1.

Tripwire
Tripwire merupakan salah satu program IDS yang masuk kedalam jenis host base. Untuk
memonitoring semua sistem yang ada di server cukuplah sulit untuk dilakukan. Hal itu disebabkan
banyaknya file yang dikelola dan tidak mungkin dilakukan pengecekan satu-per-satu. Oleh karena itu
diperlukannya tripwire untuk melakukan auditing file di server. Logika yang dilakukan suatu program
tripwire adalah dengan membuat suatu baseline database yang ada pada sistem. Dimana apabila suatu
file berubah maka tripwire akan mencatat dan memberitahukan perubahan tersebut kepada admin.
Program tripwire berfungsi untuk menjaga integritas file sistem dan direktori, dengan mencatat
setiap perubahan yang terjadi pada file atau direktori. Konfigurasi tripwire meliputi pelaporan melalui
email apabila menemukan perubahan file yang tidak semestinya dan secara otomatis melakukan
pemeriksaan file. Tripwire mampu mempermudah pekerjaan yang dilakukan oleh admin dalam
mengamankan suatu sistem yang begitu banyak. Beberapa hal yang mampu dilakukan oleh tripwire
antara lain file integrity cheking, tripwire mampu mendeteksi perubahan file, serta tripwire melakukan
perbandingan antara database file sebelum pengecekan dengan database file setelah pengecekan. Hal
yang tidak dapat dilakukan oleh tripwire antara lain, tripwire tidak dapat menghalangi perubahan file
/ sistem; tripwire bukan merupakan suatu antivirus; program tripware mampu dimanipulasi; serta false
positif karena salah setting pada file policy, file konfigurasi, atau tidak update database.
Secara garis besar cara kerja dari tripwire adalah melakukan perbandingan file dan direktori yang
ada dengan database sistem. Perbandingan tersebut meliputi perubahan tanggal, ukuran file,
penghapusan, perubahan isi file serta lain sebagainya. Setelah tripwire dijalankan, secara otomatis akan
melakukan pembuatan database sistem. Setelah itu secara periodik akan melaporkan setiap perubahan
pada file dan direktori kepada admin. Percobaan dengan menggunakan program tripwire diperlukan
suatu web server sederhana guna untuk melakukan monitoring dan mencatat semua kegitan yang
terjadi pada suatu web server tersebut.
Dalam direktori tripwire itu sendiri terdapat dua file yang perlu dikonfigurasi, konfigurasi file
yang terdapat pada “/etc/tripwire/twcfg.txt” konfigurasi file
policy“/etc/tripwire/twpol.txt” untuk menjalankan hasil yang telah dikonfigurasi terdapat pada
file “/etc/tripwire/twinstall.sh”. Langkah selanjutnya inisialisasi tripwire dengan meng-generate
database, menjalankan tripwire guna untuk melakukan pengecekan integrity, melakukan pengecekan
pada tripwire yang terdapat pada print report, melakukan update policy file. Setelah penyetingan
selesai tripwire akan melakukan pengecekan terhadap integrity file, dan kejanggalan dari file tersebut
dapat dilaporkan dengan mengirimkan laporan / pesan ke email.

IDS

IDS (Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic
jaringan dan pengawasan terhadap kegiatan-kegiatan yang Mencurigakan didalam sebuah sistem jaringan.
Jika ditemukan kegiatankegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan
memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon
terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet
Protocol) sumber dari usaha pengaksesan jaringan.
IDS sendiri muncul dengan beberapa jenis dan pendekatan yang berbeda yang intinya berfungsi untuk
mendeteksi traffic yang mencurigakan didalam sebuah jaringan. Beberapa jenis IDS adalah : yang berbasis
jaringan (NIDS) dan berbasis host (HIDS). Ada IDS yang bekerja dengan cara mendeteksi berdasarkan
pada pencarian ciri-ciri khusus dari percobaan yang sering dilakukan. Cara ini hampir sama dengan cara
kerja perangkat lunak antivirus dalam mendeteksi dan melindungi sistem terhadap ancaman. Kemudian ada
juga IDS yang bekerja dengan cara mendeteksi berdasarkan pada pembandingan pola traffic normal yang
ada dan kemudian mencari ketidaknormalan traffic yang ada. Ada IDS yang fungsinya hanya sebagai
pengawas dan pemberi peringatan ketika terjadi serangan dan ada juga IDS yang bekerja tidak hanya
sebagai pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah kegiatan yang
merespon adanya percobaan serangan terhadap sistem jaringan dan komputer.

1. Jenis-jenis IDS

 NIDS (Network Intrusion Detection System)

IDS jenis ini ditempatkan disebuah tempat/ titik yang strategis atau sebuah titik didalam sebuah
jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan berasal dari semua alat-
alat (devices) dalam jaringan. Idealnya semua traffic yang berasal dari luar dan dalam jaringan di
lakukan di scan, namun cara ini dapat menyebabkan bottleneck yang mengganggu kecepatan
akses di seluruh jaringan.

 HIDS (Host Intrusion Detection System)

IDS jenis ini berjalan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan.
Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun dari
luar hanya pada satu alat saja dan kemudian memberi peringatan
kepada user atau administrator sistem jaringan akan adanya kegiatan-kegiatan mencurigakan yang
terdeteksi oleh HIDS.

 Signature Based
IDS yang berbasis pada signature akan melakukan pengawasan terhadap paket-paket dalam
jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan basis data signature
yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang pernah
diketahui. Cara ini hampir sama dengan cara kerja aplikasi antivirus dalam melakukan deteksi
terhadap malware. Intinya adalah akan terjadi keterlambatan antara terdeteksinya sebuah
serangan di internet dengan signature yang digunakan untuk melakukan deteksi yang
diimplementasikan didalam basis data IDS yang digunakan. Jadi bisa saja basis data signature
yang digunakan dalam sistem IDS ini tidak mampu mendeteksi adanya sebuah percobaan
serangan terhadap jaringan karena informasi jenis serangan ini tidak terdapat dalam basis data
signature
sistem IDS ini. Selama waktu keterlambatan tersebut, sistem IDS tidak dapat mendeteksi adanya
jenis serangan baru.

 Anomaly Based

IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang
terjadi dengan rata-rata traffic yang ada (stabil).Sistem akan melakukan identifikasi apa yang
dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang
 biasanya digunakan di jaringan tersebut, protolkol apa yang digunakan, port-port dan alat-alat apa
saja yang biasanya saling berhubungan satu sama lain didalam jaringan tersebut, dan memberi
peringatan kepada administrator ketika dideteksi ada yang tidak normal, atau secara signifikan
berbeda dari kebiasaan yang ada.
A. PassiveIDS

IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic
yang mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan membangkitkan
sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator atau user. Selanjutnya
terserah administrator, tindakan apa yang akan dilakukan terhadap hasil laporan IDS.

B. Reactive IDS

IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan
membahayakan kemudian memberi peringatan kepada administrator tetapi juga mengambil
tindakan proaktif untuk merespon terhadap serangan yang ada. Biasanya dengan melakukan
pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber atau user jika alamat IP
sumber atau user tersebut mencoba melakukan serangan lagi terhadap sistem jaringan di waktu
selanjutnya.
2. Implementasi IDS

Salah satu contoh penerapan IDS di dunia nyata adalah dengan menerapkan sistem IDS yang
bersifat open source dan gratis. Contohnya SNORT. Aplikasi Snort tersedia dalam beberapa macam
platform dan sistem operasi termasuk Linux dan Window$. Snort memiliki banyak pemakai di jaringan
karena selain gratis, Snort juga dilengkapi dengan support system di internet sehingga dapat dilakukan
updating signature terhadap Snort yang ada sehingga dapat melakukan deteksi terhadap jenis serangan
terbaru di internet.
IDS tidak dapat bekerja sendiri jika digunakan untuk mengamankan sebuah jaringan. IDS harus
digunakan bersama-sama dengan firewall. Ada garis batas yang tegas antara firewall dan IDS. Juga
ada teknologi yang disebut dengan IPS (Intrusion Prevention System). IPS pada dasarnya adalah
sebuah firewall yang dikombinasikan dengan level jaringan dan level aplikasi dengan sebuah reactive
IDS untuk melindungi jaringan secara pro aktif. Pada dasarnya, firewall adalah titik pertama dalam
garis pertahanan sebuah sistem jaringan komputer. Seharusnya firewall diatur agar melakukan
penolakan (DENY) terhadap semua traffic yang masuk kedalam sistem dan kemudian membuka
lubanglubang yang perlu saja. Jadi tidak semua lubang dibuka ketika sistem melakukan hubungan ke
jaringan luar. Idealnya firewall diatur dengan konfigurasi seperti diatas. Beberapa port yang harus
dibuka untuk melakukan hubungan keluar adalah port 80 untuk mengakses internet atau port 21 untuk
FTP file server. Tiap-tiap port ini mungkin penting untuk tetap dibuka tetapi lubang-lubang ini juga
merupakan potensi kelemahan atas terjadinya serangan yang akan masuk kedalam jaringan. Firewall
tidak dapat melakukan pemblokiran terhadap jenis serangan ini karena administrator sistem telah
melakukan konfigurasi terhadap firewall untuk membuka kedua port tersebut. Untuk tetap dapat
memantau traffic yang terjadi di kedua port yang terbuka tersebut dibutuhkan sebuah sistem yang dapat
melakukan deteksi terhadap traffic yang membahayakan dan berpotensi menjadi sebuah serangan.
Disinilah fungsi IDS dibutuhkan. Dapat saja digunakan / diimplementasikan sebuah NIDS melalui
seluruh jaringan atau sebuah HIDS pada alat-alat tertentu yang dirasa berpotensi terhadap serangan.
IDS akan me-monitor traffic yang masuk dan keluar jaringan dan mengidentifikasi trafic yang
mencurigakan dan membahayakan yang mungkin saja dapat melewati firewall atau dapat saja berasal
dari dalam jaringan. Jadi IDS tidak hanya mendeteksi serangan dari luar tetapi juga potensi serangan
dari dalam jaringan sendiri. IDS dapat saja menjadi sebuah alat yang hebat untuk melakukan
 pengawasan secara pro aktif dan melakukan perlindungan jaringan dari kegiatan-kegiatan yang
membahayakan, bagaimanapun juga IDS cenderung dapat memberikan peringatan yang salah. Intinya
tidak ada sistem yang sempurna untuk mengamankan sebuah jaringan komputer. Ketika menggunakan
IDS maka sistem administrasi harus sering melakukan tune-up terhadap sistem IDS yang di
implementasikan. IDS juga harus di konfigurasi secara tepat untuk mampu mendeteksi apa itu trafic
yang normal dalam jaringan dan apa itu traffic yang membahayakan. Untuk mendefinisikan hal
tersebut diatas diperlukan seorang administrator sistem yang mampu memberikan respon terhadap
sistem pemberi peringatan IDS. Dibutuhkan pengertian apa arti peringatan tersebut dan bagaimana
mengefektifkan respon tersebut.
Idealnya IDS ditempatkan bersama-sama dengan firewall dan di tiap titik yang berpotensi untuk
mendapat serangan. Seperti diletakkan di server utama dari sebuah sistem jaringan yang berhubungan
langsung dengan jaringan luar. Selain di server utama IDS dapat juga diletakkan di Gateway yang
merupakan penghubung antara jaringan internal dengan internet. IDS sendiri berbeda dengan firewall.
Jika IDS bekerja hanya sebagai pendeteksi dan pemberi peringatan dini terhadap kondisi jaringan yang
berpotensi merusak sistem jaringan maka firewall bekerja untuk mencari tahu ada tidaknya gangguan
kemudian menghentikan gangguan tersebut sebelum benar-benar masuk kedalam sistem jaringan.
Firewall juga membatasi akses antara jaringan dengan tujuan untuk mencegah terjadinya gangguan
tetapi tidak memberi tanda akan adanya serangan yang berasal dari dalam jaringan itu sendiri. IDS
mengevaluasi gangguan yang mencurigakan ketika kegiatan tersebut terjadi dan langsung memberikan
peringatan. IDS juga mengawasi serangan yang berasal dari dalam sistem jaringan tersebut. Sehingga
dalam implementasinya IDS dan Firewall selalu digunakan bersama-sama sebagai sistem pengamanan
jaringan dan komputer.

Cara kerja Tripwire

Prinsip kerja yang dilakukan oleh program Tripwire adalah dengan membuat suatu baseline database yang
ada pada sistem. Ketika ada file yang berubah maka Tripwire akan mencatat dan memberikan notifikasi
kepada admin.Selain menjaga integritas file sistem dan direktori, Tripwire mampu mengirimkan notifikasi
melalui e-mail apabia ditemukan adanya perubahan file yang tidak semestinya. Dan juga Tripwire dapat
melakukan perbandingan antara database file sebelumnya dengan database file setelah pengecekan.
Namun ada beberapa hal yang tidak bisa dilakukan oleh Tripwire, yaitu Tripwire tidak dapat menghalangi
perubahan file atau sistem, Tripwire bukan merupakan antivirus, program Tripwire ini dapat dimanipulasi,
dan adanya notifikasi yang bersifat false positif dikarenakan kesalahan konfigurasi pada file policy, file
konfigurasi, dan tidak update nya database.

Konfigurasi Tripwire

1. Masukkan instruksi : apt-get install tripwire

2. Membuat kunci site key dan local key yang akan digunakan ketika masuk ke database,
mengkonfigurasi file, dan policy file :
3. twadmin –generate-keys –site-keyfile ./site.key
4. twadmin –create-cfgfile –cfgfile ./tw.cfg –site-keyfile ./site.key twcfg.txt
5. Melakukan editing configuration file yang dapat dilihat pada /nano/etc/tripwire/twcfg.txt,
kemudian mengupdate file tersebut kedalam tw.cfg :
6. twadmin –create-cfgfile –cfgfile ./tw.cfg –site-keyfile ./site.key twcfg.txt
7. Melakukan editing policy file yang terdapat pada /nano/etc/tripwire/twpol.txt lalu mengupdate
policy file tw.pol :
8. twadmin–create-polfilecfgfile tw.cfg –site-keyfile site.key twpol.txt
9. Inisialisasi tripwire guna untuk meng-generate database : tripwire –init
 10. Memasukkan password local key passphrase, dan tunggu hingga generate database sukses
11. Melakukan pengecekan tripwire yang terdapat pada report :
12. twprint–mr–twrfile /var/lib/tripwire/report/<name_file>.twr
13. Dimana <name_file> sesuai dengan file yang terdapat pada komputer, untuk melakukan
pengecekan : ls /var/lib/tripwire/report
14. Update database : tripwire-updatetwrfile/var/lib/tripwire/report/<name_file>.twr
15. Tripwire akan menampilkan berupa editor line
16. Update policy file yang baru, sesuai dengan kebutuhan. Pengecekan tripwire akan berjalan hanya
pada file /var/www, jadi membuat policy file baru nano/etc/tripwire/twpol.txt.new
17. Perbaharui policy file tw.pol :
18. “# twadmin -create-polfile-S site.key /etc/tripwire/twpol.txt.new”
19. Inisialisasi ulang guna untuk meng-generate database : tripwire –init
20. Menjalankan kembali tripwire : tripwire –check
21. Melakukan penegecekan report tripwire :
22. twprint–m r -twrfile/var/lib/tripwire/report/<name_file>.twr
23. Melihat informasi database tripwire : twprint -m d --print-dbfile /var/www
24. Melakukan tes email : tripwire –test –email nfhata@gmail.com

2. PortSentry
PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning &
meresponds secara aktif jika ada port scanning. Port scan adalah proses scanning berbagai aplikasi servis
yang dijalankan di server Internet. Port scan adalah langkah paling awal sebelum sebuah serangan di
lakukan. Terus terang, cara meresponds PortSentry cukup sadiz, jika ada mesin yang tertangkap basah
melakukan port scan terhadap Server yang kita miliki maka secara aktif akan memblokir mesin penyerang
agar tidak dapat masuk & melakukan transaksi dengan Server kita. Bagi mesin yang sial tersebut, maka
jangan berharap untuk melakukan hubungan ke Server yang kita miliki.
Cara kerja port sentry dengan melakukan melihat komputer yang melakukan scan dan secara aktif
akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita.
PortSentry dapat di download secara pada http://www.psionic.com. Beberapa fitur portsentry:
1. Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
2. Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
3. PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si
penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file
/etc/host.deny secara otomatis oleh TCP Wrapper.
4. PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect
ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena
melakukan scanning) yang akan di blokir.
5. PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama
system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika
hal ini diintegrasikan dengan Logcheck maka administrator system akan memperoleh laporan
melalui e-mail.
Dengan adanya berbagai fitur di atas maka system yang kita gunakan tampaknya seperti hilang
dari pandangan penyerang. Hal ini biasanya cukup membuat kecut nyali penyerang. Penggunaan
PortSentry sendiri sangat mudah sekali, bahkan untuk penggunaan biasa saja praktis semua instalasi
default tidak perlu di ubah apa-apa dapat langsung digunakan. Yang mungkin perlu di tune-up sedikit
adalah file konfigurasi portsentry yang semuanya berlokasi di /etc/portsentry secara default. Untuk
mengedit file konfigurasi tersebut anda membutuhkan privilige sebagai root. Beberapa hal yang
mungkin perlu di set adalah:
1. file /etc/portsentry/portsentry.conf merupakan konfigurasi utama portsentry. Disini secara
 bertahap diset port mana saja yang perlu di monitor, responds apa yang harus di lakukan ke
mesin yang melakukan portscan, mekanisme menghilangkan mesin dari routing table,
masukan ke host.deny.
2. Proses setting sangat mudah hanya dengan membuka / menutup tanda pagar (#) saja. pada file
/etc/portsentry/portsentry.ignore.static masukan semua IP address di LAN yang harus selalu di
abaikan oleh portsentry. Artinya memasukan IP address ke sini, agar tidak terblokir secara
tidak sengaja.
3. Pada file /etc/default/portsentry kita dapat menset mode deteksi yang dilakukan portsentry.
Semakin baik mode deteksi yang dipilih (advanced stealth TCP/UP scanning), biasanya
PortSentry akan semakin sensitif & semakin rewel karena sedikit-sedikit akan memblokir
mesin.

3. E-Mail Security
Seiring dengan perkembangan teknologi email menjadi sarana yang banyak digunakan di seluruh dunia
dan sudah dimanfaatkan dalam berbagai bidang. Bahkan segala sesuatu baik jadwal, tugas kuliah,
promosi, maupun urusan-urusan perusahaan biasanya memanfaatkan email agar lebih mudah. Dengan
email kita dapat menghemat waktu dan tenaga untuk berbagi informasi dengan teman-teman yang berada
di belahan dunia. Email seperti kartu pos yang dikirimkan melalui kantor pos terdekat ke kantor pos
berikutnya. Adapun pengertian dari email (Electronic Mail} itu sendiri merupakan surat elektronik yang
dikirimkan melalui jaringan. Namun begitu masih banyak yang tidak tahu memaksimalkan penggunaan
email, bagi sebagian kalangan email hanya untuk syarat formalitas seperti untuk pembuatan facebook,
account twitter, pendaftaran game, dan sebagainya tanpa mengetahui apa yang mungkin terjadi pada
email mereka dengan hanya mempercayakan keamanan pada penyedia layanan saja yang pada
kenyataannya masih terdapat masalah-masalah pada email itu sendiri.
Email Terdiri dari 2 komponen yaitu :
 Client
Mail User Agent (MUA) : fasilitas email yang berhubungan dengan pengguna. Contoh : Outlook,
Eudora, Pegasus, K-mail, Pine, dll.
 Email Server terbagi 2 proses yang berbeda yaitu :
 Mail Transfer Agent (MTA) : Server yang bertugas mengirim, meneruskan, dan menerima
email. Contoh : Sendmail, Qmail, Postfix, dll.
 Mail Delivery Agent (MDA) : Server yang melakukan pengiriman secara actual
dengan menerima mail dari MTA untuk diletakkan ke MUA inbox yang sesuai

Struktur email terdiri atas 2 bagian yaitu :

 Header Email yaitu berisi tentang informasi pengirim,penerima,dan tujuan email, serta
Informasi dari MTA (Mail Transfer Agent) yang dilalui saat melakukan pengiriman.
 Body Email yaitu berisi pesan email.
Beberapa masalah pada email dan penanggulangannya yaitu :
 Penyadapan : Potensi penyadapan berada disetiap titik MTA yang dilaluinya untuk sampai ke tujuan
dan biasanya karena email yang dikirimkan bersifat terbuka jadi dapat dengan mudah dibaca dengan
jelas oleh si penyadap.
Proteksinya : Dengan melakukan enkripsi terhadap isi email.
 Pemalsuan : Membuat email palsu dengan merubah header dan mengirimkannya langsung dari MTA
atau saat menyadap email isinya diubah terlebih dahulu sebelum dilanjutkan ke tujuan. Namun
aktivitas pengiriman tercatat pada berkas log.
Proteksinya : Dengan memeriksa header email dan menelusuri digital signature.
 Penyusupan Virus : Ini merupakan akibat kecerobohan user yang tidak waspada, isi email tidak
diperiksa karena firewall tidak bekerja pada layer aplikasi dan cenderung langsung attachment untuk
kenyamanan pengguna.
Proteksinya : Dengan menggunakan antivirus yang terupdate, tidak mengizinkan email client
menjalankan aplikasi, tidak membuka attachment yang tidak jelas pengirimnya, serta melakukan
pemeriksaan virus di lever mailserver.
 Spamming : Pengiriman email secara sembarang atau acak yang biasanya merupakan promosi dan
tidak terfilter oleh antivirus karena pesan email terbaca sebagai email normal.
Proteksinya : Melaporkan Spam ke server sebagai data sampel untuk server (hal ini membuat server
bertambah pintar terhadap bentuk spam), dan memasang antispam.
 Mail Bomb : Pengiriman banyak email secara beruntun ke satu tujuan yang hal ini membuat server
menjadi down.
Proteksinya : Membatasi ukuran email, quotadisk, menggunakan filter khusus terhdapat email duplikasi.
 Mail Relay : Penggunaan server orang lain untuk mengirim email. Hal ini terjad karena server
memberikan izin pihak lain mengirim email melalui sever tersebut ( open relay ). Akibat dari ini
bandwidth pihak server terpakai untuk mengirim email yang biasanya dalam jumlah banyak, penerima
email terkelabui oleh alamat palsu yaitu alamat dari pihak server, dan mendapat marah serta terfilter
dari si penerima email.