IMPLEMENTASI HONEYPOT DAN INTRUSION DETECTION
SYSTEM SNORT DI JURUSAN TEKNOLOGI INFORMASI
POLITEKNIK NEGERI PADANG
TUGAS AKHIR
Oleh :
APRISA NOLLA
1201082009
PROGRAM STUDI TEKNIK KOMPUTER
JURUSAN TEKNOLOGI INFORMASI
POLITEKNIK NEGERI PADANG
2016
IMPLEMENTASI HONEYPOT DAN INTRUSION DETECTION
SYSTEM SNORT DI JURUSAN TEKNOLOGI INFORMASI
POLITEKNIK NEGERI PADANG
TUGAS AKHIR
Diajukan sebagai salah satu syarat untuk mendapatkan gelar Ahli Madya
pada Jurusan Teknologi Informasi Program Studi Teknik Komputer
Oleh :
APRISA NOLLA
1201082009
PROGRAM STUDI TEKNIK KOMPUTER
JURUSAN TEKNOLOGI INFORMASI
POLITEKNIK NEGERI PADANG
2016
ABSTRAKSI
Keamanan sistem merupakan suatu aspek yang perlu diperhatikan agar
ketersediaan suatu sistem atau informasi dapat terjaga. Terutama keamanan pada
suatu server yang seringkali terganggu dengan adanya serangan sehingga dapat
merusak sistem ataupun hilangnya informasi penting yang ada pada server. Untuk
itu perlu dibangun sistem keamanan untuk memonitor dan mendeteksi serangan.
Salah satunya membangun sistem honeypot dan Intrusion Detection System (IDS).
Honeypot merupakan suatu sistem yang dapat mendeteksi serangan sekaligus
mensimulasikan suatu service dari web server. Aplikasi honeypot yang dapat
melakukan hal tersebut adalah glastopf. Snort merupakan salah satu IDS yang
mendeteksi serangan berdasarkan rules yang ada pada snort dan menyimpan pada
suatu log. Selanjutnya dengan penambahan fitur SMS Alert, administrator dapat
mengetahui secara cepat jika honeypot dan snort mendeteksi adanya traffic yang
mencurigakan atau penyerangan terhadap server. Terutama untuk port scanning
dan serangan Denial of Service.
Kata Kunci: Keamanan, Deteksi, Honeypot, Snort, SMS Alert
ABSTRACT
Security system is an aspect that should be noted for the availability of a system
or the information can be maintained. Especially security on a server that is often
disrupted by the attacks that can damage the system or loss of important
information on the server. For it is necessary to build a security system for
monitoring and detecting attacks. One of them with building a honeypot system
and Intrusion Detection System (IDS). A honeypot is a system that can detect
attacks and simulate a service of the web server. Honeypot application that can
do that is glastopf. Snort is an IDS that detect attacks based on the rules that
existed at the snort and save on a log. Furthermore, with the addition of SMS
Alert feature, administrators can quickly know if the honeypot and snort detect
any suspicious traffic or attacks against the server. Especially for port scanning
and Denial of Service attacks.
Keywords: Security, Detection, Honeypot, Snort, SMS Alert
vii
KATA PENGANTAR
Puji syukur kepada Tuhan Yang Maha Esa, karena atas berkat dan rahmat-
Nya laporan Tugas Akhir ini dapat diselesaikan. Penulisan laporan Tugas Akhir
ini dilakukan dalam rangka memenuhi salah satu syarat untuk mencapai gelar
Diploma Tiga Politeknik. Tanpa bantuan dan bimbingan dari berbagai pihak, dari
masa perkuliahan sampai pada penyusunan laporan Tugas Akhir ini, sangatlah
sulit untuk menyelesaikan laporan Tugas Akhir ini. Oleh karena itu, terima kasih
kepada:
1. Allah SWT. yang telah memberikan rahmat dan karunia-Nya kepada penulis,
sehingga penulis dapat menyelesaikan Tugas Akhir ini
2. Kedua orang tua, keluarga yang telah memberikan bantuan dukungan
material dan moral;
3. Ibu Hj. Rasyidah, S. SI., MM., selaku dosen pembimbing I dan Bapak
Ervan Asri, S.Kom., M.Kom, selaku dosen pembimbing II yang telah
memberikan nasihat, saran dan kritik, dalam dalam penyusunan laporan
Tugas Akhir ini;
4. Staf pengajar, sahabat dan teman-teman yang mendukung baik dari moral
dan dorongan sehingga dapat menyelesaikan laporan Tugas Akhir ini.
Tugas akhir ini masih memiliki kekurangan. Penulis mengharapkan kritik
dan saran yang membangun dari pembaca untuk kesempurnaan tugas akhir ini.
Semoga tugas akhir ini dapat bermanfaat bagi pembaca.
