IMPLEMENTASI IPS (INTRUSION PREVENTION SYSTEM)

MENGGUNAKAN SNORT PADA SISTEM KEAMANAN

JARINGAN LOKAL DI UNIVERSITAS NEGERI JAKARTA

Proposal Skripsi

MUHAMAD SYAHRIZAL
5235134410

PENDIDIKAN TEKNIK INFORMATIKA DAN KOMPUTER

JURUSAN TEKNIK ELEKTRO
FAKULTAS TEKNIK
UNIVERSITAS NEGERI JAKARTA
2017
LEMBAR PENGESAHAAN

i
 DAFTAR ISI

LEMBAR PENGESAHAAN .......................................................................... i

DAFTAR ISI ..................................................................................................... ii
DAFTAR TABEL ............................................................................................ iv
DAFTAR GAMBAR ........................................................................................ v

BAB I PENDAHULUAN ................................................................................. 1

1.1 Latar Belakang Masalah .............................................................................. 1
1.2 Identifikasi Masalah .................................................................................... 3
1.3 Batasan Masalah ......................................................................................... 4
1.4 Rumusan Masalah ....................................................................................... 4
1.5 Tujuan Penelitian ........................................................................................ 4
1.6 Manfaat Penelitian ...................................................................................... 4

BAB II KAJIAN TEORITIK DAN KERANGKA BERPIKIR ................... 5

2.1 Kajian Teoritik ............................................................................................ 5
2.1.1 Keamanan Jaringan Komputer ........................................................... 5
2.1.1.1 Kebijakan Keamanan .................................................................... 6
2.1.1.2 Mengenali Ancaman Pada Jaringan .............................................. 8
2.1.1.3 Menentukan Security Policy ......................................................... 8
2.1.1.4 Jenis Serangan ............................................................................... 9
2.1.1.5 Jaringan Universitas Negeri Jakarta .............................................. 13
2.1.2 Intrusion Detection System (IDS) ...................................................... 15
2.1.2.1 Intrusion Prevention System (IPS) ................................................ 19
2.1.2.2 Perbedaan IDS dan IPS ................................................................. 23
2.1.3 Snort .................................................................................................. 23
2.1.3.1 Komponen Snort ........................................................................... 27
2.1.3.2 Decoder ......................................................................................... 27
2.1.3.3 Preprocesor ................................................................................... 28
2.1.3.4 Detection Engine ........................................................................... 28
2.1.3.5 Logging and Alerting .................................................................... 28
2.1.3.6 Output Modules ............................................................................. 29
2.2 Kerangka Berpikir ...................................................................................... 29

BAB III METODOLOGI PENELITIAN ...................................................... 32

3.1. Tempat dan Waktu Penelitian .................................................................... 32
3.2. Alat dan Bahan Penelitian .......................................................................... 32
3.2.1 Perangkat Keras ............................................................................... 32
3.2.2 Perangkat Lunak ............................................................................... 33
3.2.3 Metode Pengujian ............................................................................. 33

ii
 3.2.4 Pengujian dengan Perintah PING ..................................................... 34
3.2.5 Pengujian dengan LOIC ................................................................... 34
3.2.6 Pengujian dengan Advanced Port Scannaing ................................... 36
3.3. Diagram Alir Penelitian ............................................................................. 38
3.4. Teknik dan Prosedur Pengumpulan Data ................................................... 40
3.4.1 Teknik Pengumpulan Data ............................................................... 40
3.4.2 Prosedur Pengumpulan Data ............................................................ 41
3.5. Teknik Analisis Data ................................................................................... 42
3.5.1 Analisis Pada Server (Sensor IPS) ................................................... 42
3.5.2 Analisis Pada Client (Attacker) ........................................................ 43
DAFTAR PUSTAKA ....................................................................................... 45
LAMPIRAN ...................................................................................................... 46

iii
iv
 DAFTAR TABEL

Tabel 2.1 Perbedaan Host-Based dan Network-Based .......................................19

Tabel 2.2 Perbandingan IDS dan IPS ..................................................................23

Tabel 3.1 Indikator Pengujian Server .................................................................43

Tabel 3.2 Indikator Pengujian Client .................................................................43

v
 DAFTAR GAMBAR

Gambar 2. 1 Rule Security Policy .......................................................................7

Gambar 2. 2 Struktur Organisasi UPT TIK-UNJ ................................................14
Gambar 2. 3 Topologi Jaringan Komputer Kampus A UNJ ...............................15
Gambar 2. 4 Host-Based IDS ..............................................................................18
Gambar 2. 5 Network-Based IDS ........................................................................18
Gambar 2. 6 Intrusion Prevention System .......................................................... 20
Gambar 2. 5 Komponen-Komponen Snort ......................................................... 27
Gambar 2. 8 Kerangka Berpikir .......................................................................... 31
Gambar 3. 1 Aplikasi LOIC ................................................................................ 36
Gambar 3. 2 Contoh Penyerangan dengan LOIC ............................................... 37
Gambar 3. 3 Aplikasi Advanced Port Scanner.................................................... 38
Gambar 3. 4 Contoh Pengujian Advanced Port Scanner .................................... 39
Gambar 3. 5 Diagram Alir Penelitian ................................................................. 40
Gambar 3. 6 Prosedur Pengumpulan Data ......................................................... 43

vi
 BAB I

PENDAHULUAN

1.1 Latar Belakang Masalah

Seiring dengan perkembangan zaman, Teknologi Informasi (TI) menjadi

pilihan utama dalam berbagi data dan informasi. Melalui sebuah jaringan komputer

data dan informasi dapat dengan mudah dikelola dan disampaikan kepada sasaran

penerima, namun informasi yang tersedia dapat bersifat public dan juga bersifat

pribadi. Hal ini menimbulkan masalah baru jika seandainya data dan informasi yang

bersifat pribadi atau bukan konsumsi publik ini tersebar luas tanpa adanya pihak

yang bertanggung jawab, oleh sebab itu keamanan suatu jaringan menjadi sebuah

aspek penting dalam melindungi secara optimal sebuah sistem. Terlebih lagi jika

jaringan tersebut terhubung ke internet maka berbagai ancaman lain seperti

virus,malware,worm dan aktivitas merusak sistem lainnya dapat mempengaruhi

kinerja, integritas , serta kredibilitas dari suatu sistem pada jaringan tersebut.

Dewasa ini keamanan jaringan terus mendapat perhatian dari para pengguna

jaringan oleh karena itu terdapat beberapa cara yang dapat diimplementasikan

mulai dari penerapan hardware dan software, dengan software yang bersifat

proprietary dan opensource. Salah satu software yang bersifat open source dalam

keamanan jaringan komputer adalah snort. Snort adalah aplikasi keamanan modern

dengan tiga fungsi utama: dapat berfungsi sebagai packet sniffer, logger paket, atau

Jaringan berbasis Intrusion Detection Sistem (IDS).

Intrusion Detection Sistem (IDS) merupakan salah satu opsi untuk

meningkatkan keamanan jaringan dalam sebuah jaringan baik intranet maupun

1
 2

Internet. Penerapan Instrusion Detection Sistem (IDS) digunakan sebagai salah satu

solusi yang dapat digunakan untuk membantu administrator dalam memantau dan

menganalisa paket paket berbahaya yang terdapat dalam sebuah jaringan. Namun

dalam implementasinya Intrusion Detection Sistem (IDS) dirasa masih kurang

menyelesaikan masalah keamanan jaringan, oleh sebab itu dikembangkanlah

sebuah aplikasi dari fungsi utama Intrusion Detection Sistem (IDS) dengan

Intrusion Prevention Sistem (IPS). Intrusion Prevention Sistem (IPS) adalah

pendekatan yang sering digunakan untuk membangun sistem keamanan komputer,

IPS mengkombinasikan teknik firewall dan metode Intrusion Detection Sistem

(IDS) dengan sangat baik. Teknologi ini dapat digunakan untuk mencegah serangan

yang akan masuk ke jaringan lokal dengan memeriksa dan mencatat semua paket

data serta mengenali paket dengan sensor, disaat serangan telah teridentifikasi.

Universitas Negeri Jakarta (UNJ) merupakan sebuah instansi pendidikan

dengan jaringan komputer yang cukup besar. Jaringan komputer yang terdiri dari

jaringan lokal tiap-tiap Fakultas (Jaringan LAN) ,dan juga jaringan yang terhubung

ke internet (Jaringan WAN). Dalam pengelolaannya UNJ menggunakan sistem

keamanan jaringan berupa firewall yang melindungi sistem dari serangan luar, akan

tetapi berdasarkan pernyataan administrator jaringan UNJ per tanggal 9 Maret

2017, dalam mengakses suatu informasi pengguna internet di UNJ terkadang

menemukan beberapa website yang dikunjungi melakukan Human Verification

untuk mengakses informasi tersebut. Hal ini menjelaskan bahwa IP lokal diduga

melakukan aktivitas mencurigakan berupa serangan ke jaringan luar yang

menyebabkan IP Publik UNJ diragukan validitasnya. Sebelumnya pada tahun 2014

tepatnya pada tanggal 28 April UNJ mendapati terjadinya aktivitas tidak wajar pada
 3

jaringan DMZ yang melakukan generate traffic dengan prinsip DOS hanya saja

aktivitas tersebut telah ditangani dengan penerapan snort di DMZ oleh Dhani

Widya Darma dengan penelitian penerapan IPS di jaringan DMZ. Namun dalam

masalahnya kini penerapan hanya pada DMZ dan bukan pada jaringan lokal yang

melakukan banyak aktivitas di internet.

Menyikapi hal yang terjadi, maka pada jaringan UNJ diperlukan perancangan

suatu sistem keamanan yang dapat melakukan deteksi aktivitas serta pencegahan

serangan dari jaringan lokal berupa snort untuk menjaga sistem tetap berjalan

optimal dan dirancang pada penelitian dengan judul IMPLEMENTASI IPS

(INTRUSION PREVENTION SYSTEM) MENGGUNAKAN SNORT PADA

SISTEM KEAMANAN JARINGAN LOKAL DI UNIVERSITAS NEGERI

JAKARTA.

1.2 Identifikasi Masalah

Berdasarkan latar belakang di atas, maka dapat diidentifikasi berbagai

masalah sebagai berikut:

1. Diduga terdapat beberapa aktivitas mencurigakan yang dilakukan jaringan

lokal UNJ ke jaringan Internet yang menyebabkan beberapa situs tidak

dapat diakses karena IP Publik diblok oleh penyedia Internet.

2. Belum tersedianya servis dalam mengantisipasi terjadinya serangan pada

sistem dari jaringan lokal.

3. Beberapa kasus serangan yang terjadi pada sistem masih memerlukan

analisa manual oleh administrator untuk menentukan jenis serangan.

4. Belum ada admin yang secara khusus menangani keamanan jaringan.

 4

1.3 Batasan Masalah

Melihat luasnya lingkup permasalahan yang telah diidentifikasi di atas, maka

penelitian ini dibatasi pada:

1. Sistem diterapkan pada jaringan lokal kampus A UNJ.

2. Pengujian sistem terhadap pencegahan serangan ping of flood, denial of

service (DOS), dan port scanner.

3. Penggunaan firewall sebagai keamanan jaringan di Universitas Negeri

Jakarta hanya diperuntukan untuk mencegah serangan dari jaringan luar.

