Skripsi - BAB 1 - BAB 5 Fix (3-8-17) - (10.33 WIB)

IMPLEMENTASI IPS (INTRUSION PREVENTION SYSTEM)
MENGGUNAKAN SNORT PADA SISTEM KEAMANAN

JARINGAN LOKAL DI UNIVERSITAS NEGERI JAKARTA
Proposal Skripsi
MUHAMAD SYAHRIZAL
5235134410
PENDIDIKAN TEKNIK INFORMATIKA DAN KOMPUTER

JURUSAN TEKNIK ELEKTRO
FAKULTAS TEKNIK
UNIVERSITAS NEGERI JAKARTA
2017
LEMBAR PENGESAHAAN
NAMA DOSEN TANDA TANGAN TANGGAL
M. Ficky Duskarnaen, ST., M.Sc

(Dosen Pembimbing I)
Hamidillah Ajie, S.si., M.T

(Dosen Pembimbing II)
PENGESAHAN PANITIA UJIAN SKRIPSI
NAMA DOSEN TANDA TANGAN TANGGAL
.

(Ketua Penguji)
.

(Sekretaris Penguji)
.

(Dosen Ahli)
1
DAFTAR ISI
LEMBAR PENGESAHAAN ........................................................................... i

DAFTAR ISI ..................................................................................................... ii
DAFTAR TABEL ............................................................................................. iv
DAFTAR GAMBAR ........................................................................................ v
BAB I PENDAHULUAN ................................................................................. 1

1.1 Latar Belakang Masalah .............................................................................. 1
1.2 Identifikasi Masalah .................................................................................... 3
1.3 Batasan Masalah ......................................................................................... 4
1.4 Rumusan Masalah ....................................................................................... 4
1.5 Tujuan Penelitian ........................................................................................ 4
1.6 Manfaat Penelitian ...................................................................................... 4
BAB II KAJIAN TEORITIK DAN KERANGKA BERPIKIR ................... 5

2.1 Kajian Teoritik ............................................................................................ 5
2.1.1 Keamanan Jaringan Komputer........................................................... 5
2.1.1.1 Kebijakan Keamanan .................................................................... 6
2.1.1.2 Mengenali Ancaman Pada Jaringan .............................................. 8
2.1.1.3 Menentukan Security Policy ......................................................... 8
2.1.1.4 Jenis Serangan ............................................................................... 9
2.1.1.5 Jaringan Universitas Negeri Jakarta .............................................. 13
2.1.2 Intrusion Detection System (IDS) ...................................................... 15
2.1.2.1 Intrusion Prevention System (IPS) ................................................ 19
2.1.2.2 Perbedaan IDS dan IPS ................................................................. 23
2.1.3 Snort ................................................................................................... 23
2.1.3.1 Komponen Snort ........................................................................... 27
2.1.3.2 Decoder ......................................................................................... 27
2.1.3.3 Preprocesor ................................................................................... 28
2.1.3.4 Detection Engine ........................................................................... 28
2.1.3.5 Logging and Alerting .................................................................... 28
2.1.3.6 Output Modules ............................................................................. 29
2.2 Kerangka Berpikir ...................................................................................... 29
BAB III METODOLOGI PENELITIAN ...................................................... 32

3.1. Tempat dan Waktu Penelitian ..................................................................... 32
3.2. Alat dan Bahan Penelitian .......................................................................... 32
3.2.1 Perangkat Keras ............................................................................... 32
3.2.2 Perangkat Lunak ............................................................................... 33
2
3.2.3 Metode Pengujian ............................................................................. 33
3.2.4 Pengujian dengan Perintah PING ..................................................... 34
3.2.5 Pengujian dengan LOIC ................................................................... 34
3.2.6 Pengujian dengan Advanced Port Scannaing ................................... 36
3.3. Diagram Alir Penelitian ............................................................................. 38
3.4. Teknik dan Prosedur Pengumpulan Data ................................................... 40
3.4.1 Teknik Pengumpulan Data ............................................................... 40
3.4.2 Prosedur Pengumpulan Data ............................................................ 41
3.5. Teknik Analisis Data ................................................................................... 42
3.5.1 Analisis Pada Server (Sensor IPS) ................................................... 42
3.5.2 Analisis Pada Client (Attacker) ........................................................ 43
DAFTAR PUSTAKA ........................................................................................ 45
LAMPIRAN ...................................................................................................... 4
3
HALAMAN PERNYATAAN
Dengan ini Saya menyatakan bahwa :
1. Karya tulis ini adalah asli dan belum pernah diajukan untuk mendapatkan
gelar akademik sarjana, baik di Universitas Negeri Jakarta maupun di
perguruan tinggi lain.

2. Karya tulis ini murni gagasan, rumusan, dan penelitian Saya sendiri
dengan arahan dosen pembimbing.

3. Dalam karya tulis ini tidak terdapat karya atau pendapat yang telah ditulis
atau dipublikasikan orang lain, kecuali secara tertulis dengan jelas
dicantumkan sebagai acuan dalam naskah dengan disebutkan nama
pengarang dan dicantumkan dalam daftar pustaka.

4. Pernyataan ini Saya buat dengan sesungguhnya dan apabila di kemudian
hari terdapat penyimpangan dan ketidakbenaran dalam pernyataan ini,
maka Saya bersedia menerima sanksi akademik berupa pencabutan gelar
yang telah diperoleh Karena karya tulis ini, serta sanksi lainnya sesuai
dengan norma yang berlaku di Universitas Negeri Jakarta.
Jakarta, 3 Agustus 2017

Yang membuat pernyataan,
Muhamad Syahrizal
5235134410
4
MUHAMAD SYAHRIZAL
Abstrak
Penelitian ini bertujuan untuk merancang dan mengimplementasikan sebuah

sistem keamanan jaringan dengan Intrusion Prevention System (IPS)
menggunakan snort yang dapat menghalau serangan dari dalam jaringan lokal
UNJ agar aktivitasnya bisa terkontrol. Penelitian dilakukan di data center milik
UPT TIK-TIK UNJ pada bulan Maret sampai dengan Juli 2017. Metode yang
digunakan pada penelitian ini adalah rekayasa Teknik . setelah melakukan
perancangan sistem keamanan dengan snort yang dijadikan sebagai IPS dan di
integrasikan dengan Barnyard2 dan Snorby, kemudian sistem keamanan tersebut
diuji dengan menggunakan Teknik Dos dengan Ping Flood ,Aplikasi LOIC, dan
Trace root. Dari data hasil ujicoba yang dilakukan dengan mengirimkan paket
ping dengan kondisi dan besaran paket yang ditentukan, dari total keseluruhan
paket berbahaya yang dikirim aplikasi LOIC, tidak ada paket yang diterima
korban, dan dari pengujian traceroot command menunjukan bahwa traceroot tidak
diijinkan dilakukan pada jaringan. Berdasarkan pada hasil pengujian yang telah
dilakukan, menunjukan sistem keamanan yang dirancang dapat melakukan
pemblokiran serangan yang dilakukan sehingga paket dan aktivitas serangan tidak
sampai pada tujuan.
Kata kunci: sistem keamanan jaringan, intrusion prevention system ,

snort ,jaringan lokal
5
MUHAMAD SYAHRIZAL
Abstract
6
DAFTAR TABEL
Tabel 2.1 Perbedaan Host-Based dan Network-Based .......................................19

Tabel 2.2 Perbandingan IDS dan IPS..................................................................23
Tabel 3.1 Indikator Pengujian Server .................................................................43
Tabel 3.2 Indikator Pengujian Client .................................................................43
Tabel 4. 1 Hasil Pengujian Fungsional................................................................57
Tabel 4. 2 Hasil Pengujian Ping Of Death..........................................................59
Tabel 4. 3 Hasil Pengujian Tracert Packet..........................................................61
7
DAFTAR GAMBAR
Gambar 2. 1 Rule Security Policy......................................................................7

Gambar 2. 2 Struktur Organisasi UPT TIK-UNJ................................................14
Gambar 2. 3 Topologi Jaringan Komputer Kampus A UNJ................................15
Gambar 2. 4 Host-Based IDS..............................................................................18
Gambar 2. 5 Network-Based IDS.......................................................................18
Gambar 2. 6 Intrusion Prevention System.......................................................... 20
Gambar 2. 5 Komponen-Komponen Snort......................................................... 27
Gambar 2. 8 Kerangka Berpikir.......................................................................... 31
Gambar 3. 1 Aplikasi LOIC................................................................................ 36
Gambar 3. 2 Contoh Penyerangan dengan LOIC................................................ 37
Gambar 3. 3 Aplikasi Advanced Port Scanner.................................................... 38
Gambar 3. 4 Contoh Pengujian Advanced Port Scanner..................................... 39
Gambar 3. 5 Diagram Alir Penelitian.................................................................. 40
Gambar 3. 6 Prosedur Pengumpulan Data ......................................................... 43
Gambar 4. 1 Jaringan WAN, DMZ, dan LAN....................................................47
Gambar 4. 2 Penempatan Server IPS..................................................................48
Gambar 4. 3 Validasi Snort Instalasi...................................................................51
Gambar 4. 4 Snot Active (Running)....................................................................51
Gambar 4. 5 Log Hasil Snort..............................................................................52
Gambar 4. 6 Barnyard2 Active (Running)..........................................................53
Gambar 4. 7 File Log Snort.u2 dan Snort.log.....................................................53
Gambar 4. 8 Snorby Active (Running)...............................................................54
Gambar 4. 9 Snorby Web GUI............................................................................55
Gambar 4. 10 Log Pada Snorby..........................................................................55
Gambar 4. 11 Dashboard Snorby........................................................................56
Gambar 4. 12 Lokasi Sensor IPS Secara Garis Besar.........................................62
Gambar 4. 13 Web Monitoring Snorby Untuk Administrator.............................63
8
BAB I
PENDAHULUAN
1.1 Latar Belakang Masalah

Seiring dengan perkembangan zaman, Teknologi Informasi (TI) menjadi
pilihan utama dalam berbagi data dan informasi. Melalui sebuah jaringan
komputer data dan informasi dapat dengan mudah dikelola dan disampaikan
kepada sasaran penerima, namun informasi yang tersedia dapat bersifat public dan
juga bersifat pribadi. Hal ini menimbulkan masalah baru jika seandainya data dan
informasi yang bersifat pribadi atau bukan konsumsi publik ini tersebar luas tanpa
adanya pihak yang bertanggung jawab, oleh sebab itu keamanan suatu jaringan
menjadi sebuah aspek penting dalam melindungi secara optimal sebuah sistem.
Terlebih lagi jika jaringan tersebut terhubung ke internet maka berbagai ancaman
lain seperti virus,malware,worm dan aktivitas merusak sistem lainnya dapat
mempengaruhi kinerja, integritas , serta kredibilitas dari suatu sistem pada
jaringan tersebut.
Dewasa ini keamanan jaringan terus mendapat perhatian dari para pengguna
jaringan oleh karena itu terdapat beberapa cara yang dapat diimplementasikan
mulai dari penerapan hardware dan software, dengan software yang bersifat
proprietary dan opensource. Salah satu software yang bersifat open source dalam
keamanan jaringan komputer adalah snort. Snort adalah aplikasi keamanan
modern dengan tiga fungsi utama: dapat berfungsi sebagai packet sniffer, logger
paket, atau Jaringan berbasis Intrusion Detection Sistem (IDS).
1
Intrusion Detection Sistem (IDS) merupakan salah satu opsi untuk
meningkatkan keamanan jaringan dalam sebuah jaringan baik intranet maupun
2
3
Internet. Penerapan Instrusion Detection Sistem (IDS) digunakan sebagai salah
satu solusi yang dapat digunakan untuk membantu administrator dalam memantau
dan menganalisa paket paket berbahaya yang terdapat dalam sebuah jaringan.
Namun dalam implementasinya Intrusion Detection Sistem (IDS) dirasa masih
kurang menyelesaikan masalah keamanan jaringan, oleh sebab itu
dikembangkanlah sebuah aplikasi dari fungsi utama Intrusion Detection Sistem
(IDS) dengan Intrusion Prevention Sistem (IPS). Intrusion Prevention Sistem
(IPS) adalah pendekatan yang sering digunakan untuk membangun sistem
keamanan komputer, IPS mengkombinasikan teknik firewall dan metode
Intrusion Detection Sistem (IDS) dengan sangat baik. Teknologi ini dapat
digunakan untuk mencegah serangan yang akan masuk ke jaringan lokal dengan
memeriksa dan mencatat semua paket data serta mengenali paket dengan sensor,
disaat serangan telah teridentifikasi.
Universitas Negeri Jakarta (UNJ) merupakan sebuah instansi pendidikan
dengan jaringan komputer yang cukup besar. Jaringan komputer yang terdiri dari
jaringan lokal tiap-tiap Fakultas (Jaringan LAN) ,dan juga jaringan yang
terhubung ke internet (Jaringan WAN). Dalam pengelolaannya UNJ menggunakan
sistem keamanan jaringan berupa firewall yang melindungi sistem dari serangan
luar, akan tetapi berdasarkan pernyataan administrator jaringan UNJ per tanggal 9
Maret 2017, dalam mengakses suatu informasi pengguna internet di UNJ
terkadang menemukan beberapa website yang dikunjungi melakukan Human
Verification untuk mengakses informasi tersebut. Hal ini menjelaskan bahwa IP
lokal diduga melakukan aktivitas mencurigakan berupa serangan ke jaringan luar
yang menyebabkan IP Publik UNJ diragukan validitasnya. Sebelumnya pada