Padang, 17 Maret 2016
Aprisa Nolla
viii
DAFTAR ISI
HALAMAN JUDUL ........................................................................................... i
LEMBAR PEROLEHAN GELAR ..................................................................... ii
HALAMAN PENGESAHAN ............................................................................. iii
LEMBAR PENGUJIAN ..................................................................................... iv
ABSTRAK .......................................................................................................... v
ABSTRACT ........................................................................................................ vi
KATA PENGANTAR ........................................................................................ vii
DAFTAR ISI ....................................................................................................... viii
DAFTAR TABEL ............................................................................................... x
DAFTAR GAMBAR .......................................................................................... xi
DAFTAR LAMPIRAN ....................................................................................... xiv
BAB I PENDAHULUAN .................................................................................. 1
1.1 Latar Belakang ........................................................................................ 1
1.2 Rumusan Masalah ................................................................................... 3
1.3 Tujuan ...................................................................................................... 3
1.4 Batasan Masalah ...................................................................................... 4
1.5 Metodologi .............................................................................................. 4
BAB II LANDASAN TEORI ........................................................................... 6
2.1 Jaringan Komputer..................................................................................... 6
2.1.1 Personal Area Network .................................................................. 7
2.1.2 Local Area Network ....................................................................... 8
2.1.3 Metropolitan Area Network ........................................................... 8
2.1.4 Wide Area Network ........................................................................ 9
2.1.5 Internetworks ................................................................................. 10
2.1.6 Topologi Jaringan .......................................................................... 10
2.2 Keamanan Jaringan .................................................................................... 13
2.2.1 Honeypot ........................................................................................ 14
2.2.1.1 Tipe-tipe dari Honeypot ..................................................... 14
2.2.1.2 LaBrea ............................................................................... 15
2.2.1.3 HoneyD .............................................................................. 16
2.2.1.4 HoneyBOT ......................................................................... 16
2.2.1.5 Glastopf .............................................................................. 17
2.2.2 Intrusion Detection System ............................................................ 18
2.2.2.1 Snort ................................................................................... 22
2.2.3 Model-model Serangan .................................................................. 23
2.3 SMS Gateway ............................................................................................ 23
2.3.1 Gammu .............................................................................................. 24
BAB III ANALISIS DAN PERANCANGAN ................................................. 26
3.1 Analisis Sistem .......................................................................................... 26
3.1.1 Denah Lokasi Implementasi .......................................................... 26
3.1.2 Topologi Jaringan Jurusan Teknologi Informasi ........................... 27
3.2 Rancangan Sistem ...................................................................................... 28
3.3 Spesifikasi Hardware dan Software yang digunakan ................................ 33
ix
BAB IV IMPLEMENTASI DAN PENGUJIAN ............................................ 36
4.1 Implementasi ............................................................................................. 36
4.1.1 Instalasi Ubuntu Server .................................................................. 36
4.1.2 Instalasi dan Konfigurasi Snort ...................................................... 45
4.1.3 Instalasi dan Konfigurasi Barnyard2 ............................................. 51
4.1.4 Instalasi dan Konfigurasi PulledPork ............................................ 54
4.1.5 Instalasi dan Konfigurasi Snorby ................................................... 60
4.1.6 Instalasi dan Konfigurasi Honeypot ............................................... 68
4.1.7 Instalasi dan Konfigurasi SMS Alert ............................................. 73
4.2 Pengujian ................................................................................................... 79
4.2.1 Pengujian Honeypot ....................................................................... 79
4.2.2 Pengujian Snort .............................................................................. 84
4.2.3 Pengujian SMS Alert ..................................................................... 87
BAB V PENUTUP ............................................................................................. 89
5.1 Kesimpulan ................................................................................................ 89
5.2 Saran ....................................................................................................... 89
DAFTAR PUSTAKA ........................................................................................ 91
LAMPIRAN ....................................................................................................... 92
x
DAFTAR TABEL
Tabel 3.1 Beberapa rules yang digunakan pada Snort ........................................ 32
Tabel 3.2 Spesifikasi Server ................................................................................ 33
Tabel 3.3 Spesifikasi Notebook Acer Aspire 4752 ............................................. 34
xi
DAFTAR GAMBAR
