Mb o Hardisk 4 Gb o Virtual CD room,3 NIC (Network Interface Card) o Operasi sistem Ipcop v.1.4.18 Distribusi Linux o IP Address : Green : 192.168.241.10 Orange : 192.168.242.10 Red : 192.168.243.10
Intruder (VMWare 2) o Processor Intel Core 2 duo 1.85 Ghz o Memori 128 Mb o Hardisk 2 Gb o Virtual CD Room, 1 NIC o Operasi Sistem Windows XP professional SP 2 o IP Address : 192.168.242.100 DMZ (VMWare 3) o Processor Intel Core 2 duo 1.85 Ghz o Memori 128 Mb o Hardisk 2 Gb o Virtual CD Room, 1 NIC o Operasi Sistem Windows XP professional SP 2 o IP Address : 192.168.242.11 Host Machine o Processor Intel Core 2 duo 1.85 Ghz o Memori 1 Gb o Hardisk 160 Gb o DVD Combo, 1 NIC o Operasi Sistem Windows XP professional SP 2 o IP Address : 192.168.241.11
4.4.2 Pengujian NIDS 4.4.2.1 Skenario pengujian a) Terdapat tiga virtual komputer sebagai intruder, Ipcop Firewall dan PC untuk DMZ dan satu buah host machine untuk melakukan monitoring. Vmware pertama sebagai Ipcop Firewall yang berada ditengah koneksi jaringan yang akan memantau semua lalu lintas jaringan yang masuk dan keluar. VMWare ke dua sebagai intruder digunakan untuk menjalankan berbagai cara eksploitasi Host Mchine akan bertindak sebagai PC monitoring, digunakan untuk melihat tampilan Ipcop berupa web GUI. b) Intruder akan menggunakan Ping of Death menggunakan ICMP protocol kemudian menggunakan beberapa tools hacker yang bertujuan untuk menciptakan Denial Of Service pada sistem yang dapat mengakibatkan sistem menjadi crash atau hank. c) Selanjutnya diamati pada Host Machine apakah Ipcop mampu menjalankan snort dan fungsi logging snort terhadap serangan dari intruder. d) Mencocokan signature yang terekam pada Ipcop terhadap signature yang ada pada snort signature. e) Mencoba untuk menanggulangi menggunakan Firewall yang ada pada Ipcop.
4.4.2.2 Pengujian 1. Monitoring Host melakukan monitoring dengan masuk ke dalam tampilan Ipcop yang berupa Web GUI, dengan membuka browser dan arahkan ke alamat IP Address Monotoring Interface (https://192.168.241.10 dengan menggunakan port 445 atau 81). Anda akan mendapatkan Security Alert bahwa anda melihat halaman melalui koneksi yang memiliki keamanan, tekan OK untuk melanjutkan. Setelah itu akan dapat peringatan bahwa browser tidak dapat mengenali sertifikat yang terpasang, untuk melanjutkan tekan YES.
Gambar 4.12 security alert
Setelah melewati tahap keamanan maka untuk dapat mengakses Ipcop, harus login terlebih dahulu dengan user name admin lalu masukan password. Password didapat dari akhir proses instalasi. Autentikasi ini dibutuhkan untuk menghindari pengguna yang tidak bertanggung jawab.
Gambar 4.13 login Kemudian Setelah login maka harus melakukan konfigurasi untuk mengaktifkan IDS pada Ipcop firewall karena IDS tidak terkonfigurasi secara default pada Ipcop firewall. Konfigurasi dapat dilakukan dengan mengikuti link services/intrusion detection lalu ceklist pada jaringan / interface yang ingin di pantau (saat pengujian kondisi yang digunakan adalah red, green, orange). Agar snort bisa mendeteksi penyusup maka snort membutuhkan rules. Rules yang terdapat pada Ipcop Firewall versi 1.4.18 adalah rules dengan versi 2.6.1.5. Untuk mendapatkan rules yang terbaru pada Ipcop menyediakan fasilitas untuk bisa terus melakukan update, namun untuk mendapatkan update-an terbaru harus terdaftar pada situs resmi snort di www.snort.org. Setelah terdafatar akan mendapatkan 40 character oink code. Masukan 40 Charater Oink Code, setelah memasukkan code klik save, kemudian apply now untuk menjalankan konfigurasi.
