Program Studi

: TKJ
Eksperimen : Admin Server
No. Eksperimen : 07

IDS (Intrusion
Detection System) Snort

Nama
Kelas
Instruktur

: Fajar Wardani
: XII TKJ B
: Pak Dodi

I. Tujuan
1. Siswa dapat mengetahui pengertian dari IDS.
2. Siswa dapat mengkonfigurasi IDS menggunakan aplikasi Snort pada Linux.
3. Siswa dapat mengimplementasikan konfigurasi IDS berdasarkan rules yang dibuat.

II. Pendahuluan
Keamanan atau security adalah mekanisme dan teknik untuk melindungi sesuatu yang
dapat berupa data atau informasi di dalam sistem. Pada dasarnya secutity adalah sistem
yang digunakan untuk melindungi sistem dalam suatu jaringan keamanan agar tetap
terjaga.
Keamanan atau Security haruslah memiliki beberapa bagian penting di dalamnya, yaitu :
1. Availability yaitu menjaga akses untuk masuk ke dalam informasi
2. Confidentianlity yaitu menjaga informasi secara rahasia dan hanya dapat dibuka oleh
yang memiliki hak resmi untuk mengaksesnya.
3. Anonymity yaitu menyembunyikan identitas dari entitas yang terlibat dalam prosesnya
4. Privacy yaitu memiliki hak dan kewajiban yang mengatur akusisim rahasia pribadi, dan
informasi rahasi yang lain.
5. Identification and Authentication yaitu cara mengetahui identitas user dalam jaringan
komputer.
IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) adalah sistem
sistem yang banyak digunakan untuk mendeteksi dan melindungi atau mencegah sistem
keamanan dari serangan serangan. Mekanisme keamanan ini dilakukan dengan cara
membandingkan paket yang masuk dengan data data signature yang ada.
IDS (Intrusion Detection System)
IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya
intrusion yang dilakukan oleh intruder atau pengganggu atau penyusup di jaringan.
IDS (Intrusion Detection System) sangat mirip seperti alarm, yaitu IDS (Instrusion Detection
System) akan memperingati bila terjadinya atau adanya penyusupan pada jaringan. IDS
(Intrusion Detection System) dapat didefinisikan sebagai kegiatan yang bersifat anomaly,
incorrect, inappropriate yang terjadi di jaringan atau host. IDS (Intrusion Detection System)
adalah sistem keamanan yang bekerja bersama Firewall untuk mengatasi Intrusion.
IDS () juga memiliki cara kerja dalam menganalisa apakah paket data yang dianggap
sebagai intrusion oleh intruser. Cara kerja IDS () dibagi menjadi dua, yaitu :
Knowledge Based (Misuse Detection )
Knowledge Based pada IDS (Intrusion Detection System) adalah cara kerja IDS(Intrusion
Detection System) dengan mengenali adanya penyusupan dengan cara menyadap paket
Fajar Wardani XII TKJ B