4. Sistem dibangun dalam lingkungan Ubuntu 15.07 dengan aplikasi snort.

1.4 Rumusan Masalah

Berdasarkan proses latar belakang, identifikasi, dan pembatasan masalah,

maka perumusan masalah yang akan dibahas pada penelitian ini adalah Bagaimana

mendesain dan mengimplementasikan IPS agar dapat menghalau serangan dari

jaringan lokal pada sistem di Universitas Negeri Jakarta dan bagaimana hasilnya ?

1.5 Tujuan Penelitian

Berdasarkan perumusan masalah yang telah dirumuskan sebelumnya maka

tujuan dari penelitian ini agar Implementasi dari IPS pada sistem jaringan komputer

mampu menjaga kinerja keamanan jaringan di Universitas Negeri Jakarta.

1.6 Manfaat Penelitian

Kegunaan dari penelitian ini diharapkan dapat membantu administrator

jaringan dalam :

1. Menjaga keamanan jaringan lokal UNJ

2. Menghalau serangan yang berasal dari dalam jaringan UNJ

 BAB II
TINJAUAN PUSTAKA

2.1 Kajian Teoritik

2.1.1 Keamanan Jaringan Komputer

Keamanan jaringan adalah suatu cara atau proses dalam melakukan sebuah

proteksi jaringan komputer dengan beberapa metode atau sistem yang diterapkan

dengan tujuan menghindari ancaman yang dapat merusak optimalisasi jaringan.

Keamanan jaringan secara umum adalah komputer yang terhubung ke network dan

memiliki ancaman keamanan lebih besar daripada komputer yang tidak terhubung

kemana-mana.

Dalam penerapannya network security bertentangan dengan network access,

hal ini terjadi karena jika network access semakin mudah maka network security

semakin rawan, begitu pula sebaliknya security access yang tinggi dapat

mengurangi kenyamanan network access. Namun dengan langkah-langkah

pengendalian dan pencegahan yang tepat, maka dapat mengurangi risiko pada

jaringan komputer secara langsung maupun tidak langsung. Adapun upaya

meningkatkan keamanan jaringan sebuah sistem harus memenuhi beberapa unsur,

antara lain:

1. Confidentiality (kerahasiaan). Pembatasan akses hanya kepada user yang

berhak atas suatu data atau informasi, dan mencegah akses dari user yang

tidak memiliki hak.

5
 6

2. Integrity (integritas). Keaslian data atau informasi yang dikirm melalui

jaringan dari sumber ke penerima secara lengkap, tanpa ada modifikasi atau

manipulasi oleh pihak yang tidak berwenang.

3. Availabillity (ketersediaan). Ketersediaan data atau informasi ketika

dibutuhkan saat itu juga.

Tujuan keamanan jaringan komputer adalah untuk mengantisipasi resiko

jaringan komputer berupa bentuk ancaman fisik maupun logik baik langsung

ataupun tidak langsung mengganggu aktivitas yang sedang berlangsung dalam

jaringan komputer. Salah satu metode yang dapat digunakan dalam mengamankan

sebuah jaringan komputer ialah penerapan Intrusion Detection System (IDS) dan

Intrusion Prevention System (IPS) dengan menentukan kebijakan berupa kebijakan

kemanan (security policy). Saat kita akan melindungi sebuah jaringan tentunya

harus terlebih dahulu menentukan prosedur dan kebijakan yang akan digunakan,

agar pada penerapan nya sistem yang dibuat dapat sesuai dengan harapan dalam

melindungi jaringan.

2.1.1.1 Kebijakan Keamanan

Sistem keamanan jaringan komputer yang terhubung ke internet harus

direncanakan dan dipahami dengan baik agar dapat melindungi investasi dan

sumber daya di dalam jaringan komputer tersebut secara efektif. (Onno W. Purbo

dan Tony Wiharjito, 2000).

Perencanaan keamanan yang baik dapat membantu menentukan apa yang

harus dilindungi, seberapa besar nilai atau biayanya, dan siapa yang bertanggung

jawab terhadap data maupun aset-aset lain dalam jaringan komputer. Secara umum
 7

terdapat tiga hal yang harus diperhatikan dalam perencanaan kebijakan keamanan

jaringan komputer:

1. Risiko dan tingkat bahaya (risk)

Menyatakan seberapa besar kemungkinan dimana penyusup (intruder)

berhasil mengakses komputer dalam suatu jaringan.

2. Ancaman (threat)

Menyatakan sebuah ancaman yang datang dari seseorang yang mempunyai

keinginan untuk memperoleh akses illegal ke dalam suatu jaringan

komputer seolaholah mempunyai otoritas terhadap jaringan tersebut

3. Kerapuhan sistem (vulnerability)

Menyatakan seberapa kuat sistem keamanan suatu jaringan komputer yang

dimiliki dari seseorang dari luar sistem yang berusaha memperoleh akses

illegal terhadap jaringan komputer tersebut.

Analisa ancaman adalah sebuah proses audit dimana semua kemungkian

penyerangan terhadap sistem diidentifikasi secara cermat (Amin Zaid, 2012).

Sebuah catatan yang memuat semua daftar kemungkinan penyalahgunaan dan

gangguan terhadap sistem hendaknya dibuat sebagai basis peringatan.

Threats Security Security

Analysis Policy Mechanism

Gambar 2. 1 Rule Security Policy

Berdasarkan Gambar 2.1 enerapan kebijakan hendaknya dilakukan secara

sistematis yakni diawali dengan analisis awal baik secara fisik maupun logic, hal

ini juga berisikan salah satunya tentang resiko-resiko yang ditimbulkan, barulah
 8

kemudian dilakukan proses implementasi mekanismemekanisme security yang

telah dirancang tersebut, sebagai contoh mekanisme access control yang

menerangkan objek-objek mana saja yang diizinkan untuk diakses publik dan mana

yang tidak.

2.1.1.2 Mengenali Ancaman Pada Jaringan

Dalam penerapan suatu sistem keamanan tentunya kita akan dihadapkan

dengan beberapa ancaman yang dapat merusak, dan ancaman tersebut memiliki

kriteria dan sifat masing-masing, oleh sebab itu dalam mengembangkan rencana

network security yang efektif kita perlu memahami ancaman yang mungkin datang

tersebut. Menurut (Ariyus Doni, 2007) dalam RFC 1244,Site Security Handbook,

ancaman dibedakan menjadi tiga tipe:

1. Akses tidak sah oleh orang yang tidak memiliki wewenang.

2. Kesalahan informasi, segala masalah yang dapat menyebabkan

diberikannya informasi yang penting atau sensitif kepada orang yang salah,

yang seharusnya tidak boleh mendapatkan informasi tersebut.

3. Penolakan terhadap service, segala masalah mengenai security yang

menyebabkan sistem mengganggu pekerjaan-pekerjaan yang produktif.

Pada pembahasan ini ditekankan network security dari segi perangkat lunak,

namun network security sebenarnya hanyalah sebagian dari rencana keamanan

yang lebih besar, termasuk rencana keamanan fisik.

2.1.1.3 Menentukan Security Policy

Pada dasarnya untuk membuat suatu sistem jaringan yang aman, semua tidak

lepas dari bagaimana mengelola suatu sistem dengan baik. Salah satu masalah pada

network security yang paling penting adalah menentukan kebijakan (security

 9

policy) dalam network security. Network security tidak akan efektif kecuali user

yang menggunakan jaringan mengetahui tanggung jawab masing-masing, dalam

hal ini terdapat beberapa tanggung jawab yang mencakup penggunaan sebuah

jaringan:

1. Tanggung jawab user pada keamanan jaringan, yang meliputi keharusan

user untuk mengganti password dalam periode tertentu, aturan tertentu, atau

memeriksa kemungkinan pengaksesan oleh orang lain.

2. Tanggung jawab administrator pada keamanan sistem, misalnya, memantau

prosedur-prosedur yang digunakan pada host.

3. Penggunaan yang benar atas resource network, dengan menetukan siapa dan

apa yang boleh diakses dan tidak.

Langkah-langkah yang harus diperbuat apabila serangan atau masalah-

masalah keamanan lainnya terdeteksi ialah dengan menjelesakan dan menentukan

kebijakan yang diterapkan secara tegas.

2.1.1.4 Jenis Serangan

Dalam mencapai tujuan nya seorang penyusup dengan niat untuk mencuri

data hingga melumpuhkan sistem dapat dilakukan dengan beberapa cara yang

disampaikan oleh Monika Kusumawati (2010) dalam penelitian sebelumnya

dengan judul Implementasi IDS Intrusion Detection System Serta Monitoring

Jaringan Dengan Interface Web Berbasis Base Pada Keamanan Jaringan

menjelaskan beberapa tipe-tipe serangan yang dapat dilancarkan oleh pihak-pihak

tertentu terhadap sebuah jaringan komputer:

 10

1. Denial Of Service (DOS)

Merupakan sebuah jenis serangan terhadap sebuah komputer atau

server di dalam jaringan internet. DOS ini bekerja dengan cara

menghabiskan resource yang dimiliki oleh komputer tersebut sampai

akhirnya komputer tersebut tidak dapat menjalankan fungsinya dengan

benar yang secara tidak langsung mencegah pengguna lain untuk

memperoleh akses layanan dari komputer yang diserang tersebut. DOS ini

akan menyerang dengan cara mencegah seorang pengguna untuk

melakukan akses terhadap sistem atau jaringan yang dituju. Ada beberapa

cara yang dilakukan oleh DOS untuk melakukan serangan tersebut yaitu:

- Membajiri trafic atau lalu lintas jaringan dengan banyaknya data-data

sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar

menjadi tidak dapat masuk ke dalam sistem jaringan. Biasanya teknik

ini disebut sebagai traffic flooding.

- Membanjiri jaringan dengan cara merequest sebanyak-banyaknya

terhadap sebuah layanan jaringan yang disediakan oleh sebuah client

sehingga request yang datang dari para pengguna terdaftar tidak dapat

dilayani aleh layanan tersebut. Biasanya teknik ini disebut sebagai

request flooding.

- Menggangu komunikasi antara sebuah client dan kliennya yang

terdaftar dengan menggunakan banyak cara termasuk dengan cara

mengubah informasi konfigurasi sistem bahakan adanya perusakan

fisik terhadap komponen dan server.

 11

2. Telnet

Telnet tergolong unik yang dirancang dengan mengecualikan

pencatatan rlogin. Telnet dirancang untuk memungkinkan seorang user log

in ke mesin lain dan mengeksekusi perintah disana. Telnet seperti halnya

rlogin bekerja seperti halnya pada konsol mesin remote tersebut seolah-olah

secara fisik berada di depan mesin remote tersebut menyalakan dan mulai

bekerja.

3. Port Scanning

Merupakan sustu proses untuk mencari dan membuka port pada suatu

jaringan komputer. Hasil scanning tersebut akan didapatkan letak

kelemahan sistem tersebut. Pada dasarnya sistem port scanning mudah

untuk dideteksi namun penyerang akan menggunakan berbagai metode

untuk menyembunyikan serangan.

4. IP-Spoofing

IP Spoofing juga dikenal sebagai Source Address Spoofing yaitu

pemalsuan alamat IP attacker sehingga sasaran menganggap alamat IP

attacker adalah alamat IP dari host di dalam network bukan dari luar

network. Misalkan attacker mempunyai IP address type A 66.25.xx.xx

ketika attacker melakukan serangan jenis ini maka Network yang diserang

akan menganggap IP attacker adalah bagian dari Networknya misal

192.xx.xx.xx yaitu IP type C.

IP Spoofing terjadi ketika seorang attacker mengakali packet routing

untuk mengubah arah dari data atau transmisi ke tujuan yang berbeda. Paket

untuk routing biasanya di transmisikan secara transparan dan jelas sehingga

 12

membuat attacker dengan mudah untuk memodifikasi asal data ataupun

tujuan dari data. Teknik ini bukan hanya dipakai oleh attacker tetapi juga

dipakai oleh para security profesional untuk men-tracing identitas dari para

attacker.

5. ICMP Flood

Melakukan ekploitasi sistem agar dapat membuat suatu target client

menjadi crash yang dilakukan oleh penyerang. Sehingga menjadi crash

karena diakibatkan oleh pengiriman sejumlah paket yang besar kearah

targer client. Exploting sistem ini dilakukan dengan mengirimkan suatu

perintah ping dengan tujuan broadcast atau multicast di mana si pengirim

dibuat seolah-olah adalah target client. Semua pesan balasan dikembalikan

ke target cient. Hal inilah yang membuat target client menjadi crash dan

menurunkan kinerja jaringan. Bahkan hal ini dapat mengakibatkan denial of

service.

6. UDP Flood

Pada dasarnya mengkaitkan dua sistem tanpa disadarinya. Dengan

cara spoofing User Datagram Protocol UDP flood attack akan menempel

pada servis UDP chargen di salah satu mesin yang untuk keperluan

percobaan akan mengirimkan sekelompok karakter ke mesin lain yang di

program untuk meng-echo setiap kiriman karakter yang di terima melalui

service chargen. Karena paket UDP tersebut di spoofing antara ke dua mesin

tersebut maka yang terjadi adalah banjir tanpa henti kiriman karakter yang

tidak berguna antara ke dua mesin tersebut. Untuk menanggulangi UDP

flood kita dapat men-disable semua servis UDP di semua mesin di jaringan
 13

atau yang lebih mudah memfilter pada firewall semua servis UDP yang

masuk.

7. Base Orifice

Base Orifice adalah sebuah alat bantu administrasi komputer dari

jarak jauh yang dapat digunakan untuk mengontrol keluarga sistem operasi

Microsoft Windows yang dikembangkan oleh kelompok peretas

professional Cult of the Dead Cow. Back Orifice dirilis pertama kali untuk

platform Windows NT pada tahun 1997. Namanya merupakan pelesetan

dari Microsoft BackOffice Server. Pada tahun 1999 grup yang sama merilis

versi baru yang disebut sebagai Back Orifice 2000 atau sering disebut

BO2K. Meskipun pada dasarnya alat bantu ini merupakan salah satu bentuk

dari Trojan horse yang dapat digunakan untuk mendapatkan akses dan

kontrol penuh terhadap mesin target. Program ini menawarkan banyak fitur

khususnya untuk mengendalikan sistem operasi Windows NT. Tampilan

yang digunakannya sangatlah mudah dan sederhana sehingga para peretas

pemula pun dapat menggunakannya. Untuk mendapatkan sistem yang

benar-benar aman bukan hanya membenahi di jaringan external tetapi harus

juga membenahi jaringan internal yang sesuai dengan kebijakan keamanan

jaringan.

2.1.1.5 Jaringan Komputer Universitas Negeri Jakarta

Jaringan komputer Universitas Negeri Jakarta (UNJ) merupakan sebuah

jaringan komputer yang mencakup jaringan lokal dan internet yang terdapat di

wilayah UNJ. Dalam proses pemeliharaan jaringan, UNJ memberikan tanggung

jawab kepada Unit Pelayanan Teknis Teknik Informatika dan Komputer

 14

Universitas Negeri Jakarta (UPT TIK UNJ) sebagai salah satu unit pelaksana yang

mengelola pemanfaatan teknologi informasi dan komunikasi untuk mendukung

kegiatan pendidikan, penelitian, pengabdian kepada masyarakat, serta

penyimpanan dan pengolahan data UNJ.

Dalam proses pelaksanaan tugas, tercapainya peningkatan kualitas dan

kuantitas layanan bidang teknologi informasi dan komunikasi menjadi tujuan utama

(UPT TIK UNJ) di lingkungan UNJ. Dalam unit pelaksanaan nya (UPT TIK

UNJ) mempunyai struktur organisasi dalam kepengurusan, Gambar 2.2 merupakan

struktur organisasi (UPT TIK UNJ):

Gambar 2.2 Struktur Organisasi (UPT TIK UNJ)

Secara umum jaringan UNJ terdiri dari 3 jaringan utama yaitu, jaringan Lokal

Area Network (LAN) jaringan Demiliterized Zone (DMZ) dan jaringan internet

(WAN). Topologi jaringan komputer di UNJ ditampilkan pada Gambar 2.3:

 15

Gambar 2.3 Topologi Jaringan Komputer Kampus A UNJ

Jaringan LAN merupakan jaringan lokal yang menghubungkan antara gedung-

gedung yang ada di lingkungan UNJ , kemudian jaringan DMZ merupakan jaringan

tempat diletakannya server server yang dimiliki oleh UNJ, sedangkan jaringan

WAN menghubungkan kedua jaringan tersebut (LAN dan DMZ) dengan internet.

2.1.2 Intrusion Detection System (IDS)

Intrusion Detection System (IDS) dapat didefinisikan sebagai tool, metode,

sumber daya yang memberikan bantuan untuk melakukan identifikasi, memberikan

laporan terhadap aktivitas jaringan komputer (Ariyus Doni,2007). IDS pada

dasarnya adalah suatu sistem yang memiliki kemampuan dalam menganalisa dan

mendeteksi data secara realtime , mencatat (log) , dan menghentikan usaha

penyalahgunaan dan penyerangan. Dalam hal ini IDS tidak secara langsung dapat
 16

mendeteksi adanya penyusupan pada sebuah sistem hanya saja IDS dapat

mendeteksi aktivitas pada lalu-lintas jaringan yang tidak layak terjadi.

IDS pada umumnya mampu mendeteksi jaringan yang dicurigai, akan tetapi

tidak mampu mengambil tindakan lebih lanjut. Selain itu sistem juga tidak memiliki

interaktivitas dengan administrator pada saat administrator tidak sedang

mengadministrasi sistem nya. Tipe dasar dari IDS terdapat dua bagian, bagian itu

adalah:

1. Rule-based system berdasarkan pada signature dan rule yang tersimpan di

database. Jika IDS mencatat lalu-lintas yang sesuai dengan rule dan

signature yang ada, maka langung dikategorikan sebagai serangan.

2. Adaptive system mempergunakan metode yang lebih canggih. Tidak

hanya berdasarkan database yang ada tetapi juga membuka kemungkinan

untuk mendeteksi bentuk-bentuk serangan baru.

Selain tipe pada penerapan nya IDS sendiri memiliki tujuan serta mengapa

menggunakan IDS, diantara nya adalah:

1. Mencegah resiko keamanan yang terus meningkat, karena banyak

ditemukan kegiatan illegal yang diperbuat oleh orang-orang yang tidak

bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut.

2. Mendeteksi serangan dan pelanggaran keamanan system jaringan yang

tidak bisa dicegah oleh sistem yang umum digunakan seperti firewall.

3. Mendeteksi serangan awal. Penyerang yang akan menyerang suatu sistem

biasanya melakukan langkah-langah awal yang mudah diketahui. Langkah

awal dari suatu serangan pada umumnya adalah dengan melakukan

 17

penyelidikan dan pengujian sistem yang akan menjadi target, untuk

mendapatkan titik-titik dimana mereka bias masuk.

4. Mengamankan file yang keluar dari jaringan. Kebanyakan serangan yang

terjadi pada awalnya berasal dari dalam jaringan itu sendiri, Karena

keteledoran para pemakai, sehingga file-file yang akan dikirim ke jaringan

eksternal tidak memenuhi policy yang ada. File-file tersebut kemudian

dimanfaatkan oleh penyerang untuk batu loncatan mendapatkan akses yang

lebih besar, seperti Syn Attack, IP Spoofing, teardrop, dan sebagainya.

5. Sebagai pengendali untuk security design dan administrator, terutama bagi

perusahaan yang besar.

6. Menyediakan informasi yang akurat terhadap gangguan secara langsung,

meningkatkan diagnosis, recovery, dan mengoreksi factor-faktor penyebab

serangan.

Berdasarkan cara kerja nya, terdapat dua tipe yang ada pada IDS diantaranya

adalah:

1. Host Based: IDS host-based bekerja pada host yang akan dilindungi. IDS

jenis ini dapat melakukan berbagai macam tugas untuk mendeteksi serangan

yang dilakukan pada host tersebut. Keunggulan IDS host-based adalah pada

tugas-tugas yang berhubungan dengan kemanan file. Misalnya ada-tidaknya

file yang diubah atau ada usaha untuk mendapatkan akses ke file-file yang

sensitif. Secara umum Host-Based IDS dijelaskan pada Gambar 2.4:

 18

Gambar 2. 4 Host-Based IDS

2. Network Based: IDS network-based biasanya berupa suatu mesin yang

khusus digunakan untuk melakukan monitoring seluruh segmen dari

jaringan. IDS network-based akan mengumpulkan paket-paket data yang

terdapat pada jaringan dan kemudian menganalisisnya serta menentukan

apakah paket-paket itu berupa suatu paket yang normal atau suatu serangan

atau juga berupa aktivitas mencurigakan. Secara Umum Network-Based

IDS dijelaskan pada Gambar 2.5:

Gambar 2. 5 Network-Based IDS

 19

Setelah memahami Host-based dan Network-based tentunya dapat dilihat

perbedaan dari kedua jenis IDS tersebut. Perbedaan antara host-based dan network-

based IDS seperti tampak pada Tabel 2.1:

Tabel 2.1 Perbedaan Host-Based dan Network-Based

Network-Based IDS Host-Based IDS

Ruang lingkup yang luas (mengamati Ruang lingkup yang terbatas (mengamati
semua aktivitas jaringan) hanya aktivitas pada host tertentu)
Lebih mudah melakukan setup Setup yang kompleks
Lebih baik untuk mendeteksi serangan Lebih baik mendeteksi serangan yang
yang berasal dari luar jaringan berasal dari dalam jaringan
Lebih murah untuk diimplementasikan Lebih mahal untuk diimplementasikan
Pendeteksian berdasarkan pada apa yang Pendeteksian berdasarkan pada single host
direkam dari aktivitas jaringan yang diamati semua aktivitasnya
Menguji packet headers Packet headers tidak diperhatikan
Respons yang real time Selalu merespon setelah apa yang terjadi
OS-Independent OS-Spesific
Mendetekasi serangan terhadap jaringan Mendeteksi serangan local sebelum
serta payload untuk di analisis mereka masuk ke jaringan
Mendeteksi usaha dari serangan yang Menverifikasi sukes atau gagalnya suatu
gagal serangan

Sumber: Ariyus Doni. 2010 Intrusion Detection System - hal 48

2.1.2.1 Intrusion Prevention System (IPS)

Menurut National Institute of Standards and Technology dalam jurnal Guide

to Intrusion Detection and Prevention System karya Karen Scarfone dan Peter

Mell, intrusion prevention system (IPS) is software that has all the capabilities of

an intrusion detection system and can also attempt to stop possible incident.

Dengan kata lain, IPS merupakan pengembangan dari IDS dengan menambahkan
 20

beberapa komponen seperti firewall dan beberapa komponen lain untuk bekerja

sama dalam mencegah dan menghentikan terjadinya penyusupan.

Gambar 2. 6 Intrusion Prevention System

Berdasarkan Gambar 2.6 penggunaan konten dan jaringan terdapat 2 jenis

pengakses yaitu legal dan ilegal (Attacker), dalam hal ini pengakses

diklasifikasikan sebagai seorang penyusup yang tidak memiliki hak dalam

mengakses suatu jaringan. Pada gambar diatas dijelaskan bahwa IPS sebagai

Firewall dengan rules dapat memilah jenis pengakses dan jika bersifat legal maka

pengakses tersebut dapat masuk ke konten jaringan sebaliknya jika dia sebagai

pengakses ilegal maka IPS akan memblok akses tersebut.

Ada beberapa metode Intrusion Prevention System (IPS) dalam melakukan

kebijakan apakah paket data yang lewat layak masuk atau keluar dalam jaringan

tersebut, antara lain:

1. Signature-Based Detection

Signature adalah pola yang sesuai dengan ancaman yang dikenal.

Pada metode ini, telah tersedia daftar signature yang dapat digunakan untuk

menilai apakah paket yang dikirimkan berbahaya atau tidak. Sebuah paket
 21

data akan dibandingkan dengan daftar yang sudah ada. Metode ini akan

melindungi sistem dari jenis-jenis serangan yang sudah diketahui tetapi

sebagian besar tidak efektif dalam mendeteksi ancaman yang sebelumnya

tidak diketahui. Oleh karena itu, untuk tetap menjaga keamanan sistem

jaringan komputer, data signature yang ada harus tetap ter-update

2. Anomaly-Based Detection

Deteksi berbasis Anomali adalah proses membandingkan definisi

tentang apakah aktivitas dianggap normal terhadap peristiwa yang diamati

untuk mengidentifikasi penyimpangan yang signifikan. Pada metode ini,

terlebih dahulu harus melakukan konfigurasi terhadap IDS dan IPS,

sehingga dapat mengatahui pola paket seperti apa saja yang akan ada pada

sebuah sistem jaringan computer. Sebuah IPS menggunakan deteksi

berbasis anomaly memiliki profil yang mewakili perilaku normal seperti

halnya pengguna, host, koneksi jaringan, atau aplikasi. Untuk metode ini,

pengelola jaringan harus terus-menerus memberi tahu IDS dan IPS

bagaimana lalu lintas data yang normal pada sistem jaringan komputer

tersebut, untuk menghindari adanya salah penilaian oleh IDS atau IPS.

Intrusion prevention system (IPS) mengkombinasikan kemampuan network

based IDS dengan kemampuan firewall, sehingga selain mendeteksi adanya

penyusup juga bisa menindaklanjuti dengan melakukan pengeblokan terhadap IP

yang melakukan serangan. Beberapa IPS opensource yang biasa digunakan:

1. Portsentry - digunakan untuk melakukan pengeblokan IP address yang

melakukan scanning port dengan menggunakan fasilitas dari firewall atau

teknik null route

 22

2. Sshdfilter - digunakan untuk melakukan blocking IP address yang

melakukan ssh brute forcing

3. Snort - dengan fasilitas blockit dan firewall merupakan NIPS yang mampu

melakukan blocking IP address terhadap beragam serangan yang di definisi

di signature snort.

Dalam jurnal (Diansyah Fratama,2010) yang berjudul Pengenalan IDS dan IPS

sebagai Manajemen Keamanan Informasi dan Pengamanan Jaringan tipe IPS

terdapat beberapa bagian yaitu:

1. Host Based - IPS yang berada pada spesifik IP address, biasanya terdapat

pada single komputer.

2. Network - IPS yang berguna untuk mencegah penyusupan pada spesifik

network.

3. Content Spesific Content Spesific - IPS yang memeriksa kontent dari suatu

paket dan mencegah berbagai macam serangan seperti serangan worm.

4. Protocol Analysis - Menganalisa berbagai macam application layer network

protocol seperti http dan ftp.

5. Rated Based - Berguna mencegah denial of service. Berguna untuk

memonitoring dan dan mempelajari keadaan normal network. RBIPS dapat

memonitoring taffic TCP, UDP, ARP Packets, koneksi per detik, paket per

koneksi

Sama dengan IDS, IPS ini pun memiliki NIPS. NPIS tidak hanya mendeteksi

adanya serangan tetapi dia akan otomatis melakukan aksi, biasanya dengan block

traffic yang ada. NIPS merupakan gabungan dari NIDS dan Firewall
 23

Singkatnya Intrusion Prevention System(IPS) digambarkan seolah olah

bekerja pada bagian luar network dan mendeteksi seluruh paket data yang datang

untuk kemudian akan di analisa apakah paket data tersebut berupa gangguan atau

intrusin dengan mencocokkan signature atau pattern paket data tersebut dengan rule

yang dibuat.

2.1.2.2 Perbedaan IDS dan IPS

Tekologi IDS dan IPS masing-masing mempunyai kemampuan dalam

melindumgi suatu sistem. Teknologi IPS merupakan teknologi yang diperbaharui

dari IDS. Perbedaan dari kedua program itu adalah seperti pada Tabel 2.2:

Tabel 2.2 Perbandingan IDS dan IPS

IDS IPS
Install pada segmen jaringan (NIDS) dan Install pada segmen jaringan (NIPS) dan
pada host (HIDS) pada host (HIPS)
Berada pada jaringan sebagai sistem yang Berada pada jaringan sebagai sistem yang
pasif aktif
Tidak bisa menguraikan lalu-lintas Lebih baik untuk melindungi aplikasi
enkripsi
Manajemen kontrol terpusat Manajemen kontrol terpusat
Baik untuk mendeteki serangan Ideal untuk membloking perusakan web
Alerting (reaktif) Blocking (proaktif)

Sumber: Ariyus Doni.2010 Intrusion Detection System hal 54

2.1.3 Snort

Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup dan

mampu menganalisis paket yang melintasi jaringan secara real time traffic dan

logging kedalam database serta mampu mendeteksi berbagai serangan dalam

jaringan (Ariyus Doni,2007).

 24

Nishidh D. Patel (2013) dalam papernya yang berjudul An analysis of

Network Intrusion Detection System using SNORT menjelaskan snort merupakan

sebuah perangkat lunak yang bersifat sumber sistem bebas (open source) yang kini

dikembangkan oleh Sourcefire dan menjadi salah satu open source file terbaik

sepanjang masa. Dijelaskan pula bahwa beberapa keuntungan dari penggunaan

snort antara lain kemudahannya dalam melakukan konfigurasi dan penggunaan

rules yang fleksibel dimana apabila terdapat sebuah serangan yang baru dapat

dengan mudah menambahkannya dalam rules database, serta snort juga memiliki

kemampuan dalam menganaisis paket data mentah yang membuatnya menjadi

salah satu IDS terbaik.

Dalam pengoperasiannya SNORT bekerja dalam tiga mode yang dapat

disesuaikan dengan kebutuhan, diantaranya adalah:

1. Sniffer Mode

Sniffer mode berfungsi untuk melihat paket yang lewat di jaringan.

Berikut beberapa contoh perintah dalam snort mode sniffer:

#snort -v

#snort -vd

#snort -vde

#snort-v-d-e

Dengan menambahkan beberapa command berupa -v, -d , -e akan

menghasilkan beberapa keluaran yang berbeda, yaitu:

-v untuk melihat TCP/IP header paket yang lewat

-d untuk melihat isi paket

-e untuk melihat header link layer paket seperti Ethernet header

 25

2. Packet Logger Mode

Packet logger mode berfungsi untuk mencatat semua paket yang lewat

di jaringan yang kemudian akan dianalisa. Bahkan dapat menyimpan paket

ke dalam disk. Sehingga perlu diinisialisasika terlebih dahulu logging

direktorynya pada file configurasi snort. Untuk menjalankannya dapat

menggunakan perintah sebagai berikut:

snort -l ./log <parameter>

Parameter yang dapat ditambahkan adalah sebagai berikut:

a. -h 192.168.1.0/24, parameter ini digunakan untuk mencatat paket

pada host tertentu.

b. -b , digunakan agar file yang di log dalam format binary, buka ASCII.

Untuk membaca file log dapat, dilakukan dengan menjalankan perintah

snort -dv dan ditambahkan parameter -r nama file log, seperti:

snort -dv -r packet.log

snort -dvr packet.log icmp

3. Network Intrusion Detection System (NIDS)

Pada mode ini snort akan berfungsi untuk mendeteksi serangan yang

akan dilakukan melalui jaringan komputer. Untuk mengaktifkan mode ini

dengan menambahkan perintah pada snort untuk membaca file konfigurasi

dengan cara nama-file-konfigurasi.conf. Secara default isi file ini sudah

diset dalam file snort.conf yang termasuk dalam paket snort. Berikut ini

adalah beberapa perintah yang dapat digunakan untuk mengaktifkan snort

sebagai detection, antara lain:

./snort -dev -l ./log -h 192.168.1.0/24 -c snort.conf

 26

./snort -d -h 192.168.1.0/24 -l ./log -c snort.conf

Untuk melakukan deteksi penyusup snort harus melakukan logging

paket yang lewat dapat menggunakan perintah -l nama-file-logging, atau

membiarkan snort menggunakan deault file logging-nya di directory

/var/log/snort. Kemudian menganalisa catatan logging paket yang ada

sesuai dengan isi perintah snort.conf. Ada beberapa tambahan perintah yang

akan membuat proses deteksi menjadi lebih efisien,mekanisme

pemberitahuan alert di Linux dapat diatur dengan perintah -A sebagai

berikut:

a. -A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan

b. -A full, mode alert dengan informasi lengkap

c. -A unsock, mode alert ke unix socket

d. -A none, mematikan mode alert.

Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan

switch -s, seperti tampak pada beberapa contoh di bawah ini:

snort -c snort.conf -b -M WORKSTATIONS

Agar snort beroperasi secara langsung setiap kali workstation atau

server diboot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di

bawah ini:

/usr/local/bin/snort -d -h 192.168.0.0/24 -c /root/snort/snort.conf -A

full -s -D

Atau

/usr/local/bin/snort -d -c /root/snort/snort.conf -A full -s -D

 27

Dimana -D adalah parameter yang mengatur agar snort bekerja sebagai

daemon.

2.1.3.1 Komponen Snort

Dalam mendeteksi sebuah serangan snort memiliki beberapa komponen yang

saling bekerjasama untuk dapat memaksimalkan cara kerja snort dan juga untuk

menghasilkan keluaran pada format yang diinginkan pada sistem deteksi.

Komponen yang terdapat pada snort diantaranya adalah:

1. Packet Decoder

2. Preprocessor

3. Detection engine

4. Logging and Alerting System

5. Output Modules

Gambar 2. 7 Komponen-Komponen Snort

Berdasarkan Gambar 2.7 komponen snort yang saling berhubungan secara

langsung dalam melaksanakan fungsinya mulai dari packet decoder hingga berupa

file output.
 28

2.1.3.2 Decoder
Sesuai dengan paket yang di-capture dalam bentuk struktur data dan

melakukan identifikasi protocol, decode IP dan kemudian TCP dan UDP tergantung

informasi yang dibutuhkan, seperti port number, IP Address yang dipersiapkan

untuk di proses atau dikirim ke detection engine. Antarmukanya dapat berupa

Ethernet, SLIP, dan PPP.

2.1.3.3 Preprocessor
Preprocessor merupakan komponen atau plug-ins yang dapat digunakan pada

snort untuk menyusun atau mengubah paket data sebelum detection engine

melakukan beberapa operasi untuk mencari tahu jika paket digunakan oleh

penyusup. Preprocessor pada snort dapat mengkode-kan URL HTTP, men-

defragmentasi paket, menggabungkan kembali aliran TCP dan yang lain. Pada

dasarnya preprocessor berfungsi mengambil paket yang mempunyai potensi yang

berbahaya yang kemudian dikirim ke detetction engine untuk dikenali polanya.

2.1.3.4 Detection Engine

Detection Engine berfungsi untuk mendeteksi jika terjadi aktivitas penyusup

pada paket. Detection engine menggunakan rules Snort untuk tujuan ini. Rules

dibaca kedalam struktur atau rantai data internal kemudian di cocokkan dengan

paket yang ada. Jika paket sesuai dengan rules yang ada, tindakan akan diambil,

jika tidak paket akan dibiarkan. Tindakan yang diambil dapat berupa logging paket

atau mengaktifkan alert.

Beban pada Detection Engine tergantung pada faktor berikut:

1. Jumlah rule

2. Kekuatan mesin yang menjalankan snort

3. Kecepatan bus internal yang digunakan dalam mein Snort

 29

4. Beban pada jaringan

2.1.3.5 Logging and Alerting System

Berdasarkan apa yang ditemukan detection engine pada paket, paket dapat

digunakan untuk me-log kegiatan atau mengaktifkan alert, bergantng pada apa yang

ditemukan detection engine pada paket. Log di simpan di direktori /var/log/snort

secara default. Perintah snort -l pada command line dapat digunakan untuk

memodifikasi lokasu dari log dan alert yang dihasilkan.

2.1.3.6 Output Modules

Modul Output dapat melakukan beberapa operasi berbeda tergantung

bagaimana cara penyimpanan keluaran yang dihasilkan sistem log dan alert dari

snort. Pada dasarnya modul ini mengatur jenis keluaran yang dihasilkan oleh sistem

log dan alert. Beberapa keluaran yang dapat dihasilkan tergantung dari konfigrasi,

antara lain:

1. Logging ke dalam file /var/log/snort/alerts atau file lainnya

2. Mengirimkan pesan ke syslog

3. Logging ke dalam database seperti MySQL atau Oracle

4. Menghasilkan output eXtensible Markup Language

 30

2.2 Kerangka Berpikir

2.3 Gambar 2.8 Kerangka Berpikir

Dalam mengimplementasikan sebuah sistem keamanan jaringan dengan IPS

menggunakan snort, penulis menjelaskan secara umum melalui Gambar 2.3.

dengan dimulai terlebih dahulu melakukan prosedur awal dengan melakukan

identifikasi masalah yang sebelumnya telah dibahas pada Bab I dengan tujuan

mengangkat masalah yang akan diteliti.

 31

Langkah selanjutnya adalah melakukan studi kepustakaan yang bertujuan

untuk memperkuat materi pembahasan serta menjadi dasar untuk menggunakan

teori-teori tertentu dalam menyelesaikan masalah.

Langkah selanjutnya adalah melakukan perancangan topologi pada sistem

untuk diletakan nya sensor IPS sesuai dengan topologi yang sudah ada agar dapat

disesuaikan.

Langkah selanjutnya adalah melakukan proses installasi sistem operasi pada

server yang akan digunakan sebagai sensor IPS. Dalam proses ini penulis

menginstall sistem operasi linux Ubuntu 16.04.

Langkah selanjutnya adalah melakukan installasi snort pada server yang telah

terinstall sistem operasi linux Ubuntu 16.04 dan dilengkapi dengan paket

pendukung lain seperti barnyard2, pulledpork, dan snorby.

Langkah selanjutnya adalah melakukan konfigurasi IPS , karena pada

dasarnya snort secara default bekerja sebagai IDS maka perlu dilakukan konfigurasi

agar snort ini dapat di fungsikan sebagai IPS, mulai dari konfigurasi database snort

dan rules yang disesuaikan.

Setelah dilakukan proses installasi snort dan konfigurasi IPS maka langkah

selanjutnya yang perlu dilakukan adalah melakukan pengujian terhadap sensor yang

telah di implementasikan dengan tujuan mengetahui apakah sensor bekerja dengan

baik atau tidak. Jika hasil pengujian belum dapat menjunjukan bahwa sistem

tersebut belum dapat menangani setiap serangan yang dilakukan, maka perlu

dilakukan pengecekan dan perbaikan pada tahap implementasi.

 32

Jika data hasil pengujian sistem keamanan jaringan telah sesuai dengan yang

diharapkan, maka langkah selanjutnya adalah melakukan analisis terhadap hasil

pengujian, apakah sistem dapat menghalau setiap serangan yang di uji, dan apakah

sensor pada sistem keamanan tersebut mengganggu kinerja jaringan.

Langkah terakhir yang dilakukan adalah melakukan penarikan kesimpulan

berdasarkan analisis yang telah dilakukan sebelumnya. Kerangka berpikir

diilustrasikan pada gambar berikut:

 33

BAB III
METODOLOGI PENELITIAN

3.1. Tempat dan Waktu Penelitian

Penelitian dilakukan di Unit Pelayanan Teknis Teknik Informatika dan

Komputer Universitas Negeri Jakarta (UPT TIK UNJ) tepatnya di Gedung D

Kampus A UNJ yang berlokasi di Jl. Rawamangun Muka Jakarta Timur 13220.

Waktu penelitian dilakukan sejak bulan Maret 2017 hingga Juli 2017.

3.2. Alat dan Bahan Penelitian

3.2.1. Perangkat Keras (Hardware)

Berikut merupakan perangkat keras (Hardware) yang digunakan dalam

penelitian yang terdiri dari:

a. Komputer yang digunakan sebagai sensor dengan spesifikasi: Intel

Core i3 3240 ; 8Gb DDR3; 320GB Hard Drive; Interface Realtek 8111E

PCI-E Gigabit ; LAN Card D-Link DGE-560T ; Operatyng System:

Ubuntu 16.04.2 LTS

b. Switch D-LINK DES 1024

c. Kabel UTP Standar

d. Konektor RJ-45 CAT5

3.2.2. Perangkat Lunak (Software)

Berikut merupakan perangkat lunak (Software) yang digunakan dalam

penelitian yang terdiri dari:

a. Snort
 34

Snort (www.snort.org) merupakan suatu perangkat lunak untuk

mendeteksi penyusup dan mampu menganalisis paket yang melintasi

jaringan secara real time traffic dan logging kedalam database serta

mampu mendeteksi berbagai serangan dalam jaringan (Ariyus

Doni,2007).

b. LAMP Server

LAMP (Linux, Apache, MySQL, PHP) adalah sebuah bundle software

untuk webserver yang terdiri atas Linux, Apache HTTPD Server,

MySQL, serta PHP/Python/Perl. Paket yang terdapat pada LAMP dapat

bervariasi, sehingga compiler PHP dapat juga diintegrasikan dengan

Python atau Perl sesuai dengan kebutuhan. (Nur Arifin Akbar, Maman

Somantri, dan R. Rizal Isnanto, 2013).

c. Barnyard2

Barnyard2 adalah tool open source sebagai penerjemah alert unified dan

log dari Snort. Barnyard2 dapat meningkatkan efisiensi Snort dengan

cara mengurangi beban pada sensor deteksi. Barnyard2 bekerja dengan

membaca Snort's unified logging output files dan memasukannya

kedalam database. Jika database tidak tersedia maka Barnyard2 akan

memasukan semua data ketika database tersedia kembali sehingga tidak

ada alert atau log yang hilang.

d. Snorby

Snorby adalah salah satu aplikasi web (front-end) berbasis ruby on rails

untuk memantau sistem keamanan jaringan komputer dengan tampilan

antarmuka berbasis GUI (Graphical User Interface). Snorby telah

 35

terintegrasi dengan beberapa aplikasi IDS, seperti Snort, Suricata, dan

Sagan

3.2.3. Metode Pengujian

Metode pengujian adalah cara atau teknik untuk menguji sistem, dalam hal

ini perangkat yg diuji coba adalah sensor IPS yang diterapkan dalam sebuah PC

Server. Metode pengujian sensor yang penulis gunakan adalah metode

Functionality Test. Functionality Test bertujuan untuk menguji apakah sistem ini

dapat berfungsi dengan baik dan juga sesuai dengan kriteria yang diinginkan.

Kriteria yang diinginkan dalam hal ini sensor dapat berfungsi dengan baik dan dapat

menghalau serangan yang diuji coba kan seperti Flooding dengan perintah PING,

dDos dengan LOIC dan Scanning Port dengan Advanced Port Scanner. Berikut ini

merupakan beberapa pengujian yang dilakukan:

3.2.3.1. Pengujian dengan perintah PING

Pengujian menggunakan perintah ping dengan paket yang besar dapat

dilakukan dalam protocol icmp menggunakan satuan bytes. Dalam hal ini serangan

yang diuji dinamakan Ping Of Death. Maksimal beban yang yang bisa ditransfer

dalam sekali ping adalah 65500 bytes atau sama dengan 512 kbps.

Standar beban yang diberikan jika kita melakukan ping adalah 32 bytes, jika

kita menguji dengan beban yang lebih maka dapat menggunakan parameter -l

setelah IP tujuan.

Contoh pengujian:

ping 192.168.16.193 -t -l 32768 -n 100

Keterangan :
 36

a) 256 kbps / 8 bit = 32 KB x 1024 bytes = 32768 bytes

b) -t : ping secara terus-menerus, berhenti jika menekan tombol ctrl+C

c) -l : memberikan beban buffer

d) -n : menentukan jumlah request ping

3.2.3.2. Pengujian dengan LOIC

Pengujian menggunakan aplikasi LOIC (Low Orbit Ion Cannon) merupakan

salah satu pengujian untuk tipe serangan Dos (Denial Of Service) dan DDos

(Distributed Denial Of Service). Dalam hal ini IP yang di serang dibanjiri dengan

request ping yang lebih besar dan jumlah yang sangat banyak. Secara umum

tampilan aplikasi awal LOIC digambarkan pada Gambar 3.1:

Gambar 3.1 Aplikasi LOIC

Contoh Pengujian:

1. Pada kolom URL, kita dapat langsung memasukan URL yang akan

diserang (Jika kita tidak mengetahui IP dari website yang akan diserang)
 37

2. Jika kita telah mengetahui IP tujuan serangan maka kita tinggal mengisi

kolom IP dengan IP tujuan

3. Tentukan metode yang akan digunakan apakah TCP, UDP,atau HTTP.

4. Tentukan jumlah Threads, Misalnya : 10.000

5. Klik IMMA CHARGIN MAH LAZER untuk penyerangan

Gambar 3.2 Contoh Penyerangan dengan LOIC

Dijelaskan pada Gambar 3.2 penggunaan aplikasi LOIC dengan keterangan

sebagai berikut:

a) 192.168.16.193 merupakan IP tujuan penyerangan

b) Method TCP, metode yang digunakan dalam penyerangan adalah TCP

c) Port 80, port yang digunakan dalam penyerangan adalah port 80

3.2.3.3. Pengujian dengan Advanced Port Scanner

Pengujian dengan menggunakan Advanced Port Scanner adalah pengujian

dalam mengamankan port yang ada pada sistem. Melalui aplikasi ini seorang

pengguna dapat mengetahui port apa saja yang terbuka pada suatu sistem dan dapat
 38

masuk melalui port tersebut. Secara umum tampilan awal aplikasi di gambarkan

pada Gambar 3.3:

Gambar 3.3 Aplikasi Advanced Port Scanner

Contoh Pengujian:

1. Langkah pertama ialah mengisi kolom ip dengan range IP yang ada suatu

jaringan lokal, misal nya: 192.168.16.1 - 192.168.16.254, 192.168.56.1 -

192.168.56.254

2. Kemudian port yang mungkin diaktifkan, misalnya: TCP ports 1-1023

3. Kemudian klik Scan.

 39

Gambar 3.4 Contoh Pengujian Advanced Port Scanner

Dijelaskan pada Gambar 3.4 penggunaan aplikasi LOIC dengan keterangan

sebagai berikut:

a) 192.168.16.1 - 192.168.16.254, 192.168.56.1 - 192.168.56.254 pada kolom

IP merupakan range ip segmen 16.1 hingga 16.254

b) 192.168.16.61 merupakan hasil dari scanning port yang terbuka pada

jaringan lokal yang diuji.

c) Pada kolom port yang ada pada hasil scan merupakan beberapa port yang

terbuka pada suatu IP pada jaringan

3.3. Diagram Alir Penelitian

Secara garis besar, metode penelitian yang akan dilaksanakan seperti diagram

alir pada Gambar 3.5:

 40

Gambar 3.5 Diagram Alir Penelitian

Tahapan pertama yang dilakukan penulis adalah merumuskan masalah yang

sebelumnya telah dipaparkan pada bahasan sebelumnya, kemudian dilanjutkan

dengan tahapan studi kepustakaan untuk memperoleh literatur yang berkenaan

dengan penelitian ini. Setelah itu, penulis melakukan pengumpulan data dengan

melakukan observasi ke (UPT TIK - UNJ) dan wawancara dengan salah satu staff

untuk mengetahui kondisi dan permasalahan yang terjadi.

Setelah melakukan pengumpulan data, langkah selanjutnya adalah

melakukan perancangan berupa topologi yang nantinya akan digunakan sebagai

desain penerapan sensor IPS.

Setelah perancangan selesai, langkah selanjutnya adalah melakukan proses

penerapan atau implementasi sensor pada jaringan sesuai dengan topologi yang

telah dirancang sebelumnya . Implementasi alat dilakukan dengan installasi sistem

 41

operasi berbasis linux dalam penelitian ini penulis menggunakan Ubuntu 15.07 dan

perangkat lunak snort, barnyard2 dan Snorby yang telah di konfigurasi pada sebuah

PC yang akan dijadikan sebagai sensor dalam melakukan pemantauan lalu lintas

jaringan komputer.

Setelah sensor di implementasikan maka tahapan berikutnya adalah

melakukan pengujian terhadap sensor tersebut, pengujian dilakukan dengan tujuan

mengetahui apakah sensor bekerja dengan baik atau tidak. Jika hasil pengujian

belum dapat menunjukan bahwa sistem tersebut belum dapat menangani setiap

serangan yang dilakukan, maka perlu dilakukan pengecekan dan perbaikan pada

tahap implementasi. Penelitian akan diuji dengan metode black-box testing. Black-

box testing pengujian yang berfokus pada spesifikasi fungsionalitas dari sistem

yang telah diterapkan.

Jika data hasil pengujian sistem keamanan jaringan telah sesuai dengan yang

diharapkan, maka langkah selanjutnya adalah melakukan analisis terhadap hasil

pengujian, apakah sistem dapat menghalau setiap serangan yang di uji, dan apakah

sensor pada sistem keamanan tersebut mengganggu kinerja jaringan.

Langkah terakhir yang dilakukan adalah melakukan penarikan kesimpulan

berdasarkan analisis yang telah dilakukan sebelumnya.

3.4. Teknik dan Prosedur Pengumpulan Data

3.4.1. Teknik Pengumpulan Data

Adapun untuk melengkapi data, penulis menggunakan tiga teknik

pengumpulan data sebagai berikut:

1. Studi kepustakaan , yaitu melakukan proses pengumpulan data dari

perpustakaan dan dari internet dalam bentuk buku, jurnal, skripsi, naskah
 42

publikasi, dan informasi lainya yang kemudian dibaca dan dipalajari

sebagai bahan tinjauan pustaka yang berkaitan dengan penelitian.

2. Wawancara , yaitu proses mencari data dengan cara melakukan tanya

jawab dengan dengan pihak terkait, yang mempunyai wewenang atas data-

data yang berhubungan dengan objek penelitian. Dalam hal ini, penulis

melakukan wawancara dengan Bapak Arya Adipurwa,S.Kom, selaku

System Administrator UPT TIK-UNJ. Wawancara dilakukan untuk

mendapatkan informasi mengenai keadaan jaringan komputer UNJ serta

informasi topologi yang digunakan hingga saat ini.

3. Observasi (Pengamatan), pada tahapan ini diadakan kegiatan observasi

terhadap keadaan jaringan komputer UNJ dan topologi yang diterapkan di

pusat jaringan kompter yang terletak di UPT TIK-UNJ. Dari hasil

observasi ditemukan bahwa:

a. Secara umum jaringan UNJ terdiri dari 3 jaringan utama yaitu,

jaringan Lokal Area Network (LAN) jaringan Demiliterized Zone

(DMZ) dan jaringan internet (WAN).

b. Jaringan LAN merupakan jaringan lokal yang menghubungkan antara

gedung-gedung yang ada di lingkungan UNJ.

c. Jaringan DMZ merupakan jaringan tempat diletakannya server

server yang dimiliki oleh UNJ.

d. Jaringan WAN menghubungkan kedua jaringan (LAN dan DMZ)

dengan internet.
 43

3.4.2. Prosedur Pengumpulan Data

Dalam proses pengumpulan data penulis mendokumentasikan beberapa

prosedur dan tahapan yang dilakukan dan dipresentasikan dalam alur berikut ini:

Gambar 3.6 Prosedur Pengumpulan Data

Berdasarkan Gambar 3.6 penelitian di awali dengan mengajukan surat

permohonan penelitian kepada Ketua Program Studi (Kaprodi) Pendidikan Teknik

Informatika dan Komputer (PTIK) UNJ dan Kepala Sub Bagian (Kasubag) Fakultas

Teknik UNJ. Setelah proses pengajuan surat penelitian selesai dan telah ditanda

tangani oleh Kaprodi PTIK dan Kasubag Fakultas Teknik UNJ, surat pengajuan

diserahkan kepada petugas Biro Administrasi Akademik dan Kemahasiswaan

(BAAK) UNJ untuk dibuatkan surat penelitian. Ketika surat telah selesai dibuat

oleh BAAK dan telah ditanda tangani oleh Kepala BAAK, surat diserahkan kepada
 44

pihak UPT TIK UNJ agar diberikan izin untuk melakukan penelitian berupa

wawancara dan observasi topologi jaringan.

3.5. Teknik Analisis Data

Pada penelitian ini penulis melakukan analisa berdasarkan parameter metode

pengujian yaitu Functionality Test. Dalam hal ini Functinality Test dapat memenuhi

tabel pengujian yang dilihat dari 2 aspek yang diuji yaitu dari sisi server dan dari

sisi client atau Attacker. Jika dalam pengujian kedua aspek tersebut berstatus

berhasil maka sistem yang dirancang telah bekerja dengan baik. Berikut ini

pengujian dan indikator yang digunakan sebagai bahan analisa:

3.5.1. Analisis Pada Server (Sensor IPS)

Pengujian pada server dilakukan untuk memastikan bahwa semua komponen

IPS server berfungsi dan siap digunakan untuk capture paket data yang

mencurigakan sesuai rules yang telah ditentukan. Pada Tabel 3.1 dijelaskan

merupakan indikator pengujian server:

Tabel 3. 1 Pengujian Server

Indikator Manfaat
No Pengujian Status
Pengujian Pengujian
Service berjalan
Mengetahui server
Komputer server setelah komputer di
1. berjalan dengan ..
Booting dengan normal booting secara
baik
normal
command -D Menjalankan Snort
daemon mode pada (daemon mode) akan dan Barnyard2
2. ..
komputer server ditambahkan setelah pada background
booting normal process
Mengetikan sudo Mengetahui
Komputer server dapat
3. bundle exec rails Snorby siap ..
menjalankan dan
server -e production digunakan untuk
 45

membuka halaman menampilkan hasil

snorby log file snort

3.5.2. Analisis Pada Client (Attacker)

Pengujian pada sisi client dilakukan untuk mengetahui apakah sensor IPS

mampu membaca serangan dari client atau attacker, kemudian menyimpan dan

menampilkannya dalam bentuk web based. Pada Tabel 3.2 merupakan pengujian

client:

Tabel 3. 2 Pengujian Pada Client

Jenis Hasil Yang

Tools Jaringan Pengujian Status
Serangan Diharapkan
Attacker
melakukan
Command
Flooding penyerangan ..
PING
ke webserver
Server dapat
LAN UNJ
memblock IP
Melakukan
Client yang
Port Advanced Scanning port
berusaha ..
Scanning Port Scanner di jaringan
melakukan
lokal
Penyerangan
Attacker
melakukan
Dos LOIC WAN ..
penyerangan
ke server luar
 46

BAB IV
HASIL PENELITIAN

4.1.1. Deskripsi Hasil Penelitian

4.1.2. Analisis Kebutuhan

Dalam penelitian ini, analisis dilakukan dengan melakukan wawancara

dengan staf IT Pustikom dan mengamati kondisi topologi jaringan komputer yang

sudah ada pada di Pustikom UNJ untuk kemudian dirancang penempatan server IPS

dan IDS yang akan di tempatkan, serta mengetahui serangan serangan apa saja yang

biasa terjadi.

Dari hasil wawancara didapat beberapa masalah keamanan jaringan yang

seringkali terjadi dalam jaringan komputer di lingkup UNJ diantaranya tidak ada alat

peringatan dini dan pencegah mengenai adanya serangan keamanan dari dalam atau

lokal jaringan UNJ ke server luar dan adanya beberapa aktivitas mencurigakan yang

dilakukan jaringan lokal UNJ ke jaringan Internet yang menyebabkan beberapa situs

tidak dapat diakses karena IP Publik UNJ diblok oleh server luar. Sehingga server

tersebut tidak bisa dibuka dari jaringan UNJ. Dalam beberapa kasus terkadang IP

UNJ di block oleh google karena menyabarkan malware dan trojan secara broadcast

dan terus menerus ke google.

Setelah melakukan observasi, didapati kondisi topologi jaringan yang ada,

UNJ memiliki 3 kelompok yaitu WAN , DMZ , Dan LAN ketiganya dipisahkan

dengan lingkup yang berbeda dan dapat dilihat seperti ada di gambar xxx, hal ini

merupakan mekanisme untuk melindungi sistem internal dari serangan hacker atau

pihak-pihak lain yang ingin memasuki sistem tanpa mempunyai hak akses untuk

mengambil alih dan meretas server yang ada.

 47

Saat ini sudah ada Firewall dengan menggukan perangkat Sangfor yang

mencakup tiga fungsi utama yaitu Internet Access Management, WAN

Optimization, dan SSL VPN akan tetapi masih memiliki kekurangan dalam

memfilter paket data. Pada Service Firewall yang diterapkan saat ini hanya

memfilter paket data dari jaringan luar menuju ke dalam jaringan UNJ sedangkan

untuk data yang dikirimkan dari dalam jaringan UNJ ke Jaringan luar belum adanya

filtering.

Hal ini dikarenakan Sifat firewall yang ada memang di khususkan hanya

sebagai firewall untuk mencegah serangan dari luar menuju kedalam jaringan UNJ.

Selain itu adanya keterbatasan dan kemapuan dari Perangkat Sangfor itu sendiri,

jika perangkat tersebut digunakan juga sebagai filter paket data dari dalam menuju

luar jaringan UNJ maka perangkat Firewall tersebut akan mengalami penurunan

kinerja dikarnaka terlalu banyak beban yang ditangani oleh perangkat tersebut.
 48

Dari hasil wawancara dan observasi diatas maka Pustikom membutuhkan

sebuah Perangkat pendeteksi dini dan penangkal terhadap serangan dari dalam

jaringan UNJ menuju keluar. Kebutuhan sistem tersebut adalah Server IPS

(intrusion prevention system) untuk melakukan pendeteksian dan penangkalan

terhadap serangan.

4.1.2 Perancangan Sistem

4.1.2.1 Perancangan Jaringan Komputer

Skema jaringan yang dipakai dalam penelitian ini adalah sebagai berikut:

Gambar.

Pada skema diatas, desain jaringan baru yang dirancang pada dasarnya sama dengan

jaringan yang sudah ada tetapi, pada jaringan yang baru ditambahkan penggunaan

server ips baru diatas jaringan server lokal UNJ.

 49

4.1.2.2 Perancangan Server IPS

Pada penelitian ini peneliti menggunakan sebuah server yang mengunakan dua

NIC (network interface card) dengan spesifikasi sebagai berikut :

Prosesor : Intel I3 seri 3,2 GHz

Ram : 8 GB

Hardisk : 320 GB

OS : Linux Ubuntu versi 16.04

NIC : Interface Realtek 8111E PCI-E Gigabit

: LAN Card D-Link DGE-560T

pada server diatas akan di install sistem operasi linux ubuntu 16.04 pada tipe

jaringan yang digunakan pada setingan server adalah bridge, bukan router

karena kita hanya ingin melihat paket data yang lewat saja tanpa mengubah

paket tersebut dengan melakukan NAT. Setelah insalasi OS dan

pengkonfigurasian jaringan telah berhasil kita selanjutnya akan melakukan

penginstalan tool tools yang di perlukan antaralain snort, barnyard2, webgui

dan snorby

Adapun fungsi dari tools tersebut, snort mendeteksi paket data yang melintas

pada server dan akan menghasilkan log dengan nama snort.log.12345,

selanjutnya adalah tools barnyard untuk mengubah log yang dihasilkan oleh

snort menjadi ascii sehingga menjadi snort.u2 agar dapat dipahami dan dibaca
 50

oleh kita karena terstruktur, dan tools terakhir yaitu webgui snorby sebagai

webmonitoring yang bisa menampilkan data yang informatif kepada

adminstator.

Setelah semua hal diatas telah dirancang dan persiapkan tahap selanjutnya kita

akan menentukan dan menaikan tingkat sensor pada snort dengan bertahap

dengan cara merubah role yang ada. Pada awalnya sensor pada snort kita

gunakan adalah menggunakan role untuk IDS (Intrusion Detection System)

untuk mendeteksi intrusi yang terjadi dan memberikan peringatan kepada

administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap

jaringan dan hal tersebut bersifat pasif

Selanjutnya role snort ditingkatkan pada IPS dengan harapan akan aktif

menangkal serangan karena metode yang dapat digunakan untuk mendeteksi

aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. Serta IDS

dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam

sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari

percobaan intrusi (penyusupan).

4.1.3 Impementasi Sistem

4.1.3.1 Snort

Pada Snort tools, setelah diinstalasi dan konfigurasi dasar berhasil

penulis melanjutkan memvalidasi tools snort apa sudah sesuai dan

berjalan dengan apa yang diinginkan. Hasil validasi yang sempurna

akan dihasilkan sepeti gambar xxxx dibawah ini.

 51

Pada awalnya instalasi paket snort yang ada hanya konfigurasi dasar dan

selanjutnya dinaikan tingkat keamanan dengan menambah secara

bertahap role pada sensor snort pada awal instalasi hanya sebagai sensor

IDS dan selanjutnya dinaikan menjadi sensor IPS.

Gambar xxxxx tools snort telah terpasang diServer IPS

Dari gambar diatas menggambarkan service snort yang ada di server IPS

sudah aktif, terlihat dari status pada gambar xxx diatas adalah Active :

Active (running), hal ini berarti Snort sudah dapat digunakan sebagai
 52

suatu Network Intrusion Detection System (NIDS) yang berskala ringan

(lightweight),serta pencatatan (logging) terhadap berbagai macam

serangan terhadap jaringan komputer yang melawati server tersebut

telah mulai tercatat di snort.log.xxxx yang dapat dilihat pada gambar

dibawah ini

Gambar xxx snort.log.xxx

4.1.3.2 Barnyard 2

Setelah snort menghasilkan log berupa snort.log.1501250502, log

tersebut tidak dapat dibaca dan diartikan karena tidak berbentuk ascii.

Oleh karena itu dibutuhkan sebuah tools lain bernama barnyard2 yang

berfungsi sebagai penerjemah dari bahasa yang bersifat record random

menjadi acsii yang bisa di terjemahkan dan dimasukan kedalam field

database serta selanjutnya bisa dimasukan ke tools yang mengubah

data menjadi informasi yang lebih informatif tentang adanya serangan

yang melewati server tersebut.

 53

Gambar xxx service barnyard2 sudah aktif

Pada gambar diatas bisa dilihat bahwa service barnyard2 sudah aktif

terlihat dari status pada gambar xxx diatas adalah Active : Active

(running), maka tools tersebut sudah bisa mengubah log random dengan

nama file snort.log.1234532 menjadi log yang bersifat ascii yang bisa

diterjemahkan dengan nama file snort.u2. 1234532 yang dapat dilihat

pada gambar xxx dibawah ini.

Gambar xxx output log dari kedua tools

 54

4.1.3.3 Snorby

Pada Snorby tools, setelah diinstalasi dan konfigurasi dasar berhasil

penulis melanjutkan memastikan service snorby. Dapat diliahat dari

Gambar xxxxx dibawah menggambarkan service snorby yang ada di

server IPS sudah aktif, terlihat dari status pada gambar xxx dibawah

adalah Active : Active (running), hal ini berarti Snorby sudah dapat

digunakan.

Gambar xxxxx service snorby aktif

Setelah service snorby sudah aktif maka penulis akan melanjutkan

dengan mamastikan web gui pada Snorby sudah aktif dengan cara

mengakses IP server IPS dari webbrowser. Pada penelitian kali ini

penulis membuka IP 192.168.16.81 di webbrowser maka akan muncul

gambar laman login masuk snorby seperti yang ditampilkan pada

gambar xxx dibawah ini.

 55

Gambar xxxx Snorby Web GUI aktif

Setelah berhasil login penulis akan memastikan snorby aktif dengan

sebagaimana mestinya oleh karena itu dilakukan simulasi serangan

dummy yang dilakukan untuk memastikan alat berjalan dan masuk,

dengan cara melakukan serangan ke luar agar Server IPS yang telah

dikonfigurasi bisa mendeteksi serangan tersebut. Dapat kita lihat pada

gambar xxxx dibawah serangan simulasi penyerangan yang dilakukan

telah berhasil karena log penyerangan seluruhnya terekam di snorby.

 56

Gambar xxxx Snorby log GUI aktif

Selanjutnya adalah impementasi Dashboard pada snorby pada penelitian kali

ini dashboard berguna untuk menampilan panel yang dibuat berdasarkan log snort

mengunakan tools dashboard snorby dengan tujuan menampilkan informasi agar

lebih mudah membaca laporan, menganalisa data dan memprediksi data serangan

yang terjadi sekarang dan akan datang.

Karena kecenderung menggunakan gambar lebih mudah dibanding melihat data log

dalam bentuk angka dan tabel yang banyak, besar dan rumit. Hal ini disebabkan

Kecendrungan otak kita lebih cenderung melihat gambar dan warna dibanding

deretan angka-angka. Dashboard snorby bisa dilihat pada gambar xxxx dibawah ini.

Gamabar xxx Tampilan dashboard Snorby

 57

4.1.4 Pengujian Sistem

4.1.4.1 Pengujian Fungsional Test pada Server

Pada Pengujian Fungsional Test pada server dilakukan untuk memastikan bahwa

semua komponen IPS server berfungsi adapun pada penulisan kali ini penulis

melakukan pengujian fungsional dapat dilihat pada table xxxx dibawah ini

Tabel xxxx Hasil Pengujian fungsional

Indikator Manfaat
No Pengujian Status Keterangan
Pengujian Pengujian
Komputer Service berjalan
OS
server setelah Mengetahui
terbooting
1. Booting komputer di server berjalan Berhasil
dengan
dengan booting secara dengan baik
normal
normal normal
command -D Menjalankan
daemon (daemon mode) Snort dan
Seluruh
mode pada akan Barnyard2
2. Berhasil service
komputer ditambahkan pada
berjalan
server setelah booting background
normal process
Komputer Mengetahui
server dapat Snorby siap
Mengetikan Admin
menjalankan digunakan
sudo bundle dapat
3. dan untuk Berhasil
exec rails server mengakses
membuka menampilkan
-e production web Snorby
halaman hasil log file
snorby snort
Sensor dapat Tampilan log Log berjalan
Mengetahui
4 mendeteksi aktivitas pada Berhasil secara
adanya
intrusi snorby realtime
 58

lalulintas data memonitor

pada jaringan lalulintas
jaringan
Mengetahui
Penyerang tidak Penyeranga
Prevensi keseluruhan
dapat n tidak
5 penangkalan komponen IPS Berhasil
melakukan berhasil
serangan berjalan
serangan dilakukan
dengan baik

Dari hasil pengujian terbentuklah tabel sepeti diatas, pada tabel xxx. dapat

disimpulkan bawan pengujian fungsional test server IPS berjalan dengan sukses.

Semua tahapan suskses xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

4.1.4.2 Pengujian PING of Death

Pada pengujian PING of Death ini penulis melakukan pengujian dengan

melakukan ping dengan menggunakan beban paket maksimal yang di

ijinkan untuk melakukan ping. Ping of Death merupakan Pengiriman paket

echo request ICMP ke dalam suatu jaringan secara berlebihan. Pengiriman

paket ini dapat mengakibatkan sistem server crash, hang ataupun reboot jika

dilakukan terus dan berulang. Adapun perintah yang digunakan pada

pengujian ini adalah ping 192.168.4.17 -l 65500 -t.

Tanpa IDS dan IPS

 59

No Sumber Tujuan kondisi Jumlah Jumlah Respon Keterangan % keberhasilan

beban ping

1 192.168.16.253 192.168.16.104 Tanpa IDS dan IPS 65500 10 Reply Paket berhasil 100%

sampai

IDS 65500 10 Reply Paket berhasil 100 %

sampai,

muncul

peringatan

pada snorby

IPS 65500 10 Destination Port Paket tidak 0%

Unreachable berhasil

sampai

(destination
 60

port

unreachable),

muncul

peringatan

pada snorby

2 192.168.16.253 192.168.32.50 Tanpa IDS dan IPS 65500 10 Reply Paket berhasil 100%

sampai

IDS 65500 10 Reply Paket berhasil 100 %

sampai,

muncul

peringatan

pada snorby

IPS 65500 10 Destination Port Paket tidak 0%

Unreachable berhasil
 61

sampai

(destination

port

unreachable),

muncul

peringatan

pada snorby

3 192.168.16.253 8.8.8.8 Tanpa IDS dan IPS 65500 10 Reply Paket berhasil 100%

sampai

IDS 65500 10 Reply Paket berhasil 100 %

sampai,

muncul

peringatan

pada snorby
 62

IPS 65500 10 Destination Port Paket tidak 0%

Unreachable berhasil

sampai

(destination

port

unreachable),

muncul

peringatan

pada snorby

4 192.168.32.50 192.168.16.253 Tanpa IDS dan IPS 65500 10 Reply Paket berhasil 100 %

sampai

IDS 65500 10 Reply Paket berhasil 100 %

sampai,

muncul
 63

peringatan

pada snorby

IPS 65500 10 Destination Port Paket tidak 0%

Unreachable berhasil

sampai

(destination

port

unreachable),

muncul

peringatan

pada snorby
 64

Dari tabel diatas yang berdasarkan data yang diambil saat melakukan simulasi, dapat kita lihat perbedaan antara adanya sistem

IDS/IPS dan tidak adanya sistem IDS/IPS, dimana saat tidak ada IDS dan IPS serangan berhasil sampai dan network administrator

tidak akan mengetahui karena tidak adanya peringatan. Dengan adanya IDS, paket tetap sampai tetapi

Muncul peringatan pada snorby yang memungkinkan network administrator mengetahui detail dari serangan tersebut seperti asal dan

tujuan serangan tersebut. Setelah diimplementasikan sistem IPS muncul peringatan pada snorby dan serangan tidak berhasil, paket

tidak sampai pada tujuan karena telah di drop oleh sistem IPS.
 65

4.1.4.3 Pengujian Tracert Paket

Pada pengujian Tracert Paket ini penulis melakukan pengujian dengan

Xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Tracert Sumber

no Sumber Tujuan Kondisi Hasil

1 192.168.16.253 192.168.16.104 Tanpa IDS Berhasil

dan IPS

IDS Berhasil

IPS Tidak

berhasil

2 192.168.16.253 192.168.32.50 Tanpa IDS Berhasil

dan IPS

IDS Berhasil

IPS Tidak

berhasil

3 192.168.16.253 8.8.8.8 Tanpa IDS Berhasil

dan IPS

IDS Berhasil

IPS Tidak

berhasil

4 192.168.32.50 192.168.16.253 Tanpa IDS Berhasil

dan IPS
 66

IDS Berhasil

IPS Tidak

berhasil

4.1.4.4 Pengujian Port Scaning

Pada pengujian Port Scaning ini penulis melakukan pengujian dengan

no Sumber Tujuan Kondisi Hasil

1 Tanpa IDS

dan IPS

IDS

IPS

2 Tanpa IDS

dan IPS

IDS

IPS

3 Tanpa IDS

dan IPS

IDS

IPS

4 Tanpa IDS

dan IPS

IDS

IPS
 67

4.1.4.5 Pengujian LOIC

Pada pengujian Port Scaning ini penulis melakukan pengujian dengan

no Sumber Tujuan Kondisi Hasil

1 Tanpa IDS

dan IPS

IDS

IPS

2 Tanpa IDS

dan IPS

IDS

IPS

3 Tanpa IDS

dan IPS

IDS

IPS

4 Tanpa IDS

dan IPS

IDS

IPS
 68

4.2. Pembahasan

Hasil dari penelitian ini adalah PC server yang digunakan sebagai sensor IPS

menggunakan aplikasi Snort yang berintegrasi dengan barnyard2 , pulledpork , dan

snorby sebagai GUI dalam melakukan monitoring. Sensor IPS diletakan pada

jaringan lokal Universitas Negeri Jakarta. Sensor IPS di fungsikan dalam mode

bridging network dan bekerja secara daemon. Dalam hal ini sensor terlebih dahulu

melakukan tugas nya sebagai jembatan agar jaringan lokal dapat terhubung ke

internet karena posisi nya tepat di tengah, dapat dilihat pada gambar 4.1 bahwa

secara umum sensor berada sebagai jembatan serta gateway pada jaringan

dibawahnya.

Gambar 4. 1 Sensor IPS

 69

Dalam proses pengujiannya sensor bekerja untuk melakukan blocking

terhadap serangan Flooding, Ddos, dan Scanning port. Fungsi lain yang penulis

itegrasikan adalah monitoring melalui web GUI menggunakan aplikasi snorby.

4.1.3. Hasil Pengujian Perintah PING

Pengujian simulasi ping of death menggunakan commanad prompt dengan

melakukan ping yang di sesuaikan dengan kondisi dan paket data yang ditentukan

dari komputer intruder. Pada tabel xxx merupakan hasil pengujian dengan perintah

PING.

Kondisi Paket Data Command Hasil

Ping Of Death intruder
32 bytes ping 192.168.4.17 -n 10
pada Server UNJ
Ping Of Death intruder 65500 ping 192.168.4.17 -l
pada Server UNJ bytes 65500 -n 10
Ping Of Death intruder
32 bytes ping 8.8.8.8 -n 10
pada server luar (WAN)
Ping Of Death intruder 65500 ping 8.8.8.8 -l 65500 -n
pada server luar (WAN) bytes 10
- Ping Of Death intruder pada Server UNJ dengan paket 32 bytes
- Ping Of Death intruder pada Server UNJ dengan paket 65500 bytes
- Ping Of Death intruder pada server luar (WAN) dengan paket 32 bytes
- Ping Of Death intruder pada server luar (WAN) dengan paket 32 bytes
4.1.4. Hasil Pengujian Aplikasi LOIC

Pengujian dengan aplika si LOIC ini dilakukan untuk tipe serangan ddos

dengan membanjiri request ping yang lebih besar dan jumlah yang sangat banyak.

Simulasi dilakukan dengan penyerangan terhadap server UNJ dan server luar.

- Test Dos Server UNJ

- Test Dos Server Luar (Google)
 70

4.1.5. Hasil Pengujian Advanced Port Scanner

4.2. Analisis Data Penelitian

4.3. Pembahasan

4.4. Aplikasi Hasil Penelitian

 71

DAFTAR PUSTAKA

Akbar, N.A. Somantri, M. Isnanto, R. Rizal. 2013. Implementasi Penutupan Celah

Keamanan pada Aplikasi Web Berbasis Joomla 1.5.5 Serta Server Berbasis
Ubuntu 8.04 dengan Kernel 2.6.24. Universitas Diponegoro Semarang.
Semarang. hal 2

Amin, Zaid. 2012. Analisis Vulnerabilitas Host Pada Keamanan Jaringan

Komputer Di Pt. Sumeks Tivi Palembang (Paltv) Menggunakan Router
Berbasis Unix. Palembang Hal.2

Ariyus, Doni .2007. Intrusion Detection System, Penerbit ANDI, Yogyakarta

Diansyah, Handry Fratama. 2010. Pengenalan IDS (Intrusion Detection System)

Dan IPS (Instrusion Prevention System) Sebagai Manajemen Keamanan
Informasi Dan Pengamanan Jaringan.

Impverva, 2017.Distributed Denial Of Service Attack (Ddos) Definition Diambil di:

https://www.incapsula.com/ddos/ddos-attacks/ (9 Maret 2017)

Karen Scarfone,Peter Mell. 2007.Guide To Intrusion Detection And Prevention

System (IDPS).National institute of standards and Technology Special
Publication 800-94.127 pages

Kusumawati, Monika. 2010.Implementasi IDS Intrusion Detection System Serta

Monitoring Jaringan Dengan Interface Web Berbasis Base Pada Keamanan
Jaringan. Jakarta.Hal.16

Nadoel, 2010. Melakukan PING dengan beban. Diambil dari:

http://www.Nadasumbang.Com/Melakukan-Ping-Dengan-Beban/ (9 Maret
2017)
 72

Nishidh, D. Patel. 2013. An Analysis Of Network Intrusion Detection System Using

SNORT.

Purbo, O.W. Wiharjito, T. 2000. Keamanan Jaringan Internet. Elex Media

Komputindo. Jakarta.Hal 1
 73

LAMPIRAN

Lampiran 1
Pedoman Wawancara System Administrator UPT TIK-UNJ

Nama Narasumber : Arya Adipurwa,S.Kom

Jabatan : System Administrator UPT TIK-UNJ
Tanggal :
Waktu :
Tempat :

Alokasi Respon
Pertanyaan atau Objektif Wawancara
Waktu Narasumber
Objektif
1. Pembukaan Wawancara
2. Perkenalan Diri
12 3. Ucapan terimakasih atas kesediaan
menit narasumber
4. Penjelasan tujuan wawancara untuk
mengetahui gambaran jaringan komputer di
UNJ secara umum.
Pertanyaan 1
2 menit Bagaimana gambaran umum aktivitas Bapak/Ibu
sebagai system administrator pada UPT TIK-UNJ ?
Pertanyaan 2
Dalam memberikan sebuah layanan, bagaimana UPT
5 menit
TIK-UNJ menerapkan topologi jaringan secara
umum ?
Pertanyaan 3
Dalam mencegah terjadinya suatu serangan yang
8 menit
dapat terjadi pada jaringan , hal umum apa yang
biasa dilakukan ?
 74

Follow UP
Apakah ada keluhan dari sistem pemantau jaringan
tersebut ?
Pertanyaan 4
1-2
Seberapa sering sistem pemantau jaringan tersebut
menit
digunakan ?
Pertanyaan 5
Dari sisi kebutuhan hardware (perangkat keras)
5 menit komputer yang dibutuhkan untuk menjalankan
sistem pemantau jaringan tersebut. Apakah ada
kebutuhan hardware khusus ?
Objektif
1. Menyimpulkan wawancara
1 menit
2. Ucapan terimakasih kepada narasumber atas
kerjasamanya
25
Estimasi Waktu untuk Pertanyaan dan Objektif
menit