4
tahun 2014 tepatnya pada tanggal 28 April UNJ mendapati terjadinya aktivitas
tidak wajar pada jaringan DMZ yang melakukan generate traffic dengan prinsip
DOS hanya saja aktivitas tersebut telah ditangani dengan penerapan snort di DMZ
oleh Dhani Widya Darma dengan penelitian penerapan IPS di jaringan DMZ.
Namun dalam masalahnya kini penerapan hanya pada DMZ dan bukan pada
jaringan lokal yang melakukan banyak aktivitas di internet.
Menyikapi hal yang terjadi, maka pada jaringan UNJ diperlukan
perancangan suatu sistem keamanan yang dapat melakukan deteksi aktivitas serta
pencegahan serangan dari jaringan lokal berupa snort untuk menjaga sistem tetap
berjalan optimal dan dirancang pada penelitian dengan judul IMPLEMENTASI
IPS (INTRUSION PREVENTION SYSTEM) MENGGUNAKAN SNORT
PADA SISTEM KEAMANAN JARINGAN LOKAL DI UNIVERSITAS
NEGERI JAKARTA.
1.2 Identifikasi Masalah
Berdasarkan latar belakang di atas, maka dapat diidentifikasi berbagai
masalah sebagai berikut:
1. Diduga terdapat beberapa aktivitas mencurigakan yang dilakukan jaringan
lokal UNJ ke jaringan Internet yang menyebabkan beberapa situs tidak
dapat diakses karena IP Publik diblok oleh penyedia Internet.

2. Belum tersedianya servis dalam mengantisipasi terjadinya serangan pada
sistem dari jaringan lokal.

3. Beberapa kasus serangan yang terjadi pada sistem masih memerlukan
analisa manual oleh administrator untuk menentukan jenis serangan.

4. Belum ada admin yang secara khusus menangani keamanan jaringan.
5
1.3 Batasan Masalah
Melihat luasnya lingkup permasalahan yang telah diidentifikasi di atas,
maka penelitian ini dibatasi pada:
1. Sistem diterapkan pada jaringan lokal kampus A UNJ.

2. Pengujian sistem terhadap pencegahan serangan ping of flood, denial of
service (DOS), dan port scanner.

3. Penggunaan firewall sebagai keamanan jaringan di Universitas Negeri
Jakarta hanya diperuntukan untuk mencegah serangan dari jaringan luar.

4. Sistem dibangun dalam lingkungan Ubuntu 15.07 dengan aplikasi snort.
1.4 Rumusan Masalah
Berdasarkan proses latar belakang, identifikasi, dan pembatasan masalah,
maka perumusan masalah yang akan dibahas pada penelitian ini adalah
Bagaimana mendesain dan mengimplementasikan IPS agar dapat menghalau
serangan dari jaringan lokal pada sistem di Universitas Negeri Jakarta dan
bagaimana hasilnya ?
1.5 Tujuan Penelitian
Berdasarkan perumusan masalah yang telah dirumuskan sebelumnya maka
tujuan dari penelitian ini agar Implementasi dari IPS pada sistem jaringan
komputer mampu menjaga kinerja keamanan jaringan di Universitas Negeri
Jakarta.
1.6 Manfaat Penelitian
Kegunaan dari penelitian ini diharapkan dapat membantu administrator
jaringan dalam :
1. Menjaga keamanan jaringan lokal UNJ

2. Menghalau serangan yang berasal dari dalam jaringan UNJ
BAB II
TINJAUAN PUSTAKA
2.1 Kajian Teoritik
2.1.1 Keamanan Jaringan Komputer
Keamanan jaringan adalah suatu cara atau proses dalam melakukan
sebuah proteksi jaringan komputer dengan beberapa metode atau sistem
yang diterapkan dengan tujuan menghindari ancaman yang dapat merusak
optimalisasi jaringan. Keamanan jaringan secara umum adalah komputer
yang terhubung ke network dan memiliki ancaman keamanan lebih besar
daripada komputer yang tidak terhubung kemana-mana.

Dalam penerapannya network security bertentangan dengan network
access, hal ini terjadi karena jika network access semakin mudah maka
network security semakin rawan, begitu pula sebaliknya security access
yang tinggi dapat mengurangi kenyamanan network access. Namun
dengan langkah-langkah pengendalian dan pencegahan yang tepat, maka
dapat mengurangi risiko pada jaringan komputer secara langsung maupun
tidak langsung. Adapun upaya meningkatkan keamanan jaringan sebuah
sistem harus memenuhi beberapa unsur, antara lain:
1. Confidentiality (kerahasiaan). Pembatasan akses hanya kepada user yang
berhak atas suatu data atau informasi, dan mencegah akses dari user yang
tidak memiliki hak.
6
7
2. Integrity (integritas). Keaslian data atau informasi yang dikirm melalui
jaringan dari sumber ke penerima secara lengkap, tanpa ada modifikasi
atau manipulasi oleh pihak yang tidak berwenang.

3. Availabillity (ketersediaan). Ketersediaan data atau informasi ketika
dibutuhkan saat itu juga.
Tujuan keamanan jaringan komputer adalah untuk mengantisipasi
resiko jaringan komputer berupa bentuk ancaman fisik maupun logik baik
langsung ataupun tidak langsung mengganggu aktivitas yang sedang
berlangsung dalam jaringan komputer. Salah satu metode yang dapat
digunakan dalam mengamankan sebuah jaringan komputer ialah
penerapan Intrusion Detection System (IDS) dan Intrusion Prevention
System (IPS) dengan menentukan kebijakan berupa kebijakan kemanan
(security policy). Saat kita akan melindungi sebuah jaringan tentunya
harus terlebih dahulu menentukan prosedur dan kebijakan yang akan
digunakan, agar pada penerapan nya sistem yang dibuat dapat sesuai
dengan harapan dalam melindungi jaringan.
2.1.1.1 Kebijakan Keamanan
Sistem keamanan jaringan komputer yang terhubung ke internet
harus direncanakan dan dipahami dengan baik agar dapat melindungi
investasi dan sumber daya di dalam jaringan komputer tersebut secara
efektif. (Onno W. Purbo dan Tony Wiharjito, 2000).

Perencanaan keamanan yang baik dapat membantu menentukan apa
yang harus dilindungi, seberapa besar nilai atau biayanya, dan siapa yang
bertanggung jawab terhadap data maupun aset-aset lain dalam jaringan

8
komputer. Secara umum terdapat tiga hal yang harus diperhatikan dalam
perencanaan kebijakan keamanan jaringan komputer:
1. Risiko dan tingkat bahaya (risk)

Menyatakan seberapa besar kemungkinan dimana penyusup (intruder)
berhasil mengakses komputer dalam suatu jaringan.

2. Ancaman (threat)
Menyatakan sebuah ancaman yang datang dari seseorang yang mempunyai
keinginan untuk memperoleh akses illegal ke dalam suatu jaringan
komputer seolaholah mempunyai otoritas terhadap jaringan tersebut

3. Kerapuhan sistem (vulnerability)
Menyatakan seberapa kuat sistem keamanan suatu jaringan komputer yang
dimiliki dari seseorang dari luar sistem yang berusaha memperoleh akses
illegal terhadap jaringan komputer tersebut.
Analisa ancaman adalah sebuah proses audit dimana semua
kemungkian penyerangan terhadap sistem diidentifikasi secara cermat
(Amin Zaid, 2012). Sebuah catatan yang memuat semua daftar
kemungkinan penyalahgunaan dan gangguan terhadap sistem hendaknya
dibuat sebagai basis peringatan.
Threats Security Security

Analysis Policy Mechanism
Gambar 2. 1 Rule Security Policy
Berdasarkan Gambar 2.1 enerapan kebijakan hendaknya dilakukan
secara sistematis yakni diawali dengan analisis awal baik secara fisik
maupun logic, hal ini juga berisikan salah satunya tentang resiko-resiko
yang ditimbulkan, barulah kemudian dilakukan proses implementasi
mekanismemekanisme security yang telah dirancang tersebut, sebagai

9
contoh mekanisme access control yang menerangkan objek-objek mana
saja yang diizinkan untuk diakses publik dan mana yang tidak.
2.1.1.2 Mengenali Ancaman Pada Jaringan
Dalam penerapan suatu sistem keamanan tentunya kita akan
dihadapkan dengan beberapa ancaman yang dapat merusak, dan ancaman
tersebut memiliki kriteria dan sifat masing-masing, oleh sebab itu dalam
mengembangkan rencana network security yang efektif kita perlu
memahami ancaman yang mungkin datang tersebut. Menurut (Ariyus
Doni, 2007) dalam RFC 1244,Site Security Handbook, ancaman
dibedakan menjadi tiga tipe:
1. Akses tidak sah oleh orang yang tidak memiliki wewenang.

2. Kesalahan informasi, segala masalah yang dapat menyebabkan
diberikannya informasi yang penting atau sensitif kepada orang yang
salah, yang seharusnya tidak boleh mendapatkan informasi tersebut.

3. Penolakan terhadap service, segala masalah mengenai security yang
menyebabkan sistem mengganggu pekerjaan-pekerjaan yang produktif.
Pada pembahasan ini ditekankan network security dari segi perangkat
lunak, namun network security sebenarnya hanyalah sebagian dari rencana
keamanan yang lebih besar, termasuk rencana keamanan fisik.
2.1.1.3 Menentukan Security Policy
Pada dasarnya untuk membuat suatu sistem jaringan yang aman,
semua tidak lepas dari bagaimana mengelola suatu sistem dengan baik.
Salah satu masalah pada network security yang paling penting adalah
menentukan kebijakan (security policy) dalam network security. Network

10
security tidak akan efektif kecuali user yang menggunakan jaringan
mengetahui tanggung jawab masing-masing, dalam hal ini terdapat
beberapa tanggung jawab yang mencakup penggunaan sebuah jaringan:
1. Tanggung jawab user pada keamanan jaringan, yang meliputi keharusan
user untuk mengganti password dalam periode tertentu, aturan tertentu,
atau memeriksa kemungkinan pengaksesan oleh orang lain.