Page 1

data kemudian membandingkannya dengan database rule pada IDS (Intrusion Detection
System) tersebut. Database rule tersebut dapat berisi signature signature paket
serangan. Jika pattern atau pola paket data tersebut terdapat kesamaan dengan rule
pada database rule pada IDS (Intrusion Detection System), maka paket data tersebut
dianggap sebagai seranganm dan demikian juga sebaliknya, jika paket data tersebut
tidak memiliki kesamaan dengan rule pada database rule pada IDS(Intrusion Detection
System), maka paket data tersebut tidak akan dianggap serangan.
Behavior Based ( Anomaly Based )
Behavior Base adalah cara kerja IDS (Intrusion Detection System) dengan mendeteksi
adanya penyusupan dengan mengamati adanya kejanggalan kejanggalan pada sistem,
aatu adanya keanehan dan kejanggalan dari kondiri pada saat sistem normal, sebagai
contoh : adanya penggunaan memory yang melonjak secara terus menerus atau
terdapatnya koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu
yang bersamaan. Kondisi tersebut dianggap kejanggalan yang selanjutnya oleh IDS
(Intrusion Detection System) Anomaly Based ini dianggap sebagai serangan.
Intrusion itu sendiri didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect,
inappropite yang terjadi di jaringan atau di host tersebut. Intrusion tersebut kemudian akan
diubah menjadi rules ke dalam IDS (Intrusion Detection System). Sebagai contoh,
intrusion atau gangguan seperti port scanning yang dilakukan oleh intruder. Oleh karena itu
IDS (Intrusion Detection System) ditujukan untuk meminimalkan kerugian yang dapat
ditimbulkan dari intrusion.
Jenis Jenis IDS ()
Network Instrusion Detection System (NIDS)
Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada satu
jaringan dengan host implementasi IDS (Intrusion Detection System) tersebut. NIDS
(Network Instrusion Detection System) pada umumnya bekerja dilayer 2 pada OSI layer,
IDS (Intrusion Detection System) menggunakan raw traffic dari proses sniffing
kemudian mencocokknannya dengan signature yang telah ada dalam policy. Jika
terdapat kecocokan antara signature dengan raw traffinc hasil sniffing paket, IDS
(Intrusion Detection System) memberikan allert atau peringgatan sebagai tanda adanya
proses intrusi ke dalam sistem. NIDS (Network Instrusion Detection System) yang cukup
banyak dipakai adalah snort karena signature yang customizable, sehingga setiap
vulnerability baru ditemukan dapat dengan mudah ditambahkan agar jika terjadi usaha
punyusupan atau intrusion dari intruder akan segera terdeteksi.
cotoh : malihat adanya network scanning
Host Instrusion Detection System (HIDS)
Mamantau Anomali di Host dan hanya mampu mendeteksi pada host tempat
implementasi IDS (Intrusion Detection System) tersebut. HIDS (Host Instrusion Detection
System) biasanya berupa tools yang mendeteksi anomali di sebuah host seperti
perubahan file password dengan penambahan user ber UID 0, perubahan loadable
kernel, perubahan ini script, dan gangguan bersifat anomali lainnya.
contoh : memonitor logfile, process, file ownership, dan mode.

Fajar Wardani XII TKJ B

Page 2

Seperti dijelaskan, IDS(Intrusion Detection System) melakukan deteksi gangguan

keamanan dengan melihat Anomali pada jaringan. Anomali dapat dijelaskan sebagai traffic
atau aktifitas yang tidak sesuai dengan kebijakan yang dibuat (policy).
Contoh Anomali yang dijelaskan sebagai Traffic / aktivitas yang tidak sesuai dengan
policy :
Akses dari atau menuji ke host yang terlarang
Memiliki Content atau Patern terlarang (virus)
Menjalakan program terlarang.
IDS () tidak hanya bekerja secara sendiri, IDS (Intrusion Detection System) bekerja
mendeteksi gangguan bersama sama dengan firewall. Mekanisme penggunaan IDS adalah
IDS (Intrusion Detection System) membantu firewall melakukan pengamanan dengan snort (
open source ) ataupun dengan menggunakan Box IDS sedangkan firewall menggunakan
Packet Filtering Firewall. Paket Filtering Firewall dapat membatasi akses koneksi
berdasarkan pattern atau pola pola koneksi yang dilakukan, seperti protokol, IP source
and IP destination, Port Source and Port Destination, Aliran data dan code bit sehingga daat
diatur hanya akses yang sesuai dengan policy saja yang dapat mengakses sestem. Paket
Filtering Firewall bersifat statik sehingga fungsi untuk membatasi akses juga secara statik,
sebagai contoh : akses terhadap port 80 (webserver) diberikan izin (allow) oleh policy, maka
dari manapun dan apapun aktifitas terhadap port tersebut tetap di ijinakan meskipun
aktifitas tersebut merupakan gannguan (intrusion) ataupun usaha penetrasi dari para
intruder. Untuk itulah Paket Filtering Firewall tidak dapat mengatasi gangguan yang bersifat
dinamik sehingga harus dikombinasikan penggunaannya dengan IDS (Intrusion Detection
System) untuk membantu sistem hardening atau pengamanan.
IDS (Intrusion Detection System) dan Firewall menggunakan Engine Sistem Pencegahan
Penyusupan untuk melakukan pengamanan secara maksimal, Engine tersebut bertugas
membaca alert dari IDS (Intrusion Detection System), alert tersebut dapat berupa jenis
serangan dan IP address intruder , kemudian memerintahkan firewall untuk melakukan
block ataupun drop akses intruder tersebut ke koneksi dalam sistem.
Sistem pencegahan intrusion dari para intruder tersebut akan lebih maksimal jika diletakkan
pada router, sehingga daerah kerja sistem tersebut dapat mencakup semua host yang
berada dalam satu jaringan dengan router sebagai tempat mengimplementasikan sistem
pencegahan penyusupan tersebut. Bila konsentrator menggunakan switch, akan terdapat
masalah yang timbul. Masalah tersebut adalah proses pendeteksian terhadap paket data
yang datang menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi masalah
seperti ini, cara tersebut adalah dengan melakukan spoofing MAC address terhadap host
host yang akan diamati.
Paket Decoder
Paket yang disandikan.
Preprocessor (Plug-ins)
Modul plug-in uang berfungsi untuk mengolah paket sebelum dianalisa.
Detection Engine
Fajar Wardani XII TKJ B

Page 3

Rules from signature.