Gambar 4.14 konfigurasi NIDS
Periksa hasil konfigurasi NIDS pada menu status system status kemudian lihat pada services apakah intrusion detecsion system pada network interface green, network interface red, network interface orange sudah berjalan atau tidak. J ika tidak ulangi langkah sebelumya.
Gambar 4.15 status of intrusion detetion system
2. Serangan Pada penggujian ini, PC intruder melakukan ping attack yang merupakan teknik serangan DoS (Denail of Service) dengan mengirimkan beberapa paket ICMP (Internet Control Message Protocol) dalam ukuran yang besar dan terus menerus ke interface Network Orange dan Inreface Network Green pada Ipcop dengan tujuan sebagai berikut : 1. membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datangnya dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam system jaringan. Teknik ini dinamakan traffic flooding. 2. membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini dinamakan sebagai request flooding. 3. meningkatkan kinerja sistem sampai batas maksimal sehingga terjadi buffer overlow yang dapat mengakibatkan sistem menjadi hank atau crash.
Gambar 4.16 denial of sevice
Intruder menggunakan perintah ping dengan size 65000. Berikut gambar untuk eksploitasi ping atack yang dilancarkan di sistem operasi windows dengan time to life 64
Gambar 4.17 Ping attack
Dari gambar diatas intruder berhasil melakukan ping attack terhadap interface Network Orange sehingga traffic pada jaringan tersebut menjadi penuh dikarenakan size yang digunakan merupakan size yang sangat besar. Serangan dilanjutkan kembali menggunakan tool hacker inferno yang berfungsi sebagai DoS (Denail of Service) attack. Tools ini juga mampu melakukan scanning port pada sistem penyedia layanan jaringan sebagai awal dari bentuk serangan sehingga jika terdapat lubang pada port sistem maka inferno akan terus melancarkan pada port tersebut. Selain menggunaan ping attack menggunakan aplikasi Nessus yang berfungsi untuk melakukan scanning terhadap port port yang ada pada Ipcop dan melihat lubang lubang yang memungkinkan untuk dapat disusupi oleh intruder. Dari hasil port scanning terdapat 4 port yang terbuka yaitu port 81, 53, 445, general port.
Gambar 4.18 hasil port scanning
3. Pantauan Ipcop Firewall Pada tampilan web administrator Ipcop Firewall untuk memantau Intrusion Detection System biasanya administrator memperhatikan : o Status pada system Ipcop yaitu: CPU usage Memory Usage Swap Usage Disk Access o Status pada Traffic Ipcop yaitu : Traffic on Green Traffic on Red Traffic on Orange o IDS Logs Hasil dari serangan intruder terekam pada IDS logs berupa report serangan. Ipcop menyimpan log log yang melewati interface pada Ipcop kemudian disimpan pada database snort. IDS logs berfungsi sebagai penterjemah hasil matching antara logs dengan signature snort yang ada pada rules. IDS logs menjelaskan darimana asal serangan,kemana arah tujuan serangan dan bentuk dari serangan. Berikut adalah laporan serangan yang menggunakan ping attack.
Gambar 4.19 report serangan ping attack
Berikut adalah bentuk hasil report serangan yang menggunakan tools hacker inferno.
Gambar 4.20 report serangan menggunakan tools hacker Inferno
Berikut adalah hasil report menggunakan Port Scanning menggunakan tools Nessus.