2. Tanggung jawab administrator pada keamanan sistem, misalnya,
memantau prosedur-prosedur yang digunakan pada host.

3. Penggunaan yang benar atas resource network, dengan menetukan siapa
dan apa yang boleh diakses dan tidak.
Langkah-langkah yang harus diperbuat apabila serangan atau
masalah-masalah keamanan lainnya terdeteksi ialah dengan menjelesakan
dan menentukan kebijakan yang diterapkan secara tegas.
2.1.1.4 Jenis Serangan
Dalam mencapai tujuan nya seorang penyusup dengan niat untuk
mencuri data hingga melumpuhkan sistem dapat dilakukan dengan
beberapa cara yang disampaikan oleh Monika Kusumawati (2010) dalam
penelitian sebelumnya dengan judul Implementasi IDS Intrusion
Detection System Serta Monitoring Jaringan Dengan Interface Web
Berbasis Base Pada Keamanan Jaringan menjelaskan beberapa tipe-tipe
serangan yang dapat dilancarkan oleh pihak-pihak tertentu terhadap
sebuah jaringan komputer:
1. Denial Of Service (DOS)

11
Merupakan sebuah jenis serangan terhadap sebuah komputer atau
server di dalam jaringan internet. DOS ini bekerja dengan cara
menghabiskan resource yang dimiliki oleh komputer tersebut sampai
akhirnya komputer tersebut tidak dapat menjalankan fungsinya dengan
benar yang secara tidak langsung mencegah pengguna lain untuk
memperoleh akses layanan dari komputer yang diserang tersebut. DOS ini
akan menyerang dengan cara mencegah seorang pengguna untuk
melakukan akses terhadap sistem atau jaringan yang dituju. Ada beberapa
cara yang dilakukan oleh DOS untuk melakukan serangan tersebut yaitu:
- Membajiri trafic atau lalu lintas jaringan dengan banyaknya data-data
sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar
menjadi tidak dapat masuk ke dalam sistem jaringan. Biasanya teknik
ini disebut sebagai traffic flooding.

- Membanjiri jaringan dengan cara merequest sebanyak-banyaknya
terhadap sebuah layanan jaringan yang disediakan oleh sebuah client
sehingga request yang datang dari para pengguna terdaftar tidak dapat
dilayani aleh layanan tersebut. Biasanya teknik ini disebut sebagai
request flooding.
- Menggangu komunikasi antara sebuah client dan kliennya yang
terdaftar dengan menggunakan banyak cara termasuk dengan cara
mengubah informasi konfigurasi sistem bahakan adanya perusakan
fisik terhadap komponen dan server.
2. Telnet
Telnet tergolong unik yang dirancang dengan mengecualikan
pencatatan rlogin. Telnet dirancang untuk memungkinkan seorang user log

12
in ke mesin lain dan mengeksekusi perintah disana. Telnet seperti halnya
rlogin bekerja seperti halnya pada konsol mesin remote tersebut seolah-
olah secara fisik berada di depan mesin remote tersebut menyalakan dan
mulai bekerja.
3. Port Scanning
Merupakan sustu proses untuk mencari dan membuka port pada
suatu jaringan komputer. Hasil scanning tersebut akan didapatkan letak
kelemahan sistem tersebut. Pada dasarnya sistem port scanning mudah
untuk dideteksi namun penyerang akan menggunakan berbagai metode
untuk menyembunyikan serangan.

4. IP-Spoofing
IP Spoofing juga dikenal sebagai Source Address Spoofing yaitu
pemalsuan alamat IP attacker sehingga sasaran menganggap alamat IP
attacker adalah alamat IP dari host di dalam network bukan dari luar
network. Misalkan attacker mempunyai IP address type A 66.25.xx.xx
ketika attacker melakukan serangan jenis ini maka Network yang diserang
akan menganggap IP attacker adalah bagian dari Networknya misal
192.xx.xx.xx yaitu IP type C.

IP Spoofing terjadi ketika seorang attacker mengakali packet routing
untuk mengubah arah dari data atau transmisi ke tujuan yang berbeda.
Paket untuk routing biasanya di transmisikan secara transparan dan jelas
sehingga membuat attacker dengan mudah untuk memodifikasi asal data
ataupun tujuan dari data. Teknik ini bukan hanya dipakai oleh attacker
tetapi juga dipakai oleh para security profesional untuk men-tracing
identitas dari para attacker.

5. ICMP Flood
Melakukan ekploitasi sistem agar dapat membuat suatu target client
menjadi crash yang dilakukan oleh penyerang. Sehingga menjadi crash

13
karena diakibatkan oleh pengiriman sejumlah paket yang besar kearah
targer client. Exploting sistem ini dilakukan dengan mengirimkan suatu
perintah ping dengan tujuan broadcast atau multicast di mana si pengirim
dibuat seolah-olah adalah target client. Semua pesan balasan
dikembalikan ke target cient. Hal inilah yang membuat target client
menjadi crash dan menurunkan kinerja jaringan. Bahkan hal ini dapat
mengakibatkan denial of service.

6. UDP Flood
Pada dasarnya mengkaitkan dua sistem tanpa disadarinya. Dengan
cara spoofing User Datagram Protocol UDP flood attack akan menempel
pada servis UDP chargen di salah satu mesin yang untuk keperluan
percobaan akan mengirimkan sekelompok karakter ke mesin lain yang di
program untuk meng-echo setiap kiriman karakter yang di terima melalui
service chargen. Karena paket UDP tersebut di spoofing antara ke dua
mesin tersebut maka yang terjadi adalah banjir tanpa henti kiriman
karakter yang tidak berguna antara ke dua mesin tersebut. Untuk
menanggulangi UDP flood kita dapat men-disable semua servis UDP di
semua mesin di jaringan atau yang lebih mudah memfilter pada firewall
semua servis UDP yang masuk.

7. Base Orifice
Base Orifice adalah sebuah alat bantu administrasi komputer dari
jarak jauh yang dapat digunakan untuk mengontrol keluarga sistem operasi
Microsoft Windows yang dikembangkan oleh kelompok peretas
professional Cult of the Dead Cow. Back Orifice dirilis pertama kali untuk
platform Windows NT pada tahun 1997. Namanya merupakan pelesetan
dari Microsoft BackOffice Server. Pada tahun 1999 grup yang sama
14
merilis versi baru yang disebut sebagai Back Orifice 2000 atau sering
disebut BO2K. Meskipun pada dasarnya alat bantu ini merupakan salah
satu bentuk dari Trojan horse yang dapat digunakan untuk mendapatkan
akses dan kontrol penuh terhadap mesin target. Program ini menawarkan
banyak fitur khususnya untuk mengendalikan sistem operasi Windows NT.
Tampilan yang digunakannya sangatlah mudah dan sederhana sehingga
para peretas pemula pun dapat menggunakannya. Untuk mendapatkan
sistem yang benar-benar aman bukan hanya membenahi di jaringan
external tetapi harus juga membenahi jaringan internal yang sesuai dengan
kebijakan keamanan jaringan.
2.1.1.5 Jaringan Komputer Universitas Negeri Jakarta
Jaringan komputer Universitas Negeri Jakarta (UNJ) merupakan
sebuah jaringan komputer yang mencakup jaringan lokal dan internet
yang terdapat di wilayah UNJ. Dalam proses pemeliharaan jaringan, UNJ
memberikan tanggung jawab kepada Unit Pelayanan Teknis Teknik
Informatika dan Komputer Universitas Negeri Jakarta (UPT TIK UNJ)
sebagai salah satu unit pelaksana yang mengelola pemanfaatan teknologi
informasi dan komunikasi untuk mendukung kegiatan pendidikan,
penelitian, pengabdian kepada masyarakat, serta penyimpanan dan
pengolahan data UNJ.
Dalam proses pelaksanaan tugas, tercapainya peningkatan kualitas
dan kuantitas layanan bidang teknologi informasi dan komunikasi menjadi
tujuan utama (UPT TIK UNJ) di lingkungan UNJ. Dalam unit
pelaksanaan nya (UPT TIK UNJ) mempunyai struktur organisasi dalam

15
kepengurusan, Gambar 2.2 merupakan struktur organisasi (UPT TIK
UNJ):
Gambar 2.2 Struktur Organisasi (UPT TIK UNJ)
Secara umum jaringan UNJ terdiri dari 3 jaringan utama yaitu,
jaringan Lokal Area Network (LAN) jaringan Demiliterized Zone (DMZ)
dan jaringan internet (WAN). Topologi jaringan komputer di UNJ
ditampilkan pada Gambar 2.3:

16
Gambar 2.3 Topologi Jaringan Komputer Kampus A UNJ

Jaringan LAN merupakan jaringan lokal yang menghubungkan antara
gedung-gedung yang ada di lingkungan UNJ , kemudian jaringan DMZ
merupakan jaringan tempat diletakannya server server yang dimiliki oleh
UNJ, sedangkan jaringan WAN menghubungkan kedua jaringan tersebut
(LAN dan DMZ) dengan internet.
2.1.2 Intrusion Detection System (IDS)
Intrusion Detection System (IDS) dapat didefinisikan sebagai tool,
metode, sumber daya yang memberikan bantuan untuk melakukan
identifikasi, memberikan laporan terhadap aktivitas jaringan komputer
(Ariyus Doni,2007). IDS pada dasarnya adalah suatu sistem yang memiliki
kemampuan dalam menganalisa dan mendeteksi data secara realtime ,

17
mencatat (log) , dan menghentikan usaha penyalahgunaan dan
penyerangan. Dalam hal ini IDS tidak secara langsung dapat mendeteksi
adanya penyusupan pada sebuah sistem hanya saja IDS dapat mendeteksi
aktivitas pada lalu-lintas jaringan yang tidak layak terjadi.

IDS pada umumnya mampu mendeteksi jaringan yang dicurigai,
akan tetapi tidak mampu mengambil tindakan lebih lanjut. Selain itu
sistem juga tidak memiliki interaktivitas dengan administrator pada saat
administrator tidak sedang mengadministrasi sistem nya. Tipe dasar dari
IDS terdapat dua bagian, bagian itu adalah:
1. Rule-based system berdasarkan pada signature dan rule yang tersimpan
di database. Jika IDS mencatat lalu-lintas yang sesuai dengan rule dan
signature yang ada, maka langung dikategorikan sebagai serangan.

2. Adaptive system mempergunakan metode yang lebih canggih. Tidak
hanya berdasarkan database yang ada tetapi juga membuka kemungkinan
untuk mendeteksi bentuk-bentuk serangan baru.
Selain tipe pada penerapan nya IDS sendiri memiliki tujuan serta
mengapa menggunakan IDS, diantara nya adalah:
1. Mencegah resiko keamanan yang terus meningkat, karena banyak
ditemukan kegiatan illegal yang diperbuat oleh orang-orang yang tidak
bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut.

2. Mendeteksi serangan dan pelanggaran keamanan system jaringan yang
tidak bisa dicegah oleh sistem yang umum digunakan seperti firewall.
3. Mendeteksi serangan awal. Penyerang yang akan menyerang suatu sistem
biasanya melakukan langkah-langah awal yang mudah diketahui. Langkah
awal dari suatu serangan pada umumnya adalah dengan melakukan

18
penyelidikan dan pengujian sistem yang akan menjadi target, untuk
mendapatkan titik-titik dimana mereka bias masuk.

4. Mengamankan file yang keluar dari jaringan. Kebanyakan serangan yang
terjadi pada awalnya berasal dari dalam jaringan itu sendiri, Karena
keteledoran para pemakai, sehingga file-file yang akan dikirim ke jaringan
eksternal tidak memenuhi policy yang ada. File-file tersebut kemudian
dimanfaatkan oleh penyerang untuk batu loncatan mendapatkan akses
yang lebih besar, seperti Syn Attack, IP Spoofing, teardrop, dan
sebagainya.
5. Sebagai pengendali untuk security design dan administrator, terutama bagi
perusahaan yang besar.