Output Stage
Alert dan Log.
Ada beberapa tipe penggunaan IDS (Intrusion Detection System) untuk menajemen
keamanan informasi dan pengamanan jaringan, yaitu dengan menggunakan Snort IDS
(Intrusion Detection System) dan IDS (Intrusion Detection System) dengan menggunakan
Box.
Snort IDS
Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS
(Intrusion Detection System) di industri. Snort merupakan salah satu software untuk
mendeteksi instruksi pada system, mampu menganalisa secara real-time traffic dan
logging IP, mampu menganalisa port dan mendeteksi segala macam intrusion atau
serangan dari luar seperti buffter overflows, stealth scan, CGI attacks, SMP probes, OS
fingerprinting.
Secara default Snort memiliki 3 hal yang terpenting, yaitu :
1. Paket Snifferm
Contoh : tcpdump, iptraf, dll.
2. Paket Logger
Berguna dalam Paket Traffic.
3. NIDS (Network Intrusion Detection System )
Deteksi Intrusion pada Network
Komponen komponen Snort IDS (Intrusion Detection System) meliputi :
Rule Snort
Rule Snort merupakan database yang berisi pola pola serangan berupa signature
jenis jenis serangan. Rule snort IDS (Intrusion Detection System) harus selalu
terupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan
tersebut dapat terdeteksi. Rule Snort dapat di download pada website
www.snort.org.
Snort Engine
Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu
bekerja untuk membaca paket data dan kemudian membadingkan dengan Rule
Snort.
Alert
Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine
mendeteksi paket data yang lewat sebagai sebuah serangan, maka snort engine
akam mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di
dalam database.
Hubungan ketiga komponen snort IDS (Intrusion Detection System) tersebut dapat
digambarkan dalam gambar berikut.

Fajar Wardani XII TKJ B

Page 4

 IDS (Intrusion Detection System) dengan menggunakan Box

IDS (Intrusion Detection System) dengan menggunakan BOX adalah IDS (Intrusion
Detection System) dengan yang merupakan product dari suatu perusahaan pengembang
keamanan jaringan komputer (Vendor). Sama seperti IDS (Intrusion Detection System)
Snort, IDS (Intrusion Detection System) dengan menggunakan Box ini memiliki
kemampuan yang sama untuk melakukan pendeteksian terhadap intursion dalam
sebuah jaringan. Pada IDS (Intrusion Detection System) dengan menggunakan Box allert
yang digunakan dapat berupa message, message tersebut dapat berupa sms ataupun
email ke administrator.
Untuk melakukan manajemen keamanan informasi pada sistem, haruslah terlebih
dahulu diketahui karateristik yang di dapat dari penggunaan IDS (Intrusion Detection
System) agar pengamanan tersebut dapat dilakukan secara maksimal.

Karateristik atau sifat yang dimiliki Oleh IDS () pada umumnya :

Suitability
Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan
arsitektur jaringan yang dihadapkannya.
Flexibility
Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi
oleh aplikasi tersebut.
Protection
Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan
berbahaya.
Interoperability
Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkatperangkat keamanan jaringan serta manajemen jaringan lainnya.
Comprehensiveness
Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian
secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor
isi dari suatu email serta dapat memblokir address url secara spesifik.
Event Management

Fajar Wardani XII TKJ B

Page 5

Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses
pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan
updating pada sistem basis data pola suatu gangguan.
Active Response
Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya
suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi
Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada
jaringannya.
Support
Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan
aplikasi lain.
Kelebihan yang akan di dapatkan dengan menggunakan IDS (Intrusion Detection
System) sebagai metode Keamanan :
1. Memiliki Akurasi keamanan yang baik
IDS (Intrusion Detection System) haruslah memiliki akurasi atau ketelitian, jadi IDS
(Intrusion Detection System) yang baik adalah IDS (Intrusion Detection System) yang
memiliki ketelitian yang baik untuk mengenal intrusion atau gangguan. Pada saat
sekrarang ini IDS (Intrusion Detection System) telah memiliki ketelitian tinggi, yaitu
mampu secara realtime mendeteksi dan melakukan blocking terhadap tindakan yang
mencurigakan. Selain itu IDS () juga harus mampu memeriksa dan menganalisa pattern
objek secara menyeluruh seperti paket paket data baik Header Paket maupun Payload
yang dipergunakan serta membedakan paket data yang keluar masuk dalam lalu lintas
jaringan sehingga dapat mengenal benar karateristik trafic penyerang.
Oleh karena itu untuk melakukan hal tersebut, IDS (Intrusion Detection System) yang
baik haruslah memiliki karateristik :
Memiliki kemampuan menganalisa protokol dari semua sumber lalu lintas
(trafic).
Memiliki kemampuan menganalisa protokol secara stateful untuk Layer
Network atau Layer ke tiga pada OSI Layer sampai dengan Layer Aplication atau
Layer ke tujuh pada OSI Layer.
Memiliki kemampuan untuk melakukan perbandingan secara Context-Base,
Multiple-Tringger, Multiple-Pattern signature dengan tujuan untuk dapat
mengenal dan mengetahui jenis exploit yang dipergunakan.
Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap
(penumpukan data) pada IP Fragmen (Layer 3).
Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap
(penumpukan data) pada TCP Segment.
Memiliki kemampuan Forward dan Backward apabila terjadi kerancuan
dahbketidakberesan di dalam implementasi protokol (Layer 4).
Memiliki kemampuan kontrol pada tingkat aplikasi protokol seperti :
HTTP, FTP, Telnet, RPC Fragmentasi, dan SNMP (Layer 6 dan Layer 7 ).

Fajar Wardani XII TKJ B

Page 6

2. Mampu Mendeteksi dan Mencegah Serangan.

IDS (Intrusion Detection System) haruslah dapat mendeteksi serangan dn juga mampu
untuk melakukan pencegahan terhadap serangan tersebut,
IDS (Intrusion Detection System) yang baik dalam mengatasi serangan adalah IDS
(Intrusion Detection System ) yang memiliki karateristik :
Dapat beroperasi secara in-line.
Memiliki kehandalan dan ketersediaan.
Deliver high performance.
Kebijakan policy pada IDS(Intrusion Detection System)yang dapat diatus sesuai
dengan yang dibutuhkan.
3. Memiliki cakupan yang Luas dalam Mengenal Proses Attacking
IDS (Intrusion Detection System) haruslah memiliki pengetahuan yang luas, dapat
mengenal serangan apa yang belum dikenalnya, seperti contoh IDS(Intrusion Detection
System) harus mampu mendeteksi serangan DOS mempergunakan analisis signature
dan mampu mendeteksi segala sesuatu yang mencurigakan.
IDS (Intrusion Detection System) yang baik dalam pengenalan attacking adalah IDS
(Intrusion Detection System) yang memiliki karateristik :
Memiliki AI () sehingga IDS (Intrusion Detection System) tersebut dapat
mempelajari sendiri serangan serangan yang datang.
Mampu melakukan proses deteksi trafic dan pembersihan terhadap host ( Layer
3 Layer 7 ).
Mampu melakukan scanning TCP dan UDP.
Mampu memeriksa keberadaan backdoor.
4. Dapat memeberikan Informasi tentang ancaman ancaman yang terjadi.
5. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan reporing yang baik.
6. Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian dan
pencegahan.

III. Alat dan Bahan

1.
2.
3.
4.

Sistem Operasi Linux (Ubuntu Server)

Virtual Machine (Virtualbox)
Koneksi internet
Rules yang akan diimplementasikan

IV. Langkah Kerja

1. Siapkan alat dan bahan.
2. Atur IP Address
a. Laptop (client)
: 192.168.1.2/24
b. Virtual (server) : 192.168.1.3/24
3. Pada server lakukan update software dengan menggunakan perintah
apt-get update
4. Lakukan instalasi aplikasi yang dibutuhkan dengan menggunakan perintah
Fajar Wardani XII TKJ B

Page 7

Apt-get install apache2 php5 php5-mysql mysql-server snort-mysql

5. Buat database dengan nama snort pada server dengan menggunakan perintah
>mysql u root p
>show databases;
>create databases snort;
>quit;
6. Lakukan konfigurasi agar snort terhubung dengan database yang dibuat dengan masuk
ke direktori /usr/share/doc/snort-mysql/ dan gunakan perintah
zcat create_mysql.gz |mysql u root p D snort
7. Hapus direktori db-pending-config pada /etc/snort dengan menggunakan perintah
rm /etc/snort/db-pending-config
8. Lakukan configure pada snort-mysql dengan menggunakan perintah
dpkg configure --pending
9. Lakukan instalasi acidbase dengan menggunakan perintah
apt-get install acidbase
10. Salin file apache.conf pada direktori /etc/acidbase ke /etc/apache2/sites-available
menggunakan nama acidbase dengan menggunakan perintah
cp /etc/acidbase/apache.conf /etc/apache2/sites-availanble/acidbase
11. Konfigurasi file acidbase yang baru disalin dengan mengganti deny from all menjadi
allow to all
12. Aktifkan site acidbase dengan menggunakan perintah
a2ensite acidbase
13. Masuk ke direktori /etc/snort/rules untuk membuat rules dengan menggunakan
perintah
cd /etc/snort/rules
14. Buat rules dengan nama facebook.rules dengan menggunakan perintah
nano facebook.rules
15. Konfigurasi file facebook.rules dengan menambahkan script
alert tcp any any -> adjass any (msg:asdakjfa;sid:10001;rev:10001;)
16. Masukan rules pada file /etc/snort/snort.conf dengan menambahkan script
include $RULE_PATH/facebook.rules
17. Restart snort-mysql dengan menggunakan perintah
invoke-rc.d snort restart
18. Restart apache dengan menggunakan perintah
invoke-rc.d apache2 restart
19. Masuk ke computer client.
20. Buka
web
browser
untuk
masuk
ke
BASE
dengan
menggunakan
alamat_ip_server/acidbase
21. Lakukan konfigurasi acidbase dengan membuuat BASE AG.
22. Lakukan pengecekan alamat sesuai rule yang telah dibuat. Cek apakah ancaman
protokol masih 0% atau sudah bekerja dengan baik.

V. Hasil Pengamatan
Fajar Wardani XII TKJ B

Page 8

1. Update OS

2. Instalasi package

Fajar Wardani XII TKJ B

Page 9

3. Pembuatan database snort

Fajar Wardani XII TKJ B

Page 10

4. Mengkompress file dan menghubungkannya dengan database snort

5. Penghapusan direktori /etc/snort/db-pending-config

6. Configure snort
7. Instalasi acidbase

Fajar Wardani XII TKJ B

Page 11

Fajar Wardani XII TKJ B

Page 12

Fajar Wardani XII TKJ B

Page 13

Fajar Wardani XII TKJ B

Page 14

8. Reconfigure snort-mysql

Fajar Wardani XII TKJ B

Page 15

Fajar Wardani XII TKJ B

Page 16

Fajar Wardani XII TKJ B

Page 17

Fajar Wardani XII TKJ B

Page 18

Fajar Wardani XII TKJ B

Page 19

Fajar Wardani XII TKJ B

Page 20

Fajar Wardani XII TKJ B

Page 21

9. Penyalinan file /etc/acidbase ke /etc/apache2/sites-available/acidbase

10. Konfigurasi site acidbase

11. Pengaktifan site acidbase

Fajar Wardani XII TKJ B

Page 22

12. Pembuatan rules facebook.rules

13. Konfigurasi facebook.rules

14. Konfigurasi file /etc/snort/snort.conf

15. Restart snort

16. Restart apache2

17. Konfigurasi BASE melalui client

Fajar Wardani XII TKJ B

Page 23

Fajar Wardani XII TKJ B

Page 24

18. Pengecekan melalui client

Fajar Wardani XII TKJ B

Page 25

VI. Kesimpulan
1. Lalala IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya
intrusion yang dilakukan oleh intruder atau pengganggu atau penyusup di
Fajar Wardani XII TKJ B

Page 26

jaringan. IDS (Intrusion Detection System) sangat mirip seperti alarm, yaitu IDS
(Instrusion Detection System) akan memperingati bila terjadinya atau adanya
penyusupan pada jaringan. IDS (Intrusion Detection System) dapat didefinisikan sebagai
kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau
host. IDS (Intrusion Detection System) adalah sistem keamanan yang bekerja bersama
Firewall untuk mengatasi Intrusion.
2. Snort merupakan salah satu software untuk mendeteksi instruksi pada system, mampu

menganalisa secara real-time traffic dan logging IP, mampu menganalisa port dan
mendeteksi segala macam intrusion atau serangan dari luar seperti buffter overflows,
stealth scan, CGI attacks, SMP probes, OS fingerprinting. lalallala

Fajar Wardani XII TKJ B

Page 27