BAB 4

IMPLEMENTASI DAN UJICOBA SISTEM PADA JARINGAN

4.1 Spesifikasi System

4.1.1 Perangkat Keras (Hardware)

Persyaratan hardware AlienVault pada dasarnya akan tergantung pada
jumlah kejadian per detik dan throughput jaringan yang ingin untuk
mengamankan .Sebagai persyaratan minimum selalu dianjurkan untuk
memiliki minimal 4GB ram .
Adapun spesifikasi perangkat yang digunakan dalam membangun server
OSSIM ini adalah sebuah komputer rak server dari platform HP yaitu DL 380
G7 633408-371 HP Server Proliant seperti pada gambar 4.1.

Gambar 4.1 DL 380 G7 633408-371 HP Server Proliant

Spesifikasi server :
• IntelR XeonR Processor E5606(2.13GHz/4-core/8MB/80W,DDR3-1066)
• Memory 4GB (2x2GB) PC3-10600R (DDR3-1333) RDIMMs
• Hard Drive: 500 GB x 2 buah

67
68

• NC382i Dual Port Multifunction Gigabit Server Adapters

4.1.2 Perangkat Lunak (Software)

Aplikasi – aplikasi yang akan digunakan dalam menjalankan sistem network
monitoring ini adalah sebagai berikut:
1. OSSIM AlienVault
2. Modul OSSEC

4.2 Implementasi OSSIM

4.2.1 Installasi OSSIM
Installasi OSSIM dibagi dalam beberapa tahapan, proses Instalasi
OSSIM

Gambar 4.2 Installasi OSSIM

 69

Konfigurasi Bahasa
Pemilihan Bahasa yang akan dipakai pada proses installasi OSSIM.

Gambar 4.3 Pemilihan Bahasa

Konfigurasi Negara
Pemilihan Negara

Gambar 4.4 Pemilihan Negara

70

Konfigurasi Keymap
Pemilihan Keymap untuk keyboard Laybout

Gambar 4.5 pemilihan Keymap

Konfigurasi Network

Gambar 4.6 Konfigurasi IP Address

Pada bagian ini,akan dilakukan konfigurasi IP jaringan yang akan
dipakai didalam management interface OSSIM.Masukkan alamat IP dan klik
“Continue”.
 71

Gambar 4.7 Konfigurasi NetMask

Konfigurasi alamat Netmask yang akan dipakai dalam jaringan. Masukkan Alamat
netmask dan klik “Continue”.

Gambar 4.8 Konfigurasi Gateway

IP address dari gateway sistem jaringan yang ada. Masukkan alamat IP

address gateway dan klik “Continue”.
72

Gambar 4.9 Konfigurasi Name server

Name server yang digunakan . Masukkan Name server yang digunakan dan
klik “Continue”.
 73

Partisi disk

Gambar 4.10 Konfigurasi partisi disk

Proses dari partisi harddisk yang akan digunakan akan menghilangkan
semua data yang sebelumnya ada di dalam harddisk.
Pilih “Guide:use entire disk” dan klik “continue”.
Jika komputer memiliki beberapa disk , pilih disk yang akan diisntal OSSIM
AlienVault dan klik “Continue”
74

Konfigurasi user dan passwords

Gambar 4.11 Konfigurasi root user password

Setelah sistem dasar telah terinstall , installer akan meminta untuk
mengkonfigurasi “root ” account , account yang lain daapt dibuat setelah proses
installasi telah selesai.
Setiap passwords yang akan dibuat minimal karakter adalah 6 karakter dan harus
berisi huruf besar dan huruf kecil .
 75

Gambar 4.12 Finish Installation

Pada bagian akhir proses installasi akan ditanyakan apakah mau dijalankan atau
tidak.
Klik “yes” untuk proses update.
Setelah Proses Update selesai ,maka akan diminta untuk login.

Gambar 4.13 login OSSIM

76

4.2.2 Konfigurasi OSSIM

Konfigurasi OSSIm dapat dilakukan di web GUI OSSIM , dan kita login
sebagai administrator pada web GUI OSSIM yang dapat di akses melalui local host
yaitu IP address dari Server OSSIM .

Gambar 4.14 OSSIM alienVault Login

4.2.2.1 Konfigurasi Host

Konfigurasi host dilakukan pada menu Assets->Assets->Host..
Host tersebut akan didaftarkan kedalam OSSIM untuk memudahkan
administrator dalam melakukan pemantauan dan pengelolaan.pada
saat mendaftarkan host ,nilai asset dari host perlu didefinisikan,karena
nilai dari asset akan menentukan resiko.semakin rentannya host
terhadap serangan maka makin tinggi juga nilai asset pada host
tersebut.
 77

Gambar 4.15 Konfigurasi Host

Setiap host di AlienVault memiliki properti berikut:

• Hostname: Label ditugaskan untuk perangkat (Ex: Web
server)
• IP: Alamat IP dalam format IPv4 (Ex: 192.168.1.1)
• FQDN / Alias: nama domain berkualifikasi lengkap (FQDN).
Sebuah host dapat memiliki lebih dari satu alias dipisahkan
dengan koma.
• Description: penjelasan singkat, misalnya, peran host dalam
jaringan.
• Nilai Aset: Nilai yang diberikan kepada host dalam jaringan.
• Sensor: AlienVault Sensor memantau jaringan milik host
• Pilihan Scan: Aktifkan / Nonaktifkan monitoring Ketersediaan
dari host
• RRD Profil: Profil untuk digunakan dengan Plugin Perilaku
menyimpang RRD (Anomali berdasarkan informasi yang
diberikan byNtop)
• Ambang C: ambang batas Kompromi
78

• Ambang A: ambang batas Serangan

• OS: Sistem Operasi
• Mac Alamat: identifier unik ditugaskan untuk antarmuka
jaringan
• Mac Penyedia: produsen Kartu jaringan

Gambar 4.16 Penambahan Host.

Beberapa properti dari Jaringan harus memenuhi persyaratan khusus:

• Nama: karakter alfanumerik dengan tanpa spasi. Beberapa simbol
seperti "-" "_" juga dapat digunakan dalam bidang Hostname.
• CIDR: alamat IP dan ukuran awalan, yang terakhir merupakan jumlah
terkemuka 1 bit routing prefix. Alamat IP sesuai dengan standar IPv4.
Hal ini diikuti oleh karakter pemisah, yang garis miring (/) karakter,
dan ukuran awalan dinyatakan sebagai angka desimal. (Misalnya:
192.168.100.1/24)
• Description: karakter alfanumerik dan spasi. Beberapa simbol seperti
"-" "_" juga dapat digunakan.
• Nilai Aktiva: nilai numerik (0-5)
• Threshold C: nilai Integer
• Threshold A: nilai Integer
 79

4.2.2.2 Konfigurasi Network

Konfigurasi Jaringan dilakukan pada menu Assets->Assets-
>Network bertujuan untuk menentukan jaringan mana saja yang akan
dikelola. Proses konfigurasi jaringan perlu mendefinisikan nilai asset
.

Gambar 4.17 Konfigurasi Network.

Jaringan di AlienVault memiliki properti berikut:

• Nama: Label ditugaskan untuk Jaringan.
• CIDRS: Rentang Alamat IP yang mendefinisikan jaringan.
• Description: penjelasan singkat, misalnya, peran bagian host Grup
ini.
• Nilai Aset: Nilai yang diberikan ke jaringan dalam perusahaan itu
• Sensor: AlienVault Sensor memantau host yang milik Grup Host.
• Pilihan Scan: Aktifkan / Nonaktifkan monitoring Ketersediaan
Grup host (Nagios). Hal ini harus diaktifkan di setiap host
termasuk dalam Grup Host.
• RRD Profil: Profil untuk digunakan dengan Plugin Perilaku
menyimpang RRD (Anomali berdasarkan informasi yang
diberikan oleh Ntop)
• Ambang C: ambang batas Kompromi
80

• Ambang A: ambang batas Serangan

Gambar 4.18 Penambahan Network.

Beberapa properti dari Jaringan harus memenuhi persyaratan khusus:

• Nama: karakter alfanumerik dengan tanpa spasi. Beberapa simbol
seperti "-" "_" juga dapat digunakan dalam Hostname.
• CIDR: alamat IP dan ukuran awalan, yang terakhir merupakan jumlah
terkemuka 1 bit routing prefix. Alamat IP sesuai dengan standar
IPv4. Hal ini diikuti oleh karakter pemisah, yang garis miring (/)
karakter, dan ukuran awalan dinyatakan sebagai angka desimal.
(Misalnya: 192.168.100.1/24)
• Description: karakter alfanumerik dan spasi. Beberapa simbol seperti
"-" "_" juga dapat digunakan.
• Nilai Aktiva: nilai numerik (0-5)
• Threshold C: nilai Integer
• Threshold A: nilai Integer

4.2.2.3 Konfigurasi OSSEC

Konfigurasi HIDS pada OSSIM menggunakan OSSEC :
1. Install OSSEC agent di system yang akan dipantau.
2. Setelah OSSEC agent terinstall , pada bagian web GUI
OSSIM masuk ke Analysis -> Detection ->HIDS
 81

3. Masuk ke menu agent yang terdapat di bagian kanan

atas.

Gambar 4.19 Agent.

4. Masukkan nama dan ip address dari system yang akan
dipantau kemudian klik “generate key”

Gambar 4.20 Generate Key

82

Gambar 4.21 key

5. Key yang didapat dimasukkan ke dalam OSSEC agent
yang terdapat pada system dan start OSSEC agentnya.

Gambar 4.22 OSSEC agent Manager.

6. Jika OSSEC agent sudah berjalan di system nya

kembali ke web GUI OSSIM dan lihat apakah agent yang tadi
didaftarkan sudah berubah menjadi active
 83

Gambar4.23 Agent Active.

4.2.2.4Konfigurasi Policy and Actions

Konfigurasi dilakukan pada menu intelligence->Policy &
Actions, pada bagian tersebut terdapat bagian policy dan
actions.Policy di buat untuk mengatur bagian mana saja yang akan di
monitor dan dikelola .
Secara default , semua peristiwa tiba ke OSSIM Server diproses oleh
SIEM dan Logger .Dalam kasus SIEM , sistem menyediakan intelijen
dan data - mining kemampuan ekstra memproses peristiwa dengan
melakukan tugas-tugas berikut .

• Risk assessment: risiko ditugaskan untuk setiap acara

memperhitungkan jenis aktivitas dan aset yang terlibat dalam
event .
• Korelasi : Korelasi adalah proses transformasi menjadi
berbagai data input ke output elemen data baru . Menggunakan
korelasi AlienVault dapat mengubah dua atau lebih peristiwa
input ke dalam peristiwa output yang lebih dapat diandalkan .
Acara yang dihasilkan selama proses korelasi adalah re -
disuntikkan kembali ke AlienVault Server dan diproses
dengan cara yang sama seperti jika ini sedang dikirim oleh
salah satu kolektor .
84

• Forwarding : The AlienVault Server dapat dikonfigurasi untuk

mengirim peristiwa dan alarm ke Server atas ( Parent Server )
dalam penyebaran multi-level .
• SQL Storage : Events diproses oleh SIEM disimpan dalam
database SQL ( MySQL Database) .

Policy juga mendefinisikan apa fitur dari SIEM dan Logger akan
diaktifkan untuk memproses peristiwa yang cocok dengan aturan
kebijakan .Aturan Policy diterapkan di Urutan menurun dan ketika
ada event yang sesuai dengan Policy, sistem akan berhenti
memproses Event itu .

Gambar 4.24 Konfigurasi Policy

Gambar 4.25 adalah tabel policy yang menampilkan serangkaian tabel

, setiap tabel adalah sekelompok Policy . Ini adalah kolum yang
ditampilkan dengan masing-masing aturan Policy :

Status : Aturan Policy diaktifkan : / Peraturan Policy dinonaktifkan :

Order: Posisi di mana aturan kebijakan ini akan dimuat
Priority: Prioritas peristiwa
Port Group : port tujuan dari event yang akan cocok dengan aturan
Policy ini .
Plugin Group : Group event yang cocok dengan aturan Policy ini .
 85

Sensor : Sensor atau Sensor yang mengumpulkan event yang cocok

dengan policy yang ada.
Time Range : Jangka waktu di mana aturan policy ini akan diaktifkan
.
Sasaran : Server di mana aturan kebijakan ini akan dipasang (
penyebaran Multi-level )
Resend Alarm : Mengaktifkan / Menonaktifkan alarm forwarding ke
server atas untuk event yang cocok dengan policy ini.
Resend Events : Mengaktifkan / Menonaktifkan peristiwa forwarding
ke server atas untuk event yang cocok dengan policy ini.
SIEM : Mengaktifkan / Menonaktifkan SIEM untuk event yang cocok
dengan policy ini.

Membuat Actions
Halaman Actions memungkinkan pengguna untuk menentukan respon
terhadap serangan atau masalah yang terjadi dalam jaringan. Tindakan
terkait dengan aturan policy, sehingga ketika policy cocok semua
actions yang terkait dengan policy yang dijalankan.

Gambar 4.25 Konfigurasi Actions

86

OSSIM mendukung tiga jenis tindakan, mengirim e-mail,

menjalankan perintah Linux, atau membuat tiket di OSSIM Ticketing
System (Incident → Tickets).

Gambar 4.26 Pembuatan Actions

4.2.2.5 Konfigurasi sensor

OSSIM Sensor adalah komponen yang bertugas mengumpulkan dan
normalisasi peristiwa yang dihasilkan oleh sumber data . Beberapa sumber
data akan memberi berita event untuk Sensor AlienVault seperti Firewall ,
Antivirus , AD , database , dan aplikasi lain atau perangkat yang digunakan
dalam jaringan sebelum OSSIM ditempatkan. OSSIM dapat memiliki banyak
Sensor yang diperlukan , jumlah Sensor pada dasarnya akan tergantung pada
jumlah jaringan yang perlu dipantau dan dalam distribusi geografis dari
perusahaan yang akan dipantau .
 87

Configuration->alien vault components

Gambar 4.27 Konfigurasi Sensor

Dibagian Configuration -> Collection -> Sensor , Aktifkan sensor

yang akan dipakai .

Gambar 4.28 enable sensor

88

4.2.2.6 Konfigurasi Notifkasi E-mail

Konfigurasi dilakukan di bagian menu configuration
=>Main=>Advanced=> mail server configuration.

Gambar 4.29 Konfigurasi mail server.

4.2.2.7 Correlation Directive

Bagian Correlation Directive dapat di akses melalui Intelligence => correlation
Directives => Directives .Secara default ,OSSIM AlienVault telah menyediakan
lebih dari 200 Correlation Directive. Correlation adalah teknik untuk mengolah
secara logis sekumpulan event dan
menunjukkan dengan tepat beberapa event tersebut penting .
 89

Gambar 4.30 Correlation Directive

Dalam OSSIM ,Korelasi logis diimplementasikan dengan menggunakan

Correlation directive atau Correlation rule. Correlation Directive menentukan
kondisi yang berbeda yang akan dipenuhi oleh event yang masuk. Setiap kali event
yang telah terpenuhi kondisinya , sistem akan menghasilkan event baru yang bahkan
dapat memenuhi beberapa kondisi lain dalam Correlation directive yang lain.

Prioritas direktif. Prioritas akan menjadi nilai numerik dari 0 hingga 5. Semua
peristiwa yang dihasilkan dalam direktif yang sama akan memiliki direktif yang
sama tetapi mereka mungkin memiliki keandalan yang berbeda karena akan
tergantung pada tingkat korelasi pada saat event dihasilkan
90

Jika mengatur prioritas ke 0, peristiwa yang dihasilkan dalam directive ini tidak akan
pernah menjadi alarm. Jika Anda menetapkan nilai prioritas tinggi, direktif dapat
menghasilkan alarm setelah pengelompokan beberapa event.
Setiap kali kondisi yang ditetapkan oleh Directive rule cocok , event baru akan
menghasilkan nilai realibility value baru , event ini akan memiliki nilai prioritas yang
sebelumnya telah ditetapkan pada correlation directives, nilai reliabilitas
didefinisikan sendiri dalam aturan korelasi,dan nilai asset host didapat dari nilai yang
telah didefinisikan sebelumnya.

Gambar 4.31 nilai reliability

Risiko event tersebut akan dihitung dengan menggunakan rumus berikut:

RISK = (Asset Value*Priority*Reliability)/25
semakin tinggi nilai reliability maka akan semakin tinggi nilai yang dapat
dipercaya terhadap rule tersebut. Nilai yang dipercaya disini adalah tingkat
kepercayaan atau nilai dari serangan yang muncul. Apabila kita anggap sebuah
serangan tertentu memilki nilai yang tinggi dalam merusak sistem jaringan maka
nilai reliability juga harus tinggi. Sedangkan penentuan nilai prioritas didefinisikan
pada saat melakukan konfigurasi rule pada detektor, OSSIM adalah manajemen tools
dimana mengatur detektor-detektor yang ada untuk saling berkolaborasi dalam
 91

mendeteksi serangan, sehingga penentuan prioritas adalah penentuan dari detektor

yang ditunjuk untuk lebih dahulu dipercaya dalam menagani serangan, disamping itu
penentuan prioritas juga digunakan ketika mendefinisikan policy.

4.3 Pengujian
OSSIM yang telah diinstall memiliki banyak fitur-fitur dalam
melakukan monitoring terhadap jaringan. Namun keseluruhan fitur tersebut
tidak kami jabarkan sepenuhnya dan hanya fokus kepada beberapa prosedur
yaitu monitoring SIEM melalui modul OSSEC pengiriman notifikasi dan
pengiriman notifikasi lewat email.

4.3.1 Pengujian Fungsionalitas terhadap notifikasi e-mail

Percobaan dilakukan pada hari minggu agar tidak menganggu aktivitas kerja
kantor pada tanggal 12 january 2014. Percobaan dengan mematikan proxy
server pada PT.Metalogix infolink persada sehingga dapat dilihat apakah
terdeteksi secara langsung oleh HIDS OSSEC yang telah terinstall dan
melaporkan ke OSSIM dan notifikasinya dapat di akses pada menu
analysis=> Security Event (SIEM) dan dapat melihat notifikasi yang tentang
status apa yang terjadi pada agent OSSEC, dan dapat di lihat bahwa server
unavailable.OSSEC dapat mengidentifikasi error yang terjadi dikarenakan
OSSEC memiliki rules – rules yang mengatur itu semua dan ditampilkan
pada OSSIM yang memiliki modul OSSEC.

Gambar 4.32 Status server unavailable

92

Karena Resiko tersebut hanya 0 maka alarm tidak terpicu dan

notifikasi e-mail tidak dilakukan karena action tidak terpicu untuk
menjalankan perintah . Alarm adalah suatu peristiwa yang memiliki Resiko
lebih tinggi dari 1. Alarm adalah jenis khusus dari event karena mungkin
lebih dari satu kelompok peristiwa ketika event memicu alarm berdasarkan
correlation directives.
Perhitungan Nilai Resiko :
RISK = (Asset Value*Priority*Reliability)/25
Asset Value =2
Priority = 1
Reliability = 1
Risk = (2*1*1)/25
Risk = 0

Pada pengujian selanjutnya yang dilakukan adalah melakukan testing

serangan Bruteforce pada mail server zimbra yang terdapat di PT.Metalogix
Infolink Persada untuk menguji bagaimana fungsionalitas notifikasi dan
pengiriman notifikasi ke e-mail.Pengujian di lakukan pada tanggal 09-01-
2014 di PT.Metalogix Infloink Persada .
OSSEC dapat mengidentifikasi error yang terjadi dikarenakan OSSEC
memiliki rules – rules yang mengatur itu semua dan ditampilkan pada OSSIM
yang memiliki modul OSSEC.
Dari data tersebut membuktikan bahwa OSSIM mendeteksi adanya
skenario serangan yang dibuat oleh penulis dan OSSIM dapat menampilkan
laporan kejadian serangan secara real time. Selain itu melalui skenario
serangan yang dilakukan penulis, OSSIM juga mendeteksi adanya alarm
yang berarti resiko yang ada apada event lebih besar atau sama dengan 1.
Perhitungan Nilai Resiko :
RISK = (Asset Value*Priority*Reliability)/25
Nilai Asset = 2
Nilai Priority = 5
Nilai Reliability =3
Risk = (2*5*3)/25
 93

Risk =1

Pada saat terjadi serangan maka saat terdeteksi oleh sensor yang ada
maka akan di cek apakah sesuai dengan policy yang diatur dan action apa
yang akan di berjalan, pada saat itu semua notifikasi alarm akan muncul dan
dapat di lihat pada bagian incidents => alarm

Gambar 4.33 Alarm

Panel Alarm menunjukkan semua alarm yang dihasilkan di OSSIM.
Setiap pengguna hanya akan melihat alarm milik host .

kolum isi
Alarm Nama Alarm : Nama alarm sesuai dengan nama peristiwa
yang menghasilkan alarm.
Risk Nilai resiko mulai dari 0 sampai dengan 10.
Sensor Sensor yang menggumpulkan peristiwa yang menghasilkan
alarm.
First Event Waktu peristiwa pertama yang diterima sensor alarm.
Last Event Waktu peristiwa terkahir yang diterima sensor alarm.
Source Sumber IP address yang menghasilkan alarm .
Destination Tujuan IP address yang menghasilkan alarm.
Status Status dari alarm closed or Open.
Tabel 4.1 Penjelasan isi alarm

Dari status alarm yang terjadi bisa dengan manual membuat ticket.
Tiket baru dapat dibuka dari konsol Alarm (Insiden → Alarm), dari
Metrik Risiko panel (Dashboard → Risiko (Risk Metrik)) dan dari panel
anomali (Analysis → SIEM (Anomali)). Informasi yang secara otomatis akan
ditambahkan ke tiket baru ketika diakses dari panel ini.
94

Sistem ticketing ini memungkinkan pengguna di AlienVault untuk

bekerja pada masalah yang terdeteksi dengan menggunakan OSSIM. Tiket
dapat dibuka secara manual setiap saat, tetapi juga, beberapa komponen di
AlienVault dapat membuka tiket otomatis

Gambar 4.34 Ticket

Gambar 4.35 Isi Ticket

Notifikasi yang dikirim kan ke e-mail, notifikasi dapat terikirim ke e-mail

karena pada konfigurasi action saat ada event yang memicu alarm dan terdeteksi
berdasarkan policy dan Correlation Directive maka pada bagian action akan
mengklasifikasikan bagian mana dan action apa yang akan diambil sesaui dengan
yang di konfigurasi yaitu notifikasi pengiriman e-mail.
 95

Gambar 4.36 Gambar Notifikasi e-mail

Gambar 4.37 Isi notifikasi E-mail

Waktu dan tanggal pada e-mail menunjukkan waktu dan tanggal saat OSSIM
mengitimkan notifikasi, yaitu saat terjadinya serangan pada server.Apabila terjadi
delay pengiriman akibat gangguan SMTP dari ISP , tidak berpengaruh terhadap
waktu dan tanggal pengiriman notifikasi oleh OSSIM . Waktu dan Tanggal sesuai
dengan saat pengiriman meskipun diterima pada waktu yang berbeda .
Pada email notifikasi terdapat informasi mengenai kejadian apa yang terjadi pada
host . E-mail dapat dibuka pada telepon genggam atau laptop yang dapat diterima
kapan saja dimana saja oleh network administrator tanpa harus selalu berada di
depan komputer.
96

4.4 Evaluasi
Pada tanggal 9 januari 2014 dan 12 januari 2014 dilakukan pengujian terhadap
OSSIM pada PT.Metalogix Infolink Persada.Hasil yang diperoleh dari implementasi
tersebut adalah :
1. OSSIM dapat menotifikasi Network Administrator tentang adanya alarm
tentang apa yang terjadi pada server melalui E-mail.
2. OSSIM dapat bekerja selama 24 jam untuk memonitoring server
3. OSSIM dapat melakukan perhitungan resiko untuk menentukan event mana
yang penting untuk di notifikasi kepada Network Adminsitrator dalam bentuk
E-mail.