Gambar 2.1 PAN Bluetooth ................................................................................ 7
Gambar 2.2 Wireless LAN dan LAN .................................................................. 8
Gambar 2.3 Mettropolitan Area Network berdasarka TV kabel ......................... 9
Gambar 2.4 WAN yang menghubungkan tiga kantor cabang di Australia......... 10
Gambar 2.5 Topologi point-to-point ................................................................... 11
Gambar 2.6 Topologi start .................................................................................. 11
Gambar 2.7 Topologi ring................................................................................... 12
Gambar 2.8 Topologi bus .................................................................................... 12
Gambar 2.9 Topologi mesh ................................................................................. 13
Gambar 2.10 Fungsi glastopf secara umum ........................................................ 17
Gambar 2.11 Jaringan NIDS .............................................................................. 19
Gambar 2.12 Jaringan HIDS .............................................................................. 20
Gambar 2.13 Jaringan DIDS .............................................................................. 21
Gambar 3.1 Denah Gedung E Lantai 3 Jurusan Teknologi Informasi ................ 26
Gambar 3.2 Topologi Jaringan Gedung E Lantai 3 Jurusan TI .......................... 27
Gambar 3.3 Topologi Jaringan Gedung E Lantai 3 Jurusan TI dengan
Penambahan Server Glastopf dan Snort ........................................... 29
Gambar 3.4 Rancangan Sistem Secara Umum ................................................... 30
Gambar 3.5 Uraian Rancangan Sistem ............................................................... 31
Gambar 3.6 Server Dell PowerEdge T620 .......................................................... 34
Gambar 3.7 Notebook Acer Aspire 4752 ............................................................ 34
Gambar 4.1 Pemilihan Bahasa 1 ......................................................................... 36
Gambar 4.2 Menu Awal Instalasi........................................................................ 37
Gambar 4.3 Pemilihan Bahasa 2 ......................................................................... 37
Gambar 4.4 Pemilihan Lokasi ............................................................................. 38
Gambar 4.5 Pemilihan Layout Keyboard ............................................................ 38
Gambar 4.6 Pemilihan Layout Keyboard ............................................................ 39
Gambar 4.7 Pengisian Nama Lengkap Akun Pengguna Baru ............................ 39
Gambar 4.8 Pengisian Username ........................................................................ 39
Gambar 4.9 Pengisian Password......................................................................... 40
Gambar 4.10 Enkripsi Direktori Home ............................................................... 40
Gambar 4.11 Pemilihan Lokasi Zona Waktu ...................................................... 40
Gambar 4.12 Konfigurasi Metode Partisi ........................................................... 41
Gambar 4.13 Pemilihan Disk .............................................................................. 41
Gambar 4.14 Konfigurasi Ukuran Harddisk ....................................................... 41
Gambar 4.15 Halaman Konfirmasi Partisi .......................................................... 42
Gambar 4.16 Proses Instalasi Sistem .................................................................. 42
Gambar 4.17 Konfigurasi Packet Manager ........................................................ 42
Gambar 4.18 Halaman Software Selection.......................................................... 43
Gambar 4.19 Pemasangan GRBU Boot Loader .................................................. 43
Gambar 4.20 Proses Penyelesaian Instalasi Sistem Operasi ............................... 43
Gambar 4.21 Login pada Sistem ......................................................................... 44
Gambar 4.22 Konfigurasi Alamat ip ................................................................... 44
Gambar 4.23 Perintah Update ............................................................................. 45
Gambar 4.24 Perintah Upgrade .......................................................................... 45
Gambar 4.25 Remote Server Menggunakan PuTTY........................................... 45
xii
Gambar 4.26 Instalasi Paket Pendukung Snort ................................................... 46
Gambar 4.27 Membuat dan Pindah Direktori ..................................................... 46
Gambar 4.28 Mengunduh Paket DAQ ................................................................ 47
Gambar 4.29 Perintah configure ......................................................................... 47
Gambar 4.30 Membuat Symlink .......................................................................... 48
Gambar 4.31 Membuat Beberapa Direktori Snort .............................................. 49
Gambar 4.32 Membuat Beberapa File yang diperlikan Snort............................. 49
Gambar 4.33 Mengatur Hak Akses dan Kepemilikan Direktori ......................... 49
Gambar 4.34 Menyalin File Konfigurasi ............................................................ 49
Gambar 4.35 Konfigurasi File snort.conf (1) ...................................................... 50
Gambar 4.36 Konfigurasi File snort.conf (2) ...................................................... 50
Gambar 4.37 Konfigurasi File snort.conf (3) ...................................................... 50
Gambar 4.38 Validasi Konfigurasi ..................................................................... 51
Gambar 4.39 Instalasi Paket Pendukung Barnyard2 .......................................... 51
Gambar 4.40 Membuat Password Mysql-server ................................................. 52
Gambar 4.41 Konfigurasi Output Plugins .......................................................... 52
Gambar 4.42 Konfigurasi barnyard2.conf .......................................................... 54
Gambar 4.43 Instalasi Paket Pendukung untuk PulledPork ............................... 54
Gambar 4.44 Mengunduh File PulledPork ......................................................... 55
Gambar 4.45 Tes PulledPork .............................................................................. 56
Gambar 4.46 Memasukkan oinkcode .................................................................. 56
Gambar 4.47 Konfigurasi pulledpork.conf.......................................................... 56
Gambar 4.48 Perintah Menjalankan PulledPork ................................................ 57
Gambar 4.49 File snort.rules .............................................................................. 58
Gambar 4.50 Penambahan konfigurasi pada snort.conf...................................... 58
Gambar 4.51 Penjadwalan Pulledpork pada Crontab ......................................... 58
Gambar 4.52 Upstart Script Snort ...................................................................... 59
Gambar 4.53 Upstart Script Barnyard2 .............................................................. 59
Gambar 4.54 Mengatur Hak Akses dan Konfirmasi Script pada Upstart........... 59
Gambar 4.55 Instalasi wkhtmltopdf, bundler dan rails ....................................... 60
Gambar 4.56 Menyalin File ke database.yml ..................................................... 61
Gambar 4.57 Konfigurasi database.yml.............................................................. 62
Gambar 4.58 Instalasi Snorby ............................................................................. 62
Gambar 4.59 Database Snorby ........................................................................... 63
Gambar 4.60 Konfigurasi Ulang database.yml ................................................... 63
Gambar 4.61 Instalasi Gem Passenger dan Modul Apache2 .............................. 64
Gambar 4.62 Pemilihan Bahasa Ruby ................................................................. 64
Gambar 4.63 File passenger.load ....................................................................... 65
Gambar 4.64 File passenger.conf........................................................................ 65
Gambar 4.65 Mengaktifkan Modul Passenger ................................................... 66
Gambar 4.66 File snorby.conf ............................................................................. 66
Gambar 4.67 Menonaktifkan dan Mengaktifkan ................................................ 67
Gambar 4.68 Konfigurasi barnyard.conf 2 ......................................................... 67
Gambar 4.69 snorby_worker.conf ....................................................................... 67
Gambar 4.70 Mengganti Port Apache2 ............................................................... 68
Gambar 4.71 Menginstal Aplikasi dan Paket Pendukung Glastopf .................... 69
Gambar 4.72 Instalasi PHP Sandbox .................................................................. 70
Gambar 4.73 Penambahan bfr.so pada php.ini ................................................... 70
xiii
Gambar 4.74 Mengunduh glastopf ...................................................................... 71
Gambar 4.75 Proses Instalasi Glastopf ............................................................... 72
Gambar 4.76 Konfigurasi file glastopf.cfg .......................................................... 72
Gambar 4.77 Instalasi gammu ............................................................................. 73
Gambar 4.78 Instalasi gammu-smsd ................................................................... 74
Gambar 4.79 Pengecekan Modem ...................................................................... 74
Gambar 4.80 Perintah lsusb ................................................................................ 74
Gambar 4.81 Instalasi wvdial .............................................................................. 75
Gambar 4.82 Informasi Port Modem .................................................................. 75
Gambar 4.83 Konfigurasi gammurc .................................................................... 76
Gambar 4.84 Cek Koneksi gammu dan modem ................................................. 76
Gambar 4.85 Konfigurasi gammu-smsdrc .......................................................... 77
Gambar 4.86 Menyalin file gammu .................................................................... 77
Gambar 4.87 Menyalin dan Mengekstrak File mysql.sql.gz ............................... 77
Gambar 4.88 Menyalin File ke Database ........................................................... 77
Gambar 4.89 Menjalankan Service Gammu ....................................................... 78
Gambar 4.90 Script Koneksi dengan Snorby dan SMS Otomatis ....................... 78
Gambar 4.91 Daemon koneksi_autosend ............................................................ 78
Gambar 4.92 Upstart Script daemon.conf........................................................... 79
Gambar 4.93 Menjalankan SMS Alert ................................................................ 79
Gambar 4.94 Proses Scanning Port ..................................................................... 80
Gambar 4.95 Informasi Adanya Request disebabkan Port Scanning ................. 81
Gambar 4.96 Deteksi Nmap pada Database Honeypot ...................................... 81
Gambar 4.97 Aplikasi Pringle DDoS.................................................................. 82
Gambar 4.98 Pengiriman Paket Dalam Jumlah Besar ........................................ 82
Gambar 4.99 Pengujian Serangan Remote File Inclusion (LFI) ......................... 83
Gambar 4.100 Informasi Adanya Request disebabkan LFI ................................ 83
Gambar 4.101 Hasil Deketsi Serangan pada Database Honeypot ...................... 83
Gambar 4.102 Hasil Deteksi Port Scanning pada Snort ..................................... 84
Gambar 4.103 Halaman Login snorby ................................................................ 85
Gambar 4.104 Log Port Scanning pada Snorby.................................................. 85
Gambar 4.105 Hasil Deteksi DoS pada Snort ..................................................... 86
Gambar 4.106 Log Serangan DoS pada Snorby.................................................. 86
Gambar 4.107 Dashboard Snorby ....................................................................... 87
Gambar 4.108 Pesan Masuk Mengenai SMS Alert ............................................. 88
Gambar 4.109 Isi SMS Alert ............................................................................... 88
xiv
DAFTAR LAMPIRAN
Foto Dokumentasi ............................................................................................... 92
1
BAB I
PENDAHULUAN
1.1 Latar Belakang
Teknologi Informasi merupakan salah satu bidang ilmu yang secara terus
menerus dikembangkan. Hal ini dilakukan karena penggunannya yang banyak dan
untuk memenuhi kebutuhan serta kenyaman pengguna dalam melakukan aktifitas.
Internet merupakan salah satu teknologi yang peranannya sangat berguna di
masyarakat. Internet digunakan oleh berbagai kalangan masyarakat, seperti
pelajar, karyawan, ibu rumah tangga dan masyarakat umum lainnya.
Penggunaan internet berkaitan dengan jaringan komputer. Dengan adanya
infrastruktur jaringan komputer yang dibangun sedemikian rupa maka internet
dapat berjalan. Dengan perkembangan teknologi yang pesat dan penggunaannya
yang meluas, maka jaringan komputer yang dibangun haruslah dirancang sebaik
dan seefisien mungkin. Untuk dapat membangun sebuah jaringan yang baik maka
perlu dipelajari mengenai jaringan komputer. Salah satu cara yang dapat ditempuh
adalah dengan mengikuti pendidikan formal di perguruan tinggi.
Politeknik Negeri Padang merupakan salah satu perguruan tinggi yang ada
di kota Padang yang memiliki bangunan yang cukup luas. Setiap gedung yang ada
di Politeknik Negeri Padang telah dilengkapi dengan fasilitas internet untuk
mendukung aktifitas belajar mengajar. Politeknik Negeri Padang memiliki
berbagai macam jurusan, salah satunya adalah jurusan Teknologi Informasi (TI).
Kegiatan perkuliahan untuk jurusan TI pada umumnya dilaksanakan di
gedung E lantai 2 dan 3. Pada gedung E lantai 3 komputer-komputer yang ada
setiap ruangan telah terhubung ke jaringan internet. Setiap ruangan labor terdapat
2
sebuah switch yang terhubung pada switch yang ada di ruangan server. Switch
yang ada di ruangan server terhubung ke distributionswitch. Semakin kompleks
dan semakin pentingnya penggunaan suatu jaringan komputer pada jurusan TI
maka perlu dilengkapi dengan sistem keamanan yang baik untuk melindungi
sistem yang telah ada. Salah satu cara yang dapat dilakukan dengan membangun
server honeypot dan Intrusion Detection System (IDS) snort untuk memonitor dan
mendeteksi serangan pada server. Honeypot dan snort akan dibangun pada server
virtual pada server proxmox yang terdapat di ruangan server gedung E lantai 3
jurusan TI.
Honeypot, seperti glastopf dapat berperilaku sebagai sebuah webserver
atau dapat dikatakan mensimulasikan webserver. Glastopf berjalan seperti
layaknya sebuah webserver yaitu mensimulasikan service HTTP sehingga
penyerang akan mengira sedang menyerang sebuah webserver dan glastopf akan
menangkap informasi penyerangan. Sedangkan snort merupakan salah satu IDS
yang bersifat open source software yang dapat mendeteksi traffic yang
mencurigakan dan juga mencatat informasi penyerangan untuk kemudian dicatat
pada sebuah log.
Dengan membangun honeypot dan IDS snort maka ketika server diserang
atau terdapat traffic yang mencurigakan maka honeypot dan snort dapat
mendeteksi dan mengetahui penyerangan. Dan dengan demikian administrator
dapat mengetahui adanya percobaan penyerangan dan dapat mempelajari
kerentanan pada sebuah webserver.
Untuk lebih mempermudah administrator jaringan mengetahui apabila
terjadi serangan, maka akan ditambahkan fitur sms alert dengan menggunakan
3
aplikasi gammu. Administrator jaringan tidak selamanya dapat berada didepan
server secara terus menerus untuk itu melalui pesan peringatan melalui telepon
seluler berupa Short Message Service (SMS), administrator dapat mengetahui
apabila terjadi serangan pada server tersebut tanpa harus secara terus menerus
berada di depan server.
Berdasarkan latar belakang tersebut maka topik yang akan dibahas pada
tugas akhir adalah dengan judul “Implementasi Honeypot dan Intrusion
Detection System Snort di Jurusan Teknologi Informasi Politeknik Negeri
Padang”.
1.2 Rumusan Masalah
Berdasarkan latar belakang tersebut dapat dirumuskan permasalahan
sebagai berikut:
1. Bagaimana melakukan instalasi dan konfigurasi snort?
2. Bagaimana melakukan instalasi dan konfigurasi glastopf?
3. Bagaimana melakukan instalasi dan konfigurasi gammu agar terkoneksi
dengan database sehingga memberikan pesan peringatan (sms alert)
kepada administrator jaringan ketika serangan terjadi?
4. Bagaimana melakukan pengujian serangan terhadap server glastopf dan
snort serta administrator jaringan menerima peringatan adanya serangan
melalui sms alert ?
1.3 Tujuan
Adapun tujuan penulisan tugar akhir ini sebagai berikut:
1. Membangun dan mengkonfigurasi IDS snort pada server.
4
2. Membangun dan mengkonfigurasi honeypot (glastopf) pada server.
3. Membangun dan mengkonfigurasi pesan peringatan melalui SMS alert.
4. Melakukan pengujian serangan terhadap server honeypot (glastopf) dan
IDS snort serta administrator jaringan menerima peringatan adanya
serangan melalui SMS alert.
1.4 Batasan Masalah
Berikut ini batasan masalah dalam tugas akhir ini yang akan dibahas
sebagai berikut:
1. Instalasi dan konfigurasi IDS snort.
2. Instalasi dan konfigurasi honeypot (glastopf).
3. Instalasi dan konfigurasi gammu.
4. Pengujian serangan ke server honeypot (glastopf) dan IDS snort.
1.5 Metodologi
Beberapa metodologi yang digunakan dalam penulisan tugas akhir ini,
yaitu:
1. Studi Literatur
Melakukan studi literatur, yaitu mengumpulkan dan menentukan referensi
yang sesuai dengan topik dan pembahasan pada penyelesaian tugas akhir dari
perpustakaan dan internet untuk kemudian dicantumkan pada bagian latar
belakang atau dasar acuan pelaksanaan tugas akhir.
2. Perancangan
Melakukan analisa terhadap masalah yang akan dibahas dan diselesaikan.
Kemudian melakukan perancangan sistem yang akan dibangun mulai dari
5
perancangan sistem operasi dan aplikasi yang digunakan hingga pengujian
terhadap sistem yang telah dibangun.
3. Implementasi dan Pembahasan
Melakukan implementasi pada server sesuai dengan rancangan yang telah
dibuat, yaitu penginstalan dan konfigurasi snort, instalasi dan konfigurasi
honeypot (aplikasi glastopf), dan instalasi dan konfigurasi aplikasi lainnya yang
diperlukan. Selanjutnya akan dibuat pembahasan terhadap setiap langkah-langkah
yang dilakukan.
4. Pengujian dan Analisa
Melakukan uji implementasi terhadap server untuk melihat sistem yang
dibangun telah berjalan dan berfungsi sesuai dengan tujuan sistem dibangun dan
melakukan analisa terhadap hasil dari pengujian.
6
BAB II
LANDASAN TEORI
2.1 Jaringan Komputer
Meskipun industri komputer masih muda di bandingkan dengan industri
lainnya (misalnya, mobil dan transportasi udara), komputer telah membuat
kemajuan yang besar dalam waktu yang singkat. Selama dua dekade pertama
keberadaannya, sistem komputer sangat terpusat, biasanya dalam sebuah ruangan
tunggal yang besar. Tidak jarang ruangan ini memiliki dinding kaca, di mana
pengunjung dapat melihat dengan heran elektronik besar yang ada di dalamnya.
Sebuah perusahaan menengah atau universitas mungkin memiliki satu atau dua
komputer, sementara lembaga yang sangat besar memiliki beberapa lusin[7].
Penggabungan komputer dan komunikasi telah memiliki pengaruh besar
pada cara sistem komputer di organisir. Sebuah konsep yang pernah mendominasi
“pusat komputer” sebagai sebuah ruangan dengan komputer besar untuk para
pengguna memproses pekerjaan mereka sekarang telah usang (meskipun data
center yang menyimpan ribuan server internet telah menjadi hal biasa). Model
lama dengan sebuah komputer melayani semua kebutuhan komputasi sebuah
organisasi telah digantikan dengan sejumlah komputer terpisah tetapi saling
terhubung dalam suatu pekerjaan. Sistem ini disebut dengan jaringan
komputer[7].
Berikut klasifikasi jaringan menurut skalanya. Jarak penting digunakan
untuk menentukan klasifikasi metrik karena teknologi yang berbeda digunakan
pada skala jarak yang berbeda[7].
7
2.1.1 Personal Area Network
PAN (Personal Area Network) memungkinkan perangkat berkomunikasi
dalam rentang antar seorang. Sebuah contoh yang umum adalah jaringan nirkabel
(wireless) yang menghubungkan komputer dengan perangkat periferal. Hampir
setiap komputer memiliki monitor, keyboard, mouse dan printer. Tanpa
menggunakan nirkabel, koneksi harus dilakukan menggunakan kabel. Pengguna
pemula mendapatkan kesulitan untuk menemukan kabel dan menghubungkannya
pada perangkat (meskipun biasanya telah terdapat kode warna tertentu) yang
seebagian besar vendor akan menawarkan untuk mengirimkan teknisi ke rumah
pengguna untuk melakukannya. Untuk membantu para pengguna, beberapa
perusahaan berkumpul dan merancang jaringan nirkabel jarak pendek yang
disebut dengan bluetooth, maka kabel tidak diperlukan[7].
Dalam bentuk yang sederhana, jaringan bluetooth menggunakan
paradigma master-slave seperti yang terlihat pada gambar 2.1. Unit sistem (PC)
biasanya adalah master, berkomunikasi dengan mouse, keyboard, dan lainnya
yang merupakan sebagai slave. Master memberitahukan slave alamat yang
digunakan, kapan broadcast dapat dilakukan, berapa lama transmisi dapat
dilakukan, frekuensi apa yang dapat diigunakan, dan sebagainya[7].
Gambar 2.1 PAN Bluetooth[7].
8
2.1.2 Local Area Network
LAN (Local Area Network) merupakan jaringan yang dimiliki secara
privat yang beroperasi di dalam dan di dekat sebuah gedung seperti rumah, kantor
atau pabrik. LAN banyak digunakan untuk menghubungkan komputer personal
dan elektronik konsumer untuk berbagi sumber daya (contoh: printer) dan saling
bertukar informasi. Ketika LAN digunakan oleh perusahaan, akan dikenal dengan
jaringan perusahaan (enterprise networks)[7].
Sekarang ini Wireless LAN sangat populer, terutama pada perumahan,
gedung-gedung kantor lama, kafetaria, dan tempat lainnya yang memiliki
kesulitan untuk memasang kabel[7]. Pada sistem ini, setiap komputer memiliki
radio modem dan antena yang digunakan untuk untuk berkomunikasi dengan
komputer lainnya. Dalam banyak kasus, setiap komunikasi komputer ke perangkat
ditunjukkan seperti gambar 2.2[7].
Gambar 2.2 Wireless LAN dan LAN[7].
2.1.3 Metropolitan Area Network
MAN (Metropolitan Area Network) mencakupi sebuah kota. Contoh yang
banyak dikenal adalah jaringan televisi kabelyang tersedia di banyak kota. Sistem
ini berkembang dari sistem antena yang digunakan pada area yang memiliki
9
siaran televisi yang buruk. Pada awal sistem, antena yang besar di tempatkan di
atas bukit dan kemudian sinyal disalurkan ke rumah setiap pelanggan[7].
Ketika internet mulai menarik masyarakat luas, operator dari jaringan TV
kabel mulai menyadari dengan perubahan pada sistem, mereka dapat
menyediakan layanan internet dua arah pada spektrum yang tidak digunakan.
Pada saat itu, TV kabel mulai berubah dari cara yang sederhana untuk
mendistribusikan televisi menjadi metropolitan area network. Untuk awalnya,
MAN terlihat seperti sistem pada gambar 2.3. Pada gambar tersebut terlihat kedua
sinyal televisi dan internet disatukan pada sebuah kabel headend terpusat untuk
selanjutnya didistribusikan ke rumahh penduduk[7].
Gambar 2.3 Mettropolitan Area Network berdasarka TV kabel[7].
Televisi kabel bukan satu-satunya MAN. Perkembangan terkini akses
internet wireless dengan kecepatan tinggi menjadi contoh lain MAN, yang telah di
standarisasi sebagai IEEE 802.16 dan dikenal sebagai WiMAX[7].
2.1.4 Wide Area Network
WAN (Wide Area Network) mencakup area geografis yang luas, seringkali
sebuah negara atau benua. WAN pada gambar 2.4 adalah jaringan yang
10
menghubungkan kantor di Perth, Melbourne, dan Brisbane. Masing-masing kantor
memiliki komputer yang digunakan untuk pengguna menjalankan (contoh:
aplikasi) program[7].
Gambar 2.4 WAN yang menghubungkan tiga kantor cabang di Australia[7].
2.1.5 Internetworks
Banyak jaringan yang ada di dunia, seringkali menggunakan hardware dan
software yang berbeda. Orang yang terhubung pada satu jaringan sering ingin
berkomunikasi dengan orang lainnya yang memiliki jaringan berbeda. Pemenuhan
keperluan ini membutuhkan jaringan yang berbeda, dan seringkali tidak sesuai
untuk dihubungkan. Sekumpulan jaringan yang saling terhubung tersebut disebut
dengan internetwork dan internet. Internet menggunakan jaringan ISP untuk
menghubungkan jaringan perusahaan, jaringan rumah dan jaringan lainnya[7].
2.1.6 Topologi Jaringan
Jaringan dapat disusun dalam berbagai topologi atau layout. Topologi
yang paling umum sebagai berikut[3]:
11
a. Point-to-point
Dua host terhubung secara langsung satu sama lain, seperti pada gambar
2.5. Akhir pengiriman dari satu host terhubung dengan akhir penerimaan host
lainnya. Dalam bentuk yang sederhana, dua host terhubung dengan kabel
crossover. Hal ini biasanya terjadi pada koneksi serial.
Gambar 2.5 Topologi point-to-point[3].
b. Star
Host terhubung ke perangkat pusat seperti gambar 2.6. Semua lalu lintas
mengalir melalui perangkat pusat. Topologi star juga dikenal sebagai topologi
hub-and-spoke. Jaringan ethernet menggunakan hub atau switch dan kabel
twisted-pair merupakan topologi star.
Gambar 2.6 Topologi start[3].
c. Ring
Host dihubungkan secara berurutan dalam mode daisy-chain, seperti
gambar 2.7. Host terakhir dihubungkan dengan host pertama, sehingga menutup
12
lingkar/cincin. Token ring merupakan contoh topologi ring. Fiber Distributed
Data Interface (FDDI) juga merupakan topologi ring.
Gambar 2.7 Topologi ring[3].
d. Bus
Seperti pada gambar 2.8, host dihubungkan melalui kabel tunggal,
biasanya kabel coaxial. Jaringan ethernet yang menggunakan kabel coaxial adalah
topologi bus.
Gambar 2.8 Topologi bus[3].
e. Mesh
Pada topologi mesh, beberapa host terhubung point-to-point ke satu sama
lain, seperti pada gambar 2.9. Ini merupakan beberapa sambungan point-to-point
yang biasanya menghubungkan setiap host dalam jaringan dengan setiap host lain
dalam jaringan. Dua jenis topologi mesh:
13
1) Topologi Full-mesh, menyediakan beberapa koneksi antara host dalam
jaringan, sehingga meningkatkan kehandalan. Memerlukan biaya tinggi.
2) Topologi Partial-mesh, topologi ini baik karena menyediakan beberapa
koneksi untuk host mission-critical tertentu, biaya lebih murah
dibandingkan full-mesh.
Gambar 2.9 Topologi mesh[3].
2.2 Keamanan Jaringan
Pada beberapa awal dekade dari keberadaannya, jaringan komputer
utamanya digunakan oleh para peneliti universitas untuk mengirim email dan
pegawai perusahaan untuk berbagi penggunaan printer. Pada kondisi tersebut,
keamanan tidak menjadi hal yang terlalu diperhatikan. Tetapi sekarang, jutaan
masyarakat menggunakan jaringan untuk perbankan, berbelanja, dan aktivitas
pajak mereka, dan kelemahan demi kelemahan ditemukan, sehingga keamanan
jaringan menjadi masalah dengan proporsi yang besar[7].
Masalah keamanan kebanyakan di sebabkan kesengajaan oleh orang-orang
jahat yang mencoba untuk mendapat keuntungan, mendapatkan perhatian, atau
merugikan seseorang[7].
14
2.2.1 Honeypot
Defini yang tepat mengenai honeypot masih diperdebatkan, berikut
beberapa bentuk definisi[5]:
Sebuah honeypot adalah “Sumber daya infoormasi yang nilai
keberadaannya tidak sah atau penggelapan penggunaan
sumberdaya”(www.securityfocus.com).
Yang lebih praktis, tetapi lebih terbatas, oleh pcmag.com:
“Sebuah server yang di konfigurasi untuk mendeteksi penyusup dengan sistem
mirroring sistem produksi yang sebenarnya‖.
Dalam prakteknya, honeypot merupakan komputer yang menyamar
sebagai tidak terlindungi. Honeypot mencatat semua tindakan dan interaksi
dengan pengguna. Sejak honeypot tidak menyediakan layanan yang sah, semua
aktivtas adalah tidah sah (dan mungkin berbahaya)[5].
2.2.1.1 Tipe-tipe dari honeypot
Terdapat dua kategori besar dari honeypot yang tersedia saat ini, high-
interaction dan low-interaction. Kategori ini didefinisikan berdasarkan pada
layanan atau tingkat interaksi yang diberikan honeypot terhadap hacker. High-
interaction honeypot membiarkan hacker berinteraksi dengan sistem sebagai
sistem operasi mereka biasa, dengan tujuan menangkap informasi yang lebih
banyak mengenai teknik penyerang. Perintah atau aplikasi end-user yang
diharapkan yang diintal tersedia, terdapat sedikit atau tidak ada pembatasan pada
apa yang dapat dilakukan hacker terhadap sistem. Sebaliknya low-interaction
honeypot menyajikan hacker layanan tiruan dari server yang terbatas, untuk
15
mendeteksi asal dari aktifitas yang tidak sah. Sebagai contoh, layanan HTTP pada
low-interaction honeypot hanya mendukung perintah yang diperlukan untuk
mengidentifikasi usaha eksploitasi yang terjadi. Beberapa penulis
mengklasifikasikan menjadi tida kategori, medium-interaction honeypot, yang
menyediakan interaksi yang cukup besar di bandingkan low-interaction honeypot,
tetapi lebih rendah dibandngkan high-interaction honeypot. Medium-interaction
honeypot mungkin lebih sepenuhnya melaksanakan protokol HTTP untuk
menirukan vendor terkenal, seperti Apache[5].
Honeypot memberikan beberapa keunggulan dibandingkan solusi
keamanan lainnya, termasuk intrusion detection system[5]:
a. Sedikit kesalahan karena lalu lintas yang tidak sah yang menggunakan
honeypot
b. Bekerja dilingkungan terenkripsi
c. Tidak memerlukan attack signature seperti pada IDS.
Honeypot juga tidak sempurna, seperti[5]:
a. Dapat digunakan penyerang untuk menyