Information Security| 83
Seminar Nasional Teknologi Informasi dan Komunikasi (SNASTIKOM) 2015 – ISBN 978-602-19837-8-2
keamanan komputer. Sebagaimana dicatat, sebagian 2. Portable untuk banyak OS – Telah diporting ke
besar responden atribut insiden keamanan yang Linux, Windows, OSX, Solaris, BSD,dll.
melakukan ancaman dan penyusupan sehari-hari pada 3. Cepat – Snort mampu mendeteksi serangan pada
instalasi tersebut kebanyakan seperti karyawan dan network 100Mbps.
mantan karyawan. 4. Mudah dikonfigurasi – Snort sangat mudah
dikonfigurasi sesuai dengan kebutuhan network
kita. Bahkan kita juga dapat membuat rule sendiri
untuk mendeteksi adanya serangan baru.
5. Free – Kita tidak perlu membayar sepeser pun
untuk menggunakan snort. Snort bersifat open
source dan menggunakan lisensi GPL.
Snort merupakan suatu perangkat lunak untuk
mendeteksi penyusup dan mampu dapat menganalisis
lalu lintas real-time, hal ini dapat mendeteksi berbagai
jenis serangan. Snort bukanlah sebatas protocol
analisis atau sistem pendeteksi penyusupan (Intrusion
Detection System) IDS, melainkan sedikit gabungan
diantara keduanya, dan bias sangat berguna dalam
merespons insiden-insiden peyerangan terhadap host-
host jaringan. Fitur Snort dapat menjadi penolong
administrator sistem dan jaringan, dimana mampu
memperingatkan kita atas penyusup yang berpeluang
Gambar 1: Grafik tabulasi penyusupan tahun 2014 berbahaya[5][8].
Fitur-fitur inilah yang menjadikan Snort sebuah
2.3 IDS (Intrution Detection System) sistem pendeteksi gangguan dan serangan jaringan
IDS (Intrution Detection System) adalah sebuah yang sangat berguna bagi tim penanggulangan insiden.
sistem yang melakukan pengawasan terhadap traffic Snort sekarang dapat dioperasikan dengan empat (4)
jaringan dan pengawasan terhadap kegiatan-kegiatan buah mode[2]:
mencurigakan berhubungan dengan traffic jaringan 1. Paket sniffer: Praktis membaca paket-paket dari
maka IDS akan memberikan peringatan kepada sistem jaringan dan memperlihatkan pada kita dalam
atau administrator jaringan. Dalam banyak kasus IDS bentuk aliran tak terputus pada layar.
juga merespon terhadap traffic yang tidak 2. Packet logger: untuk mencatat semua paket yang
normal/anomali melalui aksi pemblokiran seorang lewat di dalam disk.
user atau alamat IP (Internet Protocol) sumber dari 3. NIDS (Network Intrusion Detection System):
usaha pengaksesan jaringan. deteksi penyusup pada network: pada mode ini
Ada beberapa cara bagaimana IDS bekerja. Cara Snort akan berfungsi untuk mendeteksi serangan
yang paling populer adalah dengan menggunakan yang dilakukan melalui jaringan komputer.
pendeteksian berbasis signature (seperti halnya yang 4. Inline Mode, mengambil paket dari iptable dan
dilakukan oleh beberapa antivirus), yang melibatkan menginstruksikan iptable untuk meneruskan
pencocokan lalu lintas jaringan dengan basis data yang paket tersebut berdasarkan jenis rule dari Snort
berisi cara-cara serangan dan penyusupan yang sering yang digunakan.
dilakukan oleh penyerang. Sama seperti halnya
antivirus, jenis ini membutuhkan pembaruan terhadap
3. Analisis dan Perancangan
basis data signature IDS yang bersangkutan.
3.1 Analisis
Pada bab ini, penulis akan membahas tentang
2.4 Snort
analisis masalah yang diperlukan dalam menganalisis
Snort adalah NIDS yang bekerja dengan
pendeteksian serangan yang terjadi pada sebuah
menggunakan signature detection, berfungsi juga
jaringan komputer dan kebutuhan sistem monotoring
sebagai sniffer dan packet logger[2].Snort pertama kali
penyusup jaringan komputer.
di buat dan dikembangkan oleh Marti Roesh, lalu
Adapun analisis yang akan dilakukan penulis
menjadi sebuah opensource project. Versi komersial
ada 3 hal, yaitu:
dari snort dibuat oleh Sourcefire
1. Mendeteksi komputer yang hidup dalam
(www.sourcefire.com). Snort memiliki karakteristik,
jaringan.
sebagai berikut:
2. Mendeteksi port yang terbuka.
1. Berukuran kecil – Source code dan rules untuk
3. Mendeteksi IP Address komputer yang aktif di
rilis 2.1.1 hanya 2256k.
dalam jaringan.
Information Security | 84
Seminar Nasional Teknologi Informasi dan Komunikasi (SNASTIKOM) 2015 – ISBN 978-602-19837-8-2
2. Perancangan Sistem
Gambar 3. Skema Jaringan untuk Pendeteksian
3.2.1 Perancangan Jaringan SNORT
Perancangan jaringan yang dilakukan penulis
adalah jaringan dengan topologi star. Topologi star 3.3 Flowchart Prosedural
yang digunakan oleh penulis dalam melakukan Setelah selesai dalam merancang skema
penelitian ini untuk menghubungkan unit-unit pendeteksian, maka penulis akan membahas prosedur
komputer yang dilindungi oleh aplikasi snort. tentang prosedur dari cara kerja Snort. Secara
Topologi star ini membentuk seperti bintang sederhana penulis juga membuat gambar dari cara
karena semua komputer di hubungkan ke sebuah hub kerja server yang menggunakan snort dapat dilihat
atau switch dengan kabel UTP, sehingga hub/switch pada gambar berikut:
lah pusat dari jaringan dan bertugas untuk mengontrol Mulai
Konfigurasi Rules
Deteksi
Tidak Ya
Terjadi
Penyusupan
Alert
Simpan Output
ke Alert Log
File
Administrator
Mendapat
Peringatan Ada
Penyusup
Information Security| 85
Seminar Nasional Teknologi Informasi dan Komunikasi (SNASTIKOM) 2015 – ISBN 978-602-19837-8-2
4 Hasil dan Pembahasan UDP TTL : 128 TOS : 0X0 ID : 24505 IpLen : 20 DgmLen : 78
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Pengujian dilakukan dengan menghubungkan 06/16-15:14:21.999540 192.168.1.209:137 -> 192.168.1.255:137
dua atau lebih komputer, komputer-komputer tersebut UDP TTL : 128 TOS : 0X0 ID : 24602 IpLen : 20 DgmLen : 78
terdiri dari 1 unit sebagai komputer server yang di =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
install aplikasi snort, beserta beberapa komputer
lainnnya sebagai client dan ataccker yang
dihubungkan dengan switch menggunakan topologi
star. Aplikasi snort akan diaktifkan dan memantau
setiap aliran data yang masuk dan keluar pada sistem
jaringan yang diamankannya. Pada penelitian ini
jumlah komputer yang dipantau berjumlah maksimal
256 unit dengan skema jaringan 192.168.1.0/24. Pada
penelitian ini penulis mencoba untuk melakukan
penyusupan dengan menggunakan komputer yang
berada diluar sistem jaringan yang dilindungi
komputer server.
Gambar 7. Alamat IP Address yang mencoba masuk
Information Security | 86
Seminar Nasional Teknologi Informasi dan Komunikasi (SNASTIKOM) 2015 – ISBN 978-602-19837-8-2
paket data yang dapat dan berhasil di monitoring sehingga memerlukan kombinasi menggunakan
ataupun terdeteksi oleh server (Snort). Iptables firewall sebagai tindak pencegahan
Saat ataccker melakukan pencarian alamat IP serangan.
Address yang terbuka maka server (Snort) bekerja dan 3. Data keluar masuk yang dideteksi oleh Snort
mencari alamat IP Address yang melakukan scanning sebagai sistem monitoring
port di jalur lalu lintas data (dapat dilihat pada gambar 4. Informasi penyusup diketahui oleh admin saat
7). Setelah ataccker berhasil menemukan alamat IP melihat alamat IP Address yang masuk yang
Address yang terbuka maka ataccker melakukan ditampilkan oleh Snort.
penyusupan ke dalam komputer client yang alamat IP
Address yang diketahui (dapat dilihat pada gambar 7). Daftar Pustaka
Saat atacker masuk ke dalam jaringan komputer [1] Apriawan, Dwi N.H. 2015. Protokol Jaringan
client dan melakukan penyusupan maka server Komputer. http://ilmukomputer.com/hendra
(Snort) akan berjalan dan menunjukkan alert ke layar protokol jaringan.pdf diakses tanggal 27 April
monitor yaitu alamat IP Address. Tentunya hasil dari 2015.
serangan dapat dilihat pada gambar 8 saat melihat [2] Ariyus, Dony. 2007. Intrusion Detection System.
paket TCP yang terlihat. Yogyakarta: Andi Offset.
Sama seperti sebelumnya maka line pertama di [3] Diansyah, Tengku M., 2014. Analisa Mekanisme
atas adalah milik Internet Protocol (IP), dapat dilihat Snort dalam Menangani Serangan Flooding.
bahwa terjadi penyusupan antara IP 192.168.1.1 port pada Prosiding Snastikom 2014 hal. 9
sumber 39234 dengan IP 192.168.1.11 port tujuan Networking & Data Communication. Medan:
9502. Di bawah kalimat milik protocol IP, ada satu STT Harapan.
kalimat yang berisi informasi umum dari paket yang [4] IBISA, 2011, Keamanan Sistem Informasi,
dikirim merupakan gabungan informasi milik protokol Yogyakarta: Andi Offset.
IP & TCP. Beberapa informasi seperti di bawah ini: [5] Jamaluddin, 2012. Modul Praktikum Keamanan
TCP TTL: 64 TOS:0x0 ID:808 IpLen:20 DgmLen:44 Web dan Virus Komputer. Medan:
TCP TTL : 56 ada 56 router yang masih bisa di lewati. Lab.Komputer FE-UMI.
TOS:0x0 : Type of Service dari protocol IP, 0x0 [6] Manimaran, G. 2004. Internet Infrastructure
adalah servis normal. Security in High Performance Interconnects,
IpLen:20 : Panjang protocol IP 20 byte. pada Proceedings of 12th Annual IEEE
DgmLen:52 : Panjang seluruh paket 44 byte. Symposium on 2004, p.109.
Selanjutnya ada dua (2) kalimat yang semuanya [7] Pressman, Roger S. 2005. Software Engineering,
milik Transmission Control Protocol (TCP). USA: Mc.Graw Hill Inc.
******S* Seq: 0x2086A980 Ack: 0x0 Win: 0x400 [8] Rafiudin, Rahmat. 2010. Mengganyang Hacker
TcpLen: 24 dengan Snort, Yogyakarta: Andi Offset.
TCP Options (1) => MSS: 1460 [9] Sofana, Iwan. 2008. Membangun Jaringan
Pada gambar 8 dapat dilihat state/kondisi Komputer, Bandung: Informatika.
sambungan, terlihat dari jenis paket yang dikirim, [10] Tanenbaun, Andrew S., 1989. Computer
seperti: Network. Englewood: Prentice-Hall
******S* = paket sinkronisasi hubungan International, Inc.
***A**R* = paket acknowledge sinkronisasi
hubungan
Sisanya adalah nomor urut paket data yang
dikirim Sequence number (Seq), dan Acknowledge
number (Ack) yang menunjukan sejauh ini nomor
paket mana yang sudah berhasil masuk ataupun
menyusup ke dalam komputer client tersebut.
5. Kesimpulan
Berdasarkan analisis dan pengujian yang telah
dilakukan dapat diambil kesimpulan bahwa:
1. Sistem deteksi penyusup yang digunakan adalah
Snort dan dapat mendeteksi pola serangan baik
dari dalam (local) atau luar (internet) sesuai
dengan rules yang telah dibuat sebelumnya.
2. Secara umum Snort bekerja hanya sebagai sistem
deteksi dan tidak mampu menahan serangan,
Information Security| 87