Gambar 4.21 report serangan menggunakan Nessus
4. Dampak Serangan Dampak serangan yang terjadi pada Ipcop dengan berbagai serangan adalah meningginya proses pada prosesor, memori dan swap. Perubahan yang cukup signifikan pada pengunaan memori dari keadaan yang stabil dengan penggunaan memori sebesar sepuluh persen melonjak beberapa menit menjadi tiga puluh persen. Begitu juga pada cache memory yang meningkat tajam dari empat puluh persen melonjak menjadi Sembilan puluh persen. Berikut adalah grafik yang dhasilkan oleh Ipcop firewall berdasarkan memori yang digunakan.
Gambar 4.22 memory usage
Selain memiliki dampak terhadap kinerja CPU, memori fisik, swap dan cache, dampak serangan yang dilancarkan dapat memadati traffic. Traffic akan dipenuhi oleh ping request yang dilancarkan oleh intruder.
Gambar 4.23 traffic pada interface
4.4.2.3 Pencegahan Menggunakan Firewall Pada sistem operasi Ipcop telah tersedia sistem keamanan jaringan berupa firewall. Ipcop firewall merupakan distribusi linux dengan kernel 2.4.x yang didukung dengan iptables. Pada analisis ini firewall pada Ipcop digunakan untuk mem-blok usaha penyusup untuk masuk kedalam jaringan. Berdasarkan pantauan dari sisi penyerang, penyusup biasanya diawali dengan melakukan ping request pada sistem korban dimaksudkan untuk mengetahui ada atau tidaknya respons sistem korban, kemudian mencoba membuat sistem menjadi crash atau hank. Pada Ipcop hal tersebut dapat ditanggulangi dengan menggunakan fitur Disable Ping Response. Fitur Disable Ping Response berada pada firewall option.
Gambar 4.24 Firewall Options
Penggunaanya adalah dengan memastikan terlebih dahulu darimana asal serangan terjadi, jika terjadi pada network interface red, pilih only RED pada firewall options kemudian klik save. Atau jika terjadi pada interface lainnya seperti network interface green maka pilih All Interfaces.berikut adalah serangan dari sisi intruder pada network interface red dengan menggunakan ping attack.
Gambar 4.25 ping attack
Berikut adalah gambar setelah disable ping response yang berada pada firewall options diaktifkan dengan menggunakan pilihan Only RED.
Gambar 4.26 hasil block menggunakan firewall 4.4.3 Sebelum dan sesudah sistem pendeteksian penyusup berjalan. Pada analisis ini, sistem operasi yang digunakan adalah windows XP profesional service pack 2 sebagai sistem yang belum menggunakan sistem pendeteksian penyusup. Terbukti sistem operasi yang belum menggunakan sistem pendeteksian penyusup kinerja pada CPU-nya menigkat. Berikut adalah tampilan proses CPU sistem operasi yang tidak menggunakan sistem pendeteksian penyusup.
Gambar 4.27 proses CPU
Dari serangan yang terjadi, hal yang menjadi perhatian adalah lalu lintas yang terekam pada network connection sistem operasi yang tidak menggunakan sistem pendeteksian penyusup. Grafik yang ada pada gambar 4.27 melonjak secara signifikan dan presentasi penggunaan traffic pada jaringan komputer dari 100Mbps yang mencapai 99 persen. Keadaan tersebut jika dibiarkan terus menerus akan mengakibatkan keadaan sistem operasi akan lama kelamaan akan crash atau hank dan akan sangat mengganggu konektifitas ke jaringan lainnya. Berikut adalah gambar dari penggunaan network connection pada sistem operasi windows XP profesional.
Gambar 4.28 network connection
Namun setelah penggunaan Ipcop firewall pada jaringan komputer, keadaan ini dapat dihindari dengan mengawasi traffic yang ada pada jika terjadi sesuatu yang mencurigakan pada IDS logs pada Ipcop firewall maka administrator dapat mengaktifkan firewall pada bagian jaringan yang mengalami serangan. Hal ini sudah diimplementasikan oleh mall baru yang ada di Serpong, Tangerang (mengaktifkan firewall pada network interface tertentu). Yaitu Summarecon Mall Serpong. Keadaan dengan firewall aktif pada network interface red terbukti dapat menyulitkan intruder untuk melancarkan serangan seperti ping request.brikut adalah sambungan yang dibuat untuk melakukan eksploitasi pada jaringan summarecon. Eksploitasi dilancarkan dengan cara melakukan MAC spoofing, namun sebelumnya sudah mendapatkan MAC address yang telah terdaftar pada jaringan wireless pada summarecon. MAC spoofing diakukan menggunakan tools K- Mac, berikut adalah gambar pemalsuan MAC address pada PC penyerang.
Gambar 4.29 K-MAC
Berikut adalah gambar dimana MAC address penyerang telah berubah menjadi MAC address yang terdaftar pada akses jaringan summarecon dan jangkauan wireless pada summarecon mall.
Gambar 4.30 Adapter Information
Gambar 4.31 jangkauan wireless
Setelah melakukan konektifitas terhadap jaringan summarecon, penyerang melakukan DoS dengan mengirimkan paket ICMP dengan jumlah besar, namun hal ini telah diantisipasi dengan baik.
Gambar 4.32 konektifitas 4.4.4 Kesimpulan Dari berberapa hasil analisis dan report diatas, snort pada Ipcop berjalan dengan sangat baik. Snort pada Ipcop mampu dapat mencocokan pola pola serangan pada signature signature yang ada pada sistem snort kemudian diterjemahkan oleh Ipcop ke dalam bentuk report berupa IDS logs. Kemudian dengan adanya firewall pada Ipcop, bentuk serangan menggunakan ping request, port scanning dapat di cegah dengan baik.
BAB V KESIMPULAN DAN SARAN
5.1 Kesimpulan Berdasarkan hasil penelitian yang dilakukan di ruang kerja, maka dapat diambil beberapa kesimpulan mengenai Analisis Sistem Pendeteksian dan Pencegahan Penyusup pada J aringan Komputer mengunakan SNORT dan Firewall sebagai berikut : Pemilihan teknologi Intrusion Detection System sangat tepat untuk diterapkan pada satu jaringan sebagai keamanan jaringan yang dapat menjaga integritas data dan informasi. Keamanan teknologi dengan menggunakan teknologi Intrusion Detection System dapat dibuktikan dangan mengoperasikan sistem operasi pendukung yaitu IPCop Firewall yang mampu memantau paket-paket data yang lewat melalui koneksi jaringan komputer. Dengan menggunakan IPCop Firewall bukan hanya dapat memantau paket paket data yang lewat tapi juga dapat mem- blok paket paket data yang dicurigai sebagai bentuk eksploitasi serta memutuskan koneksi.
5.2 Saran Saran-saran yang dapat dikemukakan berdasarkan penelitian tersebut di antaranya : Untuk meningkatkan keamanan pada suatu jaringan komputer dibutuhkan intrusion detection system dan firewall yang lebih baik untuk mem-filter IP address yang lewat. Selalu update signature database agar dapat metode dan cara serangan yang terbaru yang pernah terjadi. Sebaiknya intrusion detection system digunakan untuk kalangan menengah kebawah dengan asumsi keadaan traffic yang ada tidak terlalu padat. Dikarenakan sistem pendeteksian penyusup berbasis snort memiliki kekurangan yaitu tidak dapat bekerja secara optimal pada kondisi traffic yang padat atau berada pada sistem jaringan backbone ( mengakibatkan false positives ) sebaiknya gunakan IPS machine yang mampu menanggulangi keadaan tersebut.
DAFTAR PUSTAKA
Anonymous, Petunjuk Tugas Akhir Program Studi Teknik Informatika Universitas Indonusa Esa Unggul. Universitas Indonusa Esa Unggul, J akarta.