6. Menyediakan informasi yang akurat terhadap gangguan secara langsung,
meningkatkan diagnosis, recovery, dan mengoreksi factor-faktor penyebab
serangan.
Berdasarkan cara kerja nya, terdapat dua tipe yang ada pada IDS
diantaranya adalah:
1. Host Based: IDS host-based bekerja pada host yang akan dilindungi.
IDS jenis ini dapat melakukan berbagai macam tugas untuk mendeteksi
serangan yang dilakukan pada host tersebut. Keunggulan IDS host-based
adalah pada tugas-tugas yang berhubungan dengan kemanan file. Misalnya
ada-tidaknya file yang diubah atau ada usaha untuk mendapatkan akses ke
file-file yang sensitif. Secara umum Host-Based IDS dijelaskan pada
Gambar 2.4:
19
Gambar 2. 4 Host-Based IDS
2. Network Based: IDS network-based biasanya berupa suatu mesin yang
khusus digunakan untuk melakukan monitoring seluruh segmen dari
jaringan. IDS network-based akan mengumpulkan paket-paket data yang
terdapat pada jaringan dan kemudian menganalisisnya serta menentukan
apakah paket-paket itu berupa suatu paket yang normal atau suatu
serangan atau juga berupa aktivitas mencurigakan. Secara Umum
Network-Based IDS dijelaskan pada Gambar 2.5:
Gambar 2. 5 Network-Based IDS

20
Setelah memahami Host-based dan Network-based tentunya dapat
dilihat perbedaan dari kedua jenis IDS tersebut. Perbedaan antara host-
based dan network-based IDS seperti tampak pada Tabel 2.1:
Tabel 2.1 Perbedaan Host-Based dan Network-Based
Network-Based IDS Host-Based IDS

Ruang lingkup yang luas (mengamati Ruang lingkup yang terbatas (mengamati
semua aktivitas jaringan) hanya aktivitas pada host tertentu)
Lebih mudah melakukan setup Setup yang kompleks
Lebih baik untuk mendeteksi serangan Lebih baik mendeteksi serangan yang
yang berasal dari luar jaringan berasal dari dalam jaringan
Lebih murah untuk diimplementasikan Lebih mahal untuk diimplementasikan
Pendeteksian berdasarkan pada apa yang Pendeteksian berdasarkan pada single
direkam dari aktivitas jaringan host yang diamati semua aktivitasnya
Menguji packet headers Packet headers tidak diperhatikan
Respons yang real time Selalu merespon setelah apa yang terjadi
OS-Independent OS-Spesific
Mendetekasi serangan terhadap jaringan Mendeteksi serangan local sebelum
serta payload untuk di analisis mereka masuk ke jaringan
Mendeteksi usaha dari serangan yang Menverifikasi sukes atau gagalnya suatu
gagal serangan
Sumber: Ariyus Doni. 2010 Intrusion Detection System - hal 48
2.1.2.1 Intrusion Prevention System (IPS)
Menurut National Institute of Standards and Technology dalam
jurnal Guide to Intrusion Detection and Prevention System karya Karen
Scarfone dan Peter Mell, intrusion prevention system (IPS) is software
that has all the capabilities of an intrusion detection system and can also
attempt to stop possible incident. Dengan kata lain, IPS merupakan
pengembangan dari IDS dengan menambahkan beberapa komponen
seperti firewall dan beberapa komponen lain untuk bekerja sama dalam
mencegah dan menghentikan terjadinya penyusupan.

21
Gambar 2. 6 Intrusion Prevention System

Berdasarkan Gambar 2.6 penggunaan konten dan jaringan terdapat 2
jenis pengakses yaitu legal dan ilegal (Attacker), dalam hal ini pengakses
diklasifikasikan sebagai seorang penyusup yang tidak memiliki hak dalam
mengakses suatu jaringan. Pada gambar diatas dijelaskan bahwa IPS
sebagai Firewall dengan rules dapat memilah jenis pengakses dan jika
bersifat legal maka pengakses tersebut dapat masuk ke konten jaringan
sebaliknya jika dia sebagai pengakses ilegal maka IPS akan memblok
akses tersebut.
Ada beberapa metode Intrusion Prevention System (IPS) dalam
melakukan kebijakan apakah paket data yang lewat layak masuk atau
keluar dalam jaringan tersebut, antara lain:
1. Signature-Based Detection
Signature adalah pola yang sesuai dengan ancaman yang dikenal.
Pada metode ini, telah tersedia daftar signature yang dapat digunakan
untuk menilai apakah paket yang dikirimkan berbahaya atau tidak. Sebuah
paket data akan dibandingkan dengan daftar yang sudah ada. Metode ini
22
akan melindungi sistem dari jenis-jenis serangan yang sudah diketahui
tetapi sebagian besar tidak efektif dalam mendeteksi ancaman yang
sebelumnya tidak diketahui. Oleh karena itu, untuk tetap menjaga
keamanan sistem jaringan komputer, data signature yang ada harus tetap
ter-update
2. Anomaly-Based Detection
Deteksi berbasis Anomali adalah proses membandingkan definisi
tentang apakah aktivitas dianggap normal terhadap peristiwa yang diamati
untuk mengidentifikasi penyimpangan yang signifikan. Pada metode ini,
terlebih dahulu harus melakukan konfigurasi terhadap IDS dan IPS,
sehingga dapat mengatahui pola paket seperti apa saja yang akan ada pada
sebuah sistem jaringan computer. Sebuah IPS menggunakan deteksi
berbasis anomaly memiliki profil yang mewakili perilaku normal seperti
halnya pengguna, host, koneksi jaringan, atau aplikasi. Untuk metode ini,
pengelola jaringan harus terus-menerus memberi tahu IDS dan IPS
bagaimana lalu lintas data yang normal pada sistem jaringan komputer
tersebut, untuk menghindari adanya salah penilaian oleh IDS atau IPS.
Intrusion prevention system (IPS) mengkombinasikan kemampuan
network based IDS dengan kemampuan firewall, sehingga selain
mendeteksi adanya penyusup juga bisa menindaklanjuti dengan
melakukan pengeblokan terhadap IP yang melakukan serangan. Beberapa
IPS opensource yang biasa digunakan:
1. Portsentry - digunakan untuk melakukan pengeblokan IP address yang
melakukan scanning port dengan menggunakan fasilitas dari firewall atau
teknik null route

23
2. Sshdfilter - digunakan untuk melakukan blocking IP address yang
melakukan ssh brute forcing

3. Snort - dengan fasilitas blockit dan firewall merupakan NIPS yang mampu
melakukan blocking IP address terhadap beragam serangan yang di
definisi di signature snort.
Dalam jurnal (Diansyah Fratama,2010) yang berjudul Pengenalan
IDS dan IPS sebagai Manajemen Keamanan Informasi dan Pengamanan
Jaringan tipe IPS terdapat beberapa bagian yaitu:
1. Host Based - IPS yang berada pada spesifik IP address, biasanya terdapat
pada single komputer.

2. Network - IPS yang berguna untuk mencegah penyusupan pada spesifik
network.
3. Content Spesific Content Spesific - IPS yang memeriksa kontent dari suatu
paket dan mencegah berbagai macam serangan seperti serangan worm.

4. Protocol Analysis - Menganalisa berbagai macam application layer
network protocol seperti http dan ftp.

5. Rated Based - Berguna mencegah denial of service. Berguna untuk
memonitoring dan dan mempelajari keadaan normal network. RBIPS
dapat memonitoring taffic TCP, UDP, ARP Packets, koneksi per detik,
paket per koneksi
Sama dengan IDS, IPS ini pun memiliki NIPS. NPIS tidak hanya
mendeteksi adanya serangan tetapi dia akan otomatis melakukan aksi,
biasanya dengan block traffic yang ada. NIPS merupakan gabungan dari
NIDS dan Firewall
Singkatnya Intrusion Prevention System(IPS) digambarkan seolah
olah bekerja pada bagian luar network dan mendeteksi seluruh paket data
24
yang datang untuk kemudian akan di analisa apakah paket data tersebut
berupa gangguan atau intrusin dengan mencocokkan signature atau pattern
paket data tersebut dengan rule yang dibuat.
2.1.2.2 Perbedaan IDS dan IPS
Tekologi IDS dan IPS masing-masing mempunyai kemampuan
dalam melindumgi suatu sistem. Teknologi IPS merupakan teknologi yang
diperbaharui dari IDS. Perbedaan dari kedua program itu adalah seperti
pada Tabel 2.2:
Tabel 2.2 Perbandingan IDS dan IPS

IDS IPS
Install pada segmen jaringan (NIDS) dan Install pada segmen jaringan (NIPS) dan
pada host (HIDS) pada host (HIPS)
Berada pada jaringan sebagai sistem yang Berada pada jaringan sebagai sistem yang
pasif aktif
Tidak bisa menguraikan lalu-lintas Lebih baik untuk melindungi aplikasi
enkripsi
Manajemen kontrol terpusat Manajemen kontrol terpusat
Baik untuk mendeteki serangan Ideal untuk membloking perusakan web
Alerting (reaktif) Blocking (proaktif)
Sumber: Ariyus Doni.2010 Intrusion Detection System hal 54
2.1.3 Snort
Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup
dan mampu menganalisis paket yang melintasi jaringan secara real time
traffic dan logging kedalam database serta mampu mendeteksi berbagai
serangan dalam jaringan (Ariyus Doni,2007).

Nishidh D. Patel (2013) dalam papernya yang berjudul An analysis
of Network Intrusion Detection System using SNORT menjelaskan snort
merupakan sebuah perangkat lunak yang bersifat sumber sistem bebas

25
(open source) yang kini dikembangkan oleh Sourcefire dan menjadi salah
satu open source file terbaik sepanjang masa. Dijelaskan pula bahwa
beberapa keuntungan dari penggunaan snort antara lain kemudahannya
dalam melakukan konfigurasi dan penggunaan rules yang fleksibel dimana
apabila terdapat sebuah serangan yang baru dapat dengan mudah
menambahkannya dalam rules database, serta snort juga memiliki
kemampuan dalam menganaisis paket data mentah yang membuatnya
menjadi salah satu IDS terbaik.

Dalam pengoperasiannya SNORT bekerja dalam tiga mode yang
dapat disesuaikan dengan kebutuhan, diantaranya adalah:
1. Sniffer Mode
Sniffer mode berfungsi untuk melihat paket yang lewat di jaringan.
Berikut beberapa contoh perintah dalam snort mode sniffer:

#snort -v
#snort -vd
#snort -vde
#snort-v-d-e
Dengan menambahkan beberapa command berupa -v, -d , -e akan
menghasilkan beberapa keluaran yang berbeda, yaitu:

-v untuk melihat TCP/IP header paket yang lewat
-d untuk melihat isi paket
-e untuk melihat header link layer paket seperti Ethernet header
2. Packet Logger Mode
Packet logger mode berfungsi untuk mencatat semua paket yang lewat
di jaringan yang kemudian akan dianalisa. Bahkan dapat menyimpan paket
ke dalam disk. Sehingga perlu diinisialisasika terlebih dahulu logging
direktorynya pada file configurasi snort. Untuk menjalankannya dapat
menggunakan perintah sebagai berikut:

snort -l ./log <parameter>
Parameter yang dapat ditambahkan adalah sebagai berikut:
a. -h 192.168.1.0/24, parameter ini digunakan untuk mencatat paket
pada host tertentu.

26
b. -b , digunakan agar file yang di log dalam format binary, buka
ASCII.
Untuk membaca file log dapat, dilakukan dengan menjalankan perintah
snort -dv dan ditambahkan parameter -r nama file log, seperti:

snort -dv -r packet.log
snort -dvr packet.log icmp
3. Network Intrusion Detection System (NIDS)
Pada mode ini snort akan berfungsi untuk mendeteksi serangan yang
akan dilakukan melalui jaringan komputer. Untuk mengaktifkan mode ini
dengan menambahkan perintah pada snort untuk membaca file konfigurasi
dengan cara nama-file-konfigurasi.conf. Secara default isi file ini sudah
diset dalam file snort.conf yang termasuk dalam paket snort. Berikut ini
adalah beberapa perintah yang dapat digunakan untuk mengaktifkan snort
sebagai detection, antara lain:

./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf
./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf
Untuk melakukan deteksi penyusup snort harus melakukan logging
paket yang lewat dapat menggunakan perintah -l nama-file-logging, atau
membiarkan snort menggunakan deault file logging-nya di directory
/var/log/snort. Kemudian menganalisa catatan logging paket yang ada
sesuai dengan isi perintah snort.conf. Ada beberapa tambahan perintah
yang akan membuat proses deteksi menjadi lebih efisien,mekanisme
pemberitahuan alert di Linux dapat diatur dengan perintah -A sebagai
berikut:
a. -A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan
b. -A full, mode alert dengan informasi lengkap
c. -A unsock, mode alert ke unix socket
d. -A none, mematikan mode alert.
Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan
switch -s, seperti tampak pada beberapa contoh di bawah ini:

snort -c snort.conf -b -M WORKSTATIONS
27
Agar snort beroperasi secara langsung setiap kali workstation atau
server diboot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di
bawah ini:
/usr/local/bin/snort -d -h 192.168.0.0/24 -c /root/snort/snort.conf -A
full -s -D
Atau
/usr/local/bin/snort -d -c /root/snort/snort.conf -A full -s -D
Dimana -D adalah parameter yang mengatur agar snort bekerja sebagai
daemon.
2.1.3.1 Komponen Snort
Dalam mendeteksi sebuah serangan snort memiliki beberapa
komponen yang saling bekerjasama untuk dapat memaksimalkan cara
kerja snort dan juga untuk menghasilkan keluaran pada format yang
diinginkan pada sistem deteksi. Komponen yang terdapat pada snort
diantaranya adalah:
1. Packet Decoder
2. Preprocessor
3. Detection engine
4. Logging and Alerting System
5. Output Modules
Gambar 2. 7 Komponen-Komponen Snort

28
Berdasarkan Gambar 2.7 komponen snort yang saling berhubungan
secara langsung dalam melaksanakan fungsinya mulai dari packet decoder
hingga berupa file output.
2.1.3.2 Decoder
Sesuai dengan paket yang di-capture dalam bentuk struktur data dan
melakukan identifikasi protocol, decode IP dan kemudian TCP dan UDP
tergantung informasi yang dibutuhkan, seperti port number, IP Address
yang dipersiapkan untuk di proses atau dikirim ke detection engine.
Antarmukanya dapat berupa Ethernet, SLIP, dan PPP.
2.1.3.3 Preprocessor
Preprocessor merupakan komponen atau plug-ins yang dapat
digunakan pada snort untuk menyusun atau mengubah paket data sebelum
detection engine melakukan beberapa operasi untuk mencari tahu jika
paket digunakan oleh penyusup. Preprocessor pada snort dapat mengkode-
kan URL HTTP, men-defragmentasi paket, menggabungkan kembali aliran
TCP dan yang lain. Pada dasarnya preprocessor berfungsi mengambil
paket yang mempunyai potensi yang berbahaya yang kemudian dikirim ke
detetction engine untuk dikenali polanya.
2.1.3.4 Detection Engine
Detection Engine berfungsi untuk mendeteksi jika terjadi aktivitas
penyusup pada paket. Detection engine menggunakan rules Snort untuk
tujuan ini. Rules dibaca kedalam struktur atau rantai data internal
kemudian di cocokkan dengan paket yang ada. Jika paket sesuai dengan
rules yang ada, tindakan akan diambil, jika tidak paket akan dibiarkan.
29
Tindakan yang diambil dapat berupa logging paket atau mengaktifkan
alert.
Beban pada Detection Engine tergantung pada faktor berikut:
1. Jumlah rule
2. Kekuatan mesin yang menjalankan snort
3. Kecepatan bus internal yang digunakan dalam mein Snort
4. Beban pada jaringan
2.1.3.5 Logging and Alerting System
Berdasarkan apa yang ditemukan detection engine pada paket, paket
dapat digunakan untuk me-log kegiatan atau mengaktifkan alert, bergantng
pada apa yang ditemukan detection engine pada paket. Log di simpan di
direktori /var/log/snort secara default. Perintah snort -l pada command line
dapat digunakan untuk memodifikasi lokasu dari log dan alert yang
dihasilkan.
2.1.3.6 Output Modules
Modul Output dapat melakukan beberapa operasi berbeda tergantung
bagaimana cara penyimpanan keluaran yang dihasilkan sistem log dan
alert dari snort. Pada dasarnya modul ini mengatur jenis keluaran yang
dihasilkan oleh sistem log dan alert. Beberapa keluaran yang dapat
dihasilkan tergantung dari konfigrasi, antara lain:
1. Logging ke dalam file /var/log/snort/alerts atau file lainnya

2. Mengirimkan pesan ke syslog
3. Logging ke dalam database seperti MySQL atau Oracle
4. Menghasilkan output eXtensible Markup Language
30
2.2 Kerangka Berpikir
2.3 Gambar 2.8 Kerangka Berpikir

Dalam mengimplementasikan sebuah sistem keamanan jaringan
dengan IPS menggunakan snort, penulis menjelaskan secara umum
melalui Gambar 2.3. dengan dimulai terlebih dahulu melakukan prosedur
awal dengan melakukan identifikasi masalah yang sebelumnya telah
dibahas pada Bab I dengan tujuan mengangkat masalah yang akan diteliti.
31
Langkah selanjutnya adalah melakukan studi kepustakaan yang
bertujuan untuk memperkuat materi pembahasan serta menjadi dasar untuk
menggunakan teori-teori tertentu dalam menyelesaikan masalah.
Langkah selanjutnya adalah melakukan perancangan topologi pada
sistem untuk diletakan nya sensor IPS sesuai dengan topologi yang sudah
ada agar dapat disesuaikan.
Langkah selanjutnya adalah melakukan proses installasi sistem
operasi pada server yang akan digunakan sebagai sensor IPS. Dalam
proses ini penulis menginstall sistem operasi linux Ubuntu 16.04.
Langkah selanjutnya adalah melakukan installasi snort pada server
yang telah terinstall sistem operasi linux Ubuntu 16.04 dan dilengkapi
dengan paket pendukung lain seperti barnyard2, pulledpork, dan snorby.
Langkah selanjutnya adalah melakukan konfigurasi IPS , karena
pada dasarnya snort secara default bekerja sebagai IDS maka perlu
dilakukan konfigurasi agar snort ini dapat di fungsikan sebagai IPS, mulai
dari konfigurasi database snort dan rules yang disesuaikan.
Setelah dilakukan proses installasi snort dan konfigurasi IPS maka
langkah selanjutnya yang perlu dilakukan adalah melakukan pengujian
terhadap sensor yang telah di implementasikan dengan tujuan mengetahui
apakah sensor bekerja dengan baik atau tidak. Jika hasil pengujian belum
dapat menjunjukan bahwa sistem tersebut belum dapat menangani setiap
serangan yang dilakukan, maka perlu dilakukan pengecekan dan perbaikan
pada tahap implementasi.

32
Jika data hasil pengujian sistem keamanan jaringan telah sesuai
dengan yang diharapkan, maka langkah selanjutnya adalah melakukan
analisis terhadap hasil pengujian, apakah sistem dapat menghalau setiap
serangan yang di uji, dan apakah sensor pada sistem keamanan tersebut
mengganggu kinerja jaringan.
Langkah terakhir yang dilakukan adalah melakukan penarikan
kesimpulan berdasarkan analisis yang telah dilakukan sebelumnya.
Kerangka berpikir diilustrasikan pada gambar berikut:

33
BAB III
METODOLOGI PENELITIAN
3.1. Tempat dan Waktu Penelitian
Penelitian dilakukan di Unit Pelayanan Teknis Teknik Informatika dan
Komputer Universitas Negeri Jakarta (UPT TIK UNJ) tepatnya di Gedung D
Kampus A UNJ yang berlokasi di Jl. Rawamangun Muka Jakarta Timur 13220.
Waktu penelitian dilakukan sejak bulan Maret 2017 hingga Juli 2017.
3.2. Alat dan Bahan Penelitian
3.2.1. Perangkat Keras (Hardware)
Berikut merupakan perangkat keras (Hardware) yang digunakan dalam
penelitian yang terdiri dari:
a. Komputer yang digunakan sebagai sensor dengan spesifikasi: Intel
Core i3 3240 ; 8Gb DDR3; 320GB Hard Drive; Interface Realtek
8111E PCI-E Gigabit ; LAN Card D-Link DGE-560T ; Operatyng
System: Ubuntu 16.04.2 LTS

b. Switch D-LINK DES 1024
c. Kabel UTP Standar
d. Konektor RJ-45 CAT5
3.2.2. Perangkat Lunak (Software)
Berikut merupakan perangkat lunak (Software) yang digunakan dalam
penelitian yang terdiri dari:
a. Snort
Snort (www.snort.org) merupakan suatu perangkat lunak untuk
mendeteksi penyusup dan mampu menganalisis paket yang melintasi

34
jaringan secara real time traffic dan logging kedalam database serta
mampu mendeteksi berbagai serangan dalam jaringan (Ariyus
Doni,2007).
b. LAMP Server
LAMP (Linux, Apache, MySQL, PHP) adalah sebuah bundle software
untuk webserver yang terdiri atas Linux, Apache HTTPD Server,
MySQL, serta PHP/Python/Perl. Paket yang terdapat pada LAMP dapat
bervariasi, sehingga compiler PHP dapat juga diintegrasikan dengan
Python atau Perl sesuai dengan kebutuhan. (Nur Arifin Akbar, Maman
Somantri, dan R. Rizal Isnanto, 2013).

c. Barnyard2
Barnyard2 adalah tool open source sebagai penerjemah alert unified dan
log dari Snort. Barnyard2 dapat meningkatkan efisiensi Snort dengan
cara mengurangi beban pada sensor deteksi. Barnyard2 bekerja dengan
membaca Snort's unified logging output files dan memasukannya
kedalam database. Jika database tidak tersedia maka Barnyard2 akan
memasukan semua data ketika database tersedia kembali sehingga tidak
ada alert atau log yang hilang.

d. Snorby
Snorby adalah salah satu aplikasi web (front-end) berbasis ruby on rails
untuk memantau sistem keamanan jaringan komputer dengan tampilan
antarmuka berbasis GUI (Graphical User Interface). Snorby telah
terintegrasi dengan beberapa aplikasi IDS, seperti Snort, Suricata, dan
Sagan
3.2.3. Metode Pengujian
Metode pengujian adalah cara atau teknik untuk menguji sistem, dalam hal
ini perangkat yg diuji coba adalah sensor IPS yang diterapkan dalam sebuah PC
35
Server. Metode pengujian sensor yang penulis gunakan adalah metode
Functionality Test. Functionality Test bertujuan untuk menguji apakah sistem ini
dapat berfungsi dengan baik dan juga sesuai dengan kriteria yang diinginkan.
Kriteria yang diinginkan dalam hal ini sensor dapat berfungsi dengan baik dan
dapat menghalau serangan yang diuji coba kan seperti Flooding dengan perintah
PING, dDos dengan LOIC dan Scanning Port dengan Advanced Port Scanner.
Berikut ini merupakan beberapa pengujian yang dilakukan:
3.2.3.1. Pengujian dengan perintah PING
Pengujian menggunakan perintah ping dengan paket yang besar dapat
dilakukan dalam protocol icmp menggunakan satuan bytes. Dalam hal ini
serangan yang diuji dinamakan Ping Of Death. Maksimal beban yang yang bisa
ditransfer dalam sekali ping adalah 65500 bytes atau sama dengan 512 kbps.
Standar beban yang diberikan jika kita melakukan ping adalah 32 bytes, jika
kita menguji dengan beban yang lebih maka dapat menggunakan parameter -l
setelah IP tujuan.
Contoh pengujian:
ping 192.168.16.193 -t -l 32768 -n 100
Keterangan :
a) 256 kbps / 8 bit = 32 KB x 1024 bytes = 32768 bytes

b) -t : ping secara terus-menerus, berhenti jika menekan tombol ctrl+C
c) -l : memberikan beban buffer
d) -n : menentukan jumlah request ping
36
3.2.3.2. Pengujian dengan LOIC
Pengujian menggunakan aplikasi LOIC (Low Orbit Ion Cannon) merupakan
salah satu pengujian untuk tipe serangan Dos (Denial Of Service) dan DDos
(Distributed Denial Of Service). Dalam hal ini IP yang di serang dibanjiri dengan
request ping yang lebih besar dan jumlah yang sangat banyak. Secara umum
tampilan aplikasi awal LOIC digambarkan pada Gambar 3.1:
Gambar 3.1 Aplikasi LOIC
Contoh Pengujian:
1. Pada kolom URL, kita dapat langsung memasukan URL yang akan
diserang (Jika kita tidak mengetahui IP dari website yang akan diserang)
2. Jika kita telah mengetahui IP tujuan serangan maka kita tinggal mengisi
kolom IP dengan IP tujuan

3. Tentukan metode yang akan digunakan apakah TCP, UDP,atau HTTP.
4. Tentukan jumlah Threads, Misalnya : 10.000
5. Klik IMMA CHARGIN MAH LAZER untuk penyerangan
37
Gambar 3.2 Contoh Penyerangan dengan LOIC
Dijelaskan pada Gambar 3.2 penggunaan aplikasi LOIC dengan keterangan
sebagai berikut:
a) 192.168.16.193 merupakan IP tujuan penyerangan

b) Method TCP, metode yang digunakan dalam penyerangan adalah TCP
c) Port 80, port yang digunakan dalam penyerangan adalah port 80
3.2.3.3. Pengujian dengan Advanced Port Scanner
Pengujian dengan menggunakan Advanced Port Scanner adalah pengujian
dalam mengamankan port yang ada pada sistem. Melalui aplikasi ini seorang
pengguna dapat mengetahui port apa saja yang terbuka pada suatu sistem dan
dapat masuk melalui port tersebut. Secara umum tampilan awal aplikasi di
gambarkan pada Gambar 3.3:

38
Gambar 3.3 Aplikasi Advanced Port Scanner
Contoh Pengujian:
1. Langkah pertama ialah mengisi kolom ip dengan range IP yang ada suatu
jaringan lokal, misal nya: 192.168.16.1 - 192.168.16.254, 192.168.56.1 -
192.168.56.254
2. Kemudian port yang mungkin diaktifkan, misalnya: TCP ports 1-1023
3. Kemudian klik Scan.
Gambar 3.4 Contoh Pengujian Advanced Port Scanner
Dijelaskan pada Gambar 3.4 penggunaan aplikasi LOIC dengan keterangan
sebagai berikut:
39
a) 192.168.16.1 - 192.168.16.254, 192.168.56.1 - 192.168.56.254 pada
kolom IP merupakan range ip segmen 16.1 hingga 16.254

b) 192.168.16.61 merupakan hasil dari scanning port yang terbuka pada
jaringan lokal yang diuji.

c) Pada kolom port yang ada pada hasil scan merupakan beberapa port yang
terbuka pada suatu IP pada jaringan
3.3. Diagram Alir Penelitian
Secara garis besar, metode penelitian yang akan dilaksanakan seperti
diagram alir pada Gambar 3.5:
Gambar 3.5 Diagram Alir Penelitian
Tahapan pertama yang dilakukan penulis adalah merumuskan masalah yang
sebelumnya telah dipaparkan pada bahasan sebelumnya, kemudian dilanjutkan
dengan tahapan studi kepustakaan untuk memperoleh literatur yang berkenaan
dengan penelitian ini. Setelah itu, penulis melakukan pengumpulan data dengan
40
melakukan observasi ke (UPT TIK - UNJ) dan wawancara dengan salah satu staff
untuk mengetahui kondisi dan permasalahan yang terjadi.
Setelah melakukan pengumpulan data, langkah selanjutnya adalah
melakukan perancangan berupa topologi yang nantinya akan digunakan sebagai
desain penerapan sensor IPS.
Setelah perancangan selesai, langkah selanjutnya adalah melakukan proses
penerapan atau implementasi sensor pada jaringan sesuai dengan topologi yang
telah dirancang sebelumnya . Implementasi alat dilakukan dengan installasi sistem
operasi berbasis linux dalam penelitian ini penulis menggunakan Ubuntu 15.07
dan perangkat lunak snort, barnyard2 dan Snorby yang telah di konfigurasi pada
sebuah PC yang akan dijadikan sebagai sensor dalam melakukan pemantauan lalu
lintas jaringan komputer.
Setelah sensor di implementasikan maka tahapan berikutnya adalah
melakukan pengujian terhadap sensor tersebut, pengujian dilakukan dengan tujuan
mengetahui apakah sensor bekerja dengan baik atau tidak. Jika hasil pengujian
belum dapat menunjukan bahwa sistem tersebut belum dapat menangani setiap
serangan yang dilakukan, maka perlu dilakukan pengecekan dan perbaikan pada
tahap implementasi. Penelitian akan diuji dengan metode black-box testing.
Black-box testing pengujian yang berfokus pada spesifikasi fungsionalitas dari
sistem yang telah diterapkan.
Jika data hasil pengujian sistem keamanan jaringan telah sesuai dengan
yang diharapkan, maka langkah selanjutnya adalah melakukan analisis terhadap
hasil pengujian, apakah sistem dapat menghalau setiap serangan yang di uji, dan
apakah sensor pada sistem keamanan tersebut mengganggu kinerja jaringan.

41
Langkah terakhir yang dilakukan adalah melakukan penarikan kesimpulan
berdasarkan analisis yang telah dilakukan sebelumnya.
3.4. Teknik dan Prosedur Pengumpulan Data
3.4.1. Teknik Pengumpulan Data
Adapun untuk melengkapi data, penulis menggunakan tiga teknik
pengumpulan data sebagai berikut:
1. Studi kepustakaan , yaitu melakukan proses pengumpulan data dari
perpustakaan dan dari internet dalam bentuk buku, jurnal, skripsi, naskah
publikasi, dan informasi lainya yang kemudian dibaca dan dipalajari
sebagai bahan tinjauan pustaka yang berkaitan dengan penelitian.

2. Wawancara , yaitu proses mencari data dengan cara melakukan tanya
jawab dengan dengan pihak terkait, yang mempunyai wewenang atas
data-data yang berhubungan dengan objek penelitian. Dalam hal ini,
penulis melakukan wawancara dengan Bapak Arya Adipurwa,S.Kom,
selaku System Administrator UPT TIK-UNJ. Wawancara dilakukan untuk
mendapatkan informasi mengenai keadaan jaringan komputer UNJ serta
informasi topologi yang digunakan hingga saat ini.

3. Observasi (Pengamatan), pada tahapan ini diadakan kegiatan observasi
terhadap keadaan jaringan komputer UNJ dan topologi yang diterapkan
di pusat jaringan kompter yang terletak di UPT TIK-UNJ. Dari hasil
observasi ditemukan bahwa:

a. Secara umum jaringan UNJ terdiri dari 3 jaringan utama yaitu,
jaringan Lokal Area Network (LAN) jaringan Demiliterized Zone
(DMZ) dan jaringan internet (WAN).

42
b. Jaringan LAN merupakan jaringan lokal yang menghubungkan
antara gedung-gedung yang ada di lingkungan UNJ.

c. Jaringan DMZ merupakan jaringan tempat diletakannya server
server yang dimiliki oleh UNJ.

d. Jaringan WAN menghubungkan kedua jaringan (LAN dan DMZ)
dengan internet.
3.4.2. Prosedur Pengumpulan Data
Dalam proses pengumpulan data penulis mendokumentasikan beberapa
prosedur dan tahapan yang dilakukan dan dipresentasikan dalam alur berikut ini:
Gambar 3.6 Prosedur Pengumpulan Data

Berdasarkan Gambar 3.6 penelitian di awali dengan mengajukan surat
permohonan penelitian kepada Ketua Program Studi (Kaprodi) Pendidikan Teknik
Informatika dan Komputer (PTIK) UNJ dan Kepala Sub Bagian (Kasubag)
Fakultas Teknik UNJ. Setelah proses pengajuan surat penelitian selesai dan telah
43
ditanda tangani oleh Kaprodi PTIK dan Kasubag Fakultas Teknik UNJ, surat
pengajuan diserahkan kepada petugas Biro Administrasi Akademik dan
Kemahasiswaan (BAAK) UNJ untuk dibuatkan surat penelitian. Ketika surat telah
selesai dibuat oleh BAAK dan telah ditanda tangani oleh Kepala BAAK, surat
diserahkan kepada pihak UPT TIK UNJ agar diberikan izin untuk melakukan
penelitian berupa wawancara dan observasi topologi jaringan.
3.5. Teknik Analisis Data
Pada penelitian ini penulis melakukan analisa berdasarkan parameter
metode pengujian yaitu Functionality Test. Dalam hal ini Functinality Test dapat
memenuhi tabel pengujian yang dilihat dari 2 aspek yang diuji yaitu dari sisi
server dan dari sisi client atau Attacker. Jika dalam pengujian kedua aspek tersebut
berstatus berhasil maka sistem yang dirancang telah bekerja dengan baik. Berikut
ini pengujian dan indikator yang digunakan sebagai bahan analisa:
3.5.1. Analisis Pada Server (Sensor IPS)
Pengujian pada server dilakukan untuk memastikan bahwa semua
komponen IPS server berfungsi dan siap digunakan untuk capture paket data yang
mencurigakan sesuai rules yang telah ditentukan. Pada Tabel 3.1 dijelaskan
merupakan indikator pengujian server:
Tabel 3. 1 Pengujian Server
Indikator Manfaat
No Pengujian Status
Pengujian Pengujian
Service berjalan
Mengetahui server
Komputer server setelah komputer di
1. berjalan dengan ..
Booting dengan normal booting secara
baik
normal
2. daemon mode pada command -D Menjalankan Snort ..
44
(daemon mode)
dan Barnyard2
akan ditambahkan
komputer server pada background
setelah booting
process
normal
Mengetahui
Komputer server dapat
Mengetikan sudo Snorby siap
menjalankan dan
3. bundle exec rails digunakan untuk ..
membuka halaman
server -e production menampilkan hasil
snorby
log file snort
3.5.2. Analisis Pada Client (Attacker)
Pengujian pada sisi client dilakukan untuk mengetahui apakah sensor IPS
mampu membaca serangan dari client atau attacker, kemudian menyimpan dan
menampilkannya dalam bentuk web based. Pada Tabel 3.2 merupakan pengujian
client:
Tabel 3. 2 Pengujian Pada Client
Jenis Hasil Yang

Seranga Tools Jaringan Pengujian Diharapka Status
n n
Attacker
melakukan
Command
Flooding penyerangan ..
PING
ke webserver Server dapat
LAN UNJ memblock IP
Melakukan
Client yang
Port Advanced Scanning port
berusaha ..
Scanning Port Scanner di jaringan
melakukan
lokal
Attacker Penyerangan
melakukan
Dos LOIC WAN ..
penyerangan
ke server luar
45
BAB IV
HASIL PENELITIAN
4.1. Deskripsi Hasil Penelitian
4.1.1. Analisis Kebutuhan
Dalam penelitian ini, analisis dilakukan dengan melakukan wawancara
dengan staf IT Pustikom dan mengamati kondisi topologi jaringan komputer yang
sudah ada pada di Pustikom UNJ untuk kemudian dirancang penempatan server
IPS dan IDS yang akan di tempatkan, serta mengetahui serangan serangan apa
saja yang biasa terjadi.
Dari hasil wawancara didapat beberapa masalah keamanan jaringan yang
seringkali terjadi dalam jaringan komputer di lingkup UNJ diantaranya tidak ada
alat peringatan dini dan pencegah mengenai adanya serangan keamanan dari
dalam atau lokal jaringan UNJ ke server luar dan adanya beberapa aktivitas
mencurigakan yang dilakukan jaringan lokal UNJ ke jaringan Internet yang
menyebabkan beberapa situs tidak dapat diakses karena IP Publik UNJ diblok
oleh server luar. Sehingga server tersebut tidak bisa dibuka dari jaringan UNJ.
Dalam beberapa kasus terkadang IP UNJ di block oleh google karena
menyabarkan malware dan trojan secara broadcast dan terus menerus ke google.
Setelah melakukan observasi, didapati kondisi topologi jaringan yang ada,
UNJ memiliki 3 kelompok yaitu WAN , DMZ , Dan LAN ketiganya dipisahkan
dengan lingkup yang berbeda dan dapat dilihat seperti ada di gambar 4.1 , hal ini
merupakan mekanisme untuk melindungi sistem internal dari serangan hacker

46
atau pihak-pihak lain yang ingin memasuki sistem tanpa mempunyai hak akses
untuk mengambil alih dan meretas server yang ada.
Gambar 4. 1 Jaringan WAN, DMZ, dan LAN
Saat ini sudah ada Firewall dengan menggukan perangkat Sangfor yang
mencakup tiga fungsi utama yaitu Internet Access Management, WAN
Optimization, dan SSL VPN akan tetapi masih memiliki kekurangan dalam
memfilter paket data. Pada Service Firewall yang diterapkan saat ini hanya
memfilter paket data dari jaringan luar menuju ke dalam jaringan UNJ sedangkan
untuk data yang dikirimkan dari dalam jaringan UNJ ke Jaringan luar belum
adanya filtering.
Hal ini dikarenakan Sifat firewall yang ada memang di khususkan hanya
sebagai firewall untuk mencegah serangan dari luar menuju kedalam jaringan
UNJ. Selain itu adanya keterbatasan dan kemapuan dari Perangkat Sangfor itu
47
sendiri, jika perangkat tersebut digunakan juga sebagai filter paket data dari dalam
menuju luar jaringan UNJ maka perangkat Firewall tersebut akan mengalami
penurunan kinerja dikarnaka terlalu banyak beban yang ditangani oleh perangkat
tersebut.
Dari hasil wawancara dan observasi diatas maka Pustikom membutuhkan
sebuah Perangkat pendeteksi dini dan penangkal terhadap serangan dari dalam
jaringan UNJ menuju keluar. Kebutuhan sistem tersebut adalah Server IPS
(intrusion prevention system) untuk melakukan pendeteksian dan penangkalan
terhadap serangan.
4.1.2. Perancangan Sistem
4.1.2.1. Perancangan Jaringan Komputer
Skema jaringan yang dipakai dalam penempatan server IPS penelitian ini
dapat dilihat pada gambar 4.2 :

48
Gambar 4. 2 Penempatan Server IPS

Pada skema diatas, desain jaringan baru yang dirancang pada dasarnya sama
dengan jaringan yang sudah ada tetapi, pada jaringan yang baru ditambahkan
penggunaan server ips baru diatas jaringan server lokal UNJ.
4.1.2.2. Perancangan Server IPS
Pada penelitian ini peneliti menggunakan sebuah server yang mengunakan
dua NIC (network interface card) dengan spesifikasi sebagai berikut :
Prosesor : Intel I3 seri 3,2 GHz
Ram : 8 GB
Hardisk : 320 GB
OS : Linux Ubuntu versi 16.04
NIC : Interface Realtek 8111E PCI-E Gigabit

49
: LAN Card D-Link DGE-560T
Pada server diatas akan di install sistem operasi linux ubuntu 16.04 pada
tipe jaringan yang digunakan pada setingan server adalah bridge, bukan router
karena kita hanya ingin melihat paket data yang lewat saja tanpa mengubah paket
tersebut dengan melakukan NAT. Setelah insalasi OS dan pengkonfigurasian
jaringan telah berhasil kita selanjutnya akan melakukan penginstalan tool tools
yang di perlukan antaralain snort, barnyard2, webgui dan snorby.
Adapun fungsi dari tools tersebut, snort mendeteksi paket data yang
melintas pada server dan akan menghasilkan log dengan nama snort.log.12345,
selanjutnya adalah tools barnyard untuk mengubah log yang dihasilkan oleh snort
menjadi ascii sehingga menjadi snort.u2 agar dapat dipahami dan dibaca oleh
kita karena terstruktur, dan tools terakhir yaitu webgui snorby sebagai
webmonitoring yang bisa menampilkan data yang informatif kepada adminstator.
Setelah semua hal diatas telah dirancang dan persiapkan tahap selanjutnya
kita akan menentukan dan menaikan tingkat sensor pada snort dengan bertahap
dengan cara merubah rule yang ada. Pada awalnya sensor pada snort kita gunakan
adalah menggunakan rule untuk IDS (Intrusion Detection System) untuk
mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator
jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan dan hal
tersebut bersifat pasif.
Selanjutnya rule snort ditingkatkan pada IPS dengan harapan akan aktif
menangkal serangan karena metode yang dapat digunakan untuk mendeteksi
aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Serta IDS dapat
50
melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah
sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi
(penyusupan).
4.1.3. Impementasi Sistem
4.1.3.1. Snort
Pada tools Snort setelah berhasil diinstalasi dan dikonfigurasi penulis
melanjutkan memvalidasi tools snort apa sudah berjalan sesuai dengan yang
diinginkan. Hasil validasi yang sempurna akan dihasilkan sepeti gambar 4.3:
Gambar 4. 3 Validasi Snort Instalasi

Pada awalnya instalasi paket snort yang ada hanya konfigurasi dasar, dan
selanjutnya dinaikan tingkat keamanan dengan menambah secara bertahap rule
pada sensor snort. Pada awal instalasi snort hanya sebagai sensor IDS dan
selanjutnya dinaikan menjadi sensor IPS.

51
Gambar 4. 4 Snot Active (Running)

Dari gambar 4.4 dapat dijelaskan service snort yang ada di server IPS sudah
aktif, terlihat dari status adalah Active : Active (running), hal ini berarti Snort
sudah dapat digunakan sebagai suatu Network Intrusion Detection System (NIDS)
yang berskala ringan (lightweight),serta pencatatan (logging) terhadap berbagai
macam serangan terhadap jaringan komputer yang melawati server tersebut telah
mulai tercatat di snort.log.xxxx dan bekerja secara daemon yang dapat dilihat
pada gambar 4.5:
Gambar 4. 5 Log Hasil Snort

52
4.1.3.2. Barnyard 2
Setelah snort menghasilkan log berupa snort.log.1501250502, log tersebut
tidak dapat dibaca dan diartikan karena tidak berbentuk ascii. Oleh karena itu
dibutuhkan sebuah tools lain bernama barnyard2 yang berfungsi sebagai
penerjemah dari bahasa yang bersifat record random menjadi acsii yang bisa di
terjemahkan dan dimasukan kedalam field database serta selanjutnya bisa
dimasukan ke tools yang mengubah data menjadi informasi yang lebih informatif
tentang adanya serangan yang melewati server tersebut.
Gambar 4. 6 Barnyard2 Active (Running)
Pada gambar 4.6 bisa dilihat bahwa service barnyard2 sudah aktif terlihat
dari status adalah Active : Active (running), maka tools tersebut sudah bisa
mengubah log random dengan nama file snort.log.1234532 menjadi log yang
bersifat ascii yang bisa diterjemahkan dengan nama file snort.u2. 1234532 yang
dapat dilihat pada gambar 4.7:

53
Gambar 4. 7 File Log Snort.u2 dan Snort.log

4.1.3.3. Snorby
Pada Snorby tools, setelah diinstalasi dan konfigurasi dasar berhasil penulis
melanjutkan memastikan service snorby. Dapat diliahat dari Gambar 4.8
menggambarkan service snorby yang ada di server IPS sudah aktif, terlihat dari
status adalah Active : Active (running), hal ini berarti Snorby sudah dapat
digunakan.
Gambar 4. 8 Snorby Active (Running)

54
Setelah service snorby sudah aktif maka penulis akan melanjutkan dengan
mamastikan web gui pada Snorby sudah aktif dengan cara mengakses IP server
IPS dari webbrowser. Pada penelitian kali ini penulis membuka IP 192.168.16.81
di webbrowser maka akan muncul gambar laman login masuk snorby seperti yang
ditampilkan pada gambar 4.9 :
Gambar 4. 9 Snorby Web GUI
Setelah berhasil login penulis akan memastikan snorby aktif dengan
sebagaimana mestinya oleh karena itu dilakukan simulasi serangan dummy yang
dilakukan untuk memastikan alat berjalan dan masuk, dengan cara melakukan
serangan ke luar agar Server IPS yang telah dikonfigurasi bisa mendeteksi
serangan tersebut. Dapat kita lihat pada gambar 4.10, serangan simulasi
penyerangan yang dilakukan telah berhasil karena log penyerangan seluruhnya
terekam di snorby.
55
Gambar 4. 10 Log Pada Snorby

Selanjutnya adalah implementasi Dashboard pada snorby pada penelitian
kali ini dashboard berguna untuk menampilan panel yang dibuat berdasarkan log
snort mengunakan tools dashboard snorby dengan tujuan menampilkan informasi
agar lebih mudah membaca laporan, menganalisa data dan memprediksi data
serangan yang terjadi sekarang dan akan datang.
Karena kecenderung menggunakan gambar lebih mudah dibanding melihat
data log dalam bentuk angka dan tabel yang banyak, besar dan rumit. Hal ini
disebabkan Kecendrungan otak kita lebih cenderung melihat gambar dan warna
dibanding deretan angka-angka. Dashboard snorby bisa dilihat pada gambar xxxx
dibawah ini.
56
Gambar 4. 11 Dashboard Snorby
4.2. Analisis Data Penelitian
4.2.1. Pengujian Fungsional Test pada Server
Pada Pengujian Fungsional Test pada server dilakukan untuk memastikan
bahwa semua komponen IPS server berfungsi adapun pada penulisan kali ini
penulis melakukan pengujian fungsional dapat dilihat pada table xxxx:
Tabel 4. 1 Hasil Pengujian Fungsional
N Indikator Manfaat
Pengujian Status Keterangan
o Pengujian Pengujian
Komputer Service berjalan
OS
server setelah Mengetahui
terbooting
1. Booting komputer di server berjalan Berhasil
dengan
dengan booting secara dengan baik
normal
normal normal
2. daemon command -D Menjalankan Berhasil Seluruh
mode pada (daemon mode) Snort dan service
57
akan Barnyard2
komputer ditambahkan pada
berjalan
server setelah booting background
normal process
Komputer Mengetahui
server dapat Snorby siap
Mengetikan Admin
menjalankan digunakan
sudo bundle dapat
3. dan untuk Berhasil
exec rails server mengakses
membuka menampilkan
-e production web Snorby
halaman hasil log file
snorby snort
Log berjalan
Mengetahui secara
Sensor dapat Tampilan log
adanya realtime
4 mendeteksi aktivitas pada Berhasil
lalulintas data memonitor
intrusi snorby
pada jaringan lalulintas
jaringan
Mengetahui
Penyerang tidak Penyeranga
Prevensi keseluruhan
dapat n tidak
5 penangkalan komponen IPS Berhasil
melakukan berhasil
serangan berjalan
serangan dilakukan
dengan baik
Dari hasil pengujian terbentuklah tabel sepeti diatas, pada tabel 4.1. dapat
disimpulkan bawan pengujian fungsional test server IPS berjalan dengan sukses.
Semua tahapan suskses xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
4.2.2. Pengujian PING of Death
Pada pengujian PING of Death ini penulis melakukan pengujian dengan
melakukan ping dengan menggunakan beban paket maksimal yang di ijinkan
untuk melakukan ping. Ping of Death merupakan Pengiriman paket echo request
58
ICMP ke dalam suatu jaringan secara berlebihan. Pengiriman paket ini dapat
mengakibatkan sistem server crash, hang ataupun reboot jika dilakukan terus dan
berulang. Adapun perintah yang digunakan pada pengujian ini adalah ping
192.168.4.17 -l 65500 -t.

59
Tabel 4. 2 Hasil Pengujian Ping Of Death
(%)
Jumlah Jumlah
No Sumber Tujuan Kondisi Respon Keterangan Keberhasila
Beban Ping
n
Tanpa IDS dan IPS
1 192.168.16.3 192.168.xx.xx IDS
IPS
Tanpa IDS dan IPS
2 IDS
IPS
Tanpa IDS dan IPS
3 IDS
IPS
Tanpa IDS dan IPS

60
IDS
4
IPS
Tanpa IDS dan IPS

5
IDS
IPS
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
61
4.2.3. Pengujian Tracert Paket
Pada pengujian Tracert Paket ini penulis melakukan pengujian dengan
Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Tabel 4. 3 Hasil Pengujian Tracert Packet
No Sumber Tujuan Kondisi Hasil

Tanpa IDS
1 dan IPS
IDS
IPS
Tanpa IDS
2 dan IPS
IDS
IPS
Tanpa IDS
3 dan IPS
IDS
IPS
Tanpa IDS
4 dan IPS
IDS
IPS
4.2.4. Pengujian LOIC
Pada pengujian Port Scaning ini penulis melakukan pengujian dengan
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
4.3. Pembahasan
Hasil dari penelitian ini adalah PC server yang digunakan sebagai sensor
IPS menggunakan aplikasi Snort yang berintegrasi dengan barnyard2 ,
pulledpork , dan snorby sebagai GUI dalam melakukan monitoring. Sensor IPS
62
diletakan pada jaringan lokal Universitas Negeri Jakarta. Sensor IPS di fungsikan
dalam mode bridging network dan bekerja secara daemon. Dalam hal ini sensor
terlebih dahulu melakukan tugas nya sebagai jembatan agar jaringan lokal dapat
terhubung ke internet karena posisi nya tepat di tengah, dapat dilihat pada gambar
4.1 bahwa secara umum sensor berada sebagai jembatan serta gateway pada
jaringan dibawahnya.
Gambar 4. 12 Lokasi Sensor IPS Secara Garis Besar

Dalam proses pengujiannya sensor bekerja untuk melakukan
blocking terhadap serangan Flooding, Ddos, dan Tracert Packet. Fungsi
lain yang penulis itegrasikan adalah monitoring melalui web GUI
menggunakan aplikasi snorby.
4.4. Aplikasi Hasil Penelitian
Aplikasi dari produk penelitian yang telah dihasilkan ini bisa
diimplementasikan pada sistem jaringan lokal di kampus A UNJ sebagai
server yang mampu menahan serangan dari dalam jaringan. Dalam
melakukan tugas nya Administrator jaringan dapat melakukan monitoring

63
dengan web GUI Snorby yang telah di install guna kepetingan selanjutnya.
Web monitoring dapat dilihat pada gambar 4.15:
Gambar 4. 13 Web Monitoring Snorby Untuk Administrator

64
BAB V
KESIMPULAN DAN SARAN
5.1. Kesimpulan
5.2. Saran
65
DAFTAR PUSTAKA
Akbar, N.A. Somantri, M. Isnanto, R. Rizal. 2013. Implementasi Penutupan

Celah
Keamanan pada Aplikasi Web Berbasis Joomla 1.5.5 Serta Server Berbasis
Ubuntu 8.04 dengan Kernel 2.6.24. Universitas Diponegoro Semarang.
Semarang. hal 2
Amin, Zaid. 2012. Analisis Vulnerabilitas Host Pada Keamanan Jaringan

Komputer Di Pt. Sumeks Tivi Palembang (Paltv) Menggunakan Router
Berbasis Unix. Palembang Hal.2
Ariyus, Doni .2007. Intrusion Detection System, Penerbit ANDI, Yogyakarta
Diansyah, Handry Fratama. 2010. Pengenalan IDS (Intrusion Detection System)

Dan IPS (Instrusion Prevention System) Sebagai Manajemen Keamanan
Informasi Dan Pengamanan Jaringan.
Impverva, 2017.Distributed Denial Of Service Attack (Ddos) Definition Diambil

di:
https://www.incapsula.com/ddos/ddos-attacks/ (9 Maret 2017)
Karen Scarfone,Peter Mell. 2007.Guide To Intrusion Detection And Prevention

System (IDPS).National institute of standards and Technology Special
Publication 800-94.127 pages
Kusumawati, Monika. 2010.Implementasi IDS Intrusion Detection System Serta

Monitoring Jaringan Dengan Interface Web Berbasis Base Pada Keamanan
Jaringan. Jakarta.Hal.16
Nadoel, 2010. Melakukan PING dengan beban. Diambil dari:

66
http://www.Nadasumbang.Com/Melakukan-Ping-Dengan-Beban/ (9 Maret
2017)
Nishidh, D. Patel. 2013. An Analysis Of Network Intrusion Detection System

Using
SNORT.
Purbo, O.W. Wiharjito, T. 2000. Keamanan Jaringan Internet. Elex Media

Komputindo. Jakarta.Hal 1
67
LAMPIRAN
Lampiran 1
Pedoman Wawancara System Administrator UPT TIK-UNJ
Nama Narasumber : Arya Adipurwa,S.Kom
Jabatan : System Administrator UPT TIK-UNJ
Tanggal : 23 Maret 2017
Waktu : 15.30 15.55 WIB
Tempat : UPT TIK-UNJ Gd. D Kampus A UNJ
Alokas
Pertanyaan atau Objektif
i Respon Narasumber
Wawancara
Waktu
Objektif Narasumber mempersilahkan
1. Pembukaan Wawancara penulis untuk melanjutkan
2. Perkenalan Diri
wawancara.
3. Ucapan terimakasih atas
12 kesediaan narasumber
4. Penjelasan tujuan
menit
wawancara untuk
mengetahui gambaran
jaringan komputer di UNJ
secara umum.
Pertanyaan 1 Dalam aktivitasnya tugas system
Bagaimana gambaran umum
Administrator lebih mengarah
aktivitas Bapak/Ibu sebagai
pada pengembangan secara global
system administrator pada UPT
serta monitoring. Lingkup
TIK-UNJ ?
monitoring mulai dari system
2 menit network, server serta aplikasi. Dan
untuk pengembangan nya untuk
network di fokuskan pada
infrastruktur dan aplikasi
mengarah kepada teknologi nya
seperti server dan lainnya.
8 menit Pertanyaan 2 Secara umum topologi yang
Dalam memberikan sebuah
digunakan di UNJ adalah topologi
68
layanan, bagaimana UPT TIK- star namun beberapa juga terdapat

UNJ menerapkan topologi topologi yang kombinasi hybrid
jaringan secara umum ? topologi ring , atau kombinasi
topologi star dan ring juga.
Dalam konektivitas UNJ tidak
membatasi pada jaringan DMZ
dalam bandwith, hal ini
dikarenakan skala prioritas yang
mengharuskan server berada pada
prioritas pertaman dalam
pembagiannya. Dan manajemen
pun dilakukan berdasarkan skala
prioritas dengan sifat yang
dinamis . seperti halnya saat ini
pada musim penerimaan
mahasiswa baru maka server yang
bersangkutan memperoleh
prioritas 1 dalam bandwith. Jika
dibandingkan dengan lokal maka
jaringan DMZ memperoleh
bandwith yang lebih besar dari
local, Karena lokal diatur per
network dan per gedung.
5 menit Pertanyaan 3 Dalam pengelolaan server, UNJ
Dalam mencegah terjadinya suatu
seringkali menerima serangan dari
serangan yang dapat terjadi pada
luar dengan jumlah yang tidak
jaringan , hal umum apa yang
sedikit. Dalam mengantisipasi
biasa dilakukan ?
administrator menggunakan
Follow UP
Apakah ada keluhan dari sistem firewall dengan nama perangkat
pemantau jaringan tersebut ? sangfor.
Karena sangfor adalah perangkat
berlisensi maka setiap tahun UNJ
melakukan pembayaran untuk
69
update rules dalam melindungi

jaringan,dan jika tidak di lakukan
maka sangfor tidak bisa secara
otomatis melakukan pembaharuan
rules.
Pertanyaan 4 Sejauh ini penggunaan sangfor
Seberapa sering sistem pemantau
1-2 sudah diterapkan selama 2 tahun ,
jaringan tersebut digunakan ?
menit dengan perangkat sebelumnya
adalah junifer.
Pertanyaan 5 Ada , Karena sangfor merupakan
Dari sisi kebutuhan hardware
sebuah perangkat keras yang harus
(perangkat keras) komputer yang
disesuaikan dengan kebutuhan
5 menit dibutuhkan untuk menjalankan
fungsionalnya .
sistem pemantau jaringan
tersebut. Apakah ada kebutuhan
hardware khusus ?
Objektif Baik semoga informasi nya
1. Menyimpulkan berguna untuk penelitian penulis
wawancara
1 menit
2. Ucapan terimakasih
kepada narasumber atas
kerjasamanya
25
Estimasi Waktu untuk Pertanyaan dan Objektif
menit

Skripsi - BAB 1 - BAB 5 Fix (3-8-17) - (10.33 WIB)

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Skripsi - BAB 1 - BAB 5 Fix (3-8-17) - (10.33 WIB)

Diunggah oleh

Hak Cipta:

Format Tersedia

IMPLEMENTASI IPS (INTRUSION PREVENTION SYSTEM)

MENGGUNAKAN SNORT PADA SISTEM KEAMANAN

PENDIDIKAN TEKNIK INFORMATIKA DAN KOMPUTER

NAMA DOSEN TANDA TANGAN TANGGAL

M. Ficky Duskarnaen, ST., M.Sc

Hamidillah Ajie, S.si., M.T

PENGESAHAN PANITIA UJIAN SKRIPSI

NAMA DOSEN TANDA TANGAN TANGGAL

LEMBAR PENGESAHAAN ........................................................................... i

BAB I PENDAHULUAN ................................................................................. 1

BAB II KAJIAN TEORITIK DAN KERANGKA BERPIKIR ................... 5

BAB III METODOLOGI PENELITIAN ...................................................... 32

Dengan ini Saya menyatakan bahwa :

gelar akademik sarjana, baik di Universitas Negeri Jakarta maupun di

perguruan tinggi lain.

dengan arahan dosen pembimbing.

atau dipublikasikan orang lain, kecuali secara tertulis dengan jelas

dicantumkan sebagai acuan dalam naskah dengan disebutkan nama

pengarang dan dicantumkan dalam daftar pustaka.

hari terdapat penyimpangan dan ketidakbenaran dalam pernyataan ini,

maka Saya bersedia menerima sanksi akademik berupa pencabutan gelar

dengan norma yang berlaku di Universitas Negeri Jakarta.

Jakarta, 3 Agustus 2017

Penelitian ini bertujuan untuk merancang dan mengimplementasikan sebuah

Kata kunci: sistem keamanan jaringan, intrusion prevention system ,

Tabel 2.1 Perbedaan Host-Based dan Network-Based .......................................19

Gambar 2. 1 Rule Security Policy......................................................................7

1.1 Latar Belakang Masalah

lain seperti virus,malware,worm dan aktivitas merusak sistem lainnya dapat

mempengaruhi kinerja, integritas , serta kredibilitas dari suatu sistem pada

keamanan jaringan komputer adalah snort. Snort adalah aplikasi keamanan

paket, atau Jaringan berbasis Intrusion Detection Sistem (IDS).

meningkatkan keamanan jaringan dalam sebuah jaringan baik intranet maupun

Internet. Penerapan Instrusion Detection Sistem (IDS) digunakan sebagai salah

Namun dalam implementasinya Intrusion Detection Sistem (IDS) dirasa masih

kurang menyelesaikan masalah keamanan jaringan, oleh sebab itu

dikembangkanlah sebuah aplikasi dari fungsi utama Intrusion Detection Sistem

(IDS) dengan Intrusion Prevention Sistem (IPS). Intrusion Prevention Sistem

(IPS) adalah pendekatan yang sering digunakan untuk membangun sistem

keamanan komputer, IPS mengkombinasikan teknik firewall dan metode

disaat serangan telah teridentifikasi.

Universitas Negeri Jakarta (UNJ) merupakan sebuah instansi pendidikan

terhubung ke internet (Jaringan WAN). Dalam pengelolaannya UNJ menggunakan

Maret 2017, dalam mengakses suatu informasi pengguna internet di UNJ

terkadang menemukan beberapa website yang dikunjungi melakukan Human

Verification untuk mengakses informasi tersebut. Hal ini menjelaskan bahwa IP

lokal diduga melakukan aktivitas mencurigakan berupa serangan ke jaringan luar

yang menyebabkan IP Publik UNJ diragukan validitasnya. Sebelumnya pada

jaringan lokal yang melakukan banyak aktivitas di internet.

Menyikapi hal yang terjadi, maka pada jaringan UNJ diperlukan

berjalan optimal dan dirancang pada penelitian dengan judul IMPLEMENTASI

IPS (INTRUSION PREVENTION SYSTEM) MENGGUNAKAN SNORT

PADA SISTEM KEAMANAN JARINGAN LOKAL DI UNIVERSITAS

1.2 Identifikasi Masalah

Berdasarkan latar belakang di atas, maka dapat diidentifikasi berbagai

masalah sebagai berikut:

1. Diduga terdapat beberapa aktivitas mencurigakan yang dilakukan jaringan

lokal UNJ ke jaringan Internet yang menyebabkan beberapa situs tidak

dapat diakses karena IP Publik diblok oleh penyedia Internet.

sistem dari jaringan lokal.

analisa manual oleh administrator untuk menentukan jenis serangan.

1.3 Batasan Masalah

Melihat luasnya lingkup permasalahan yang telah diidentifikasi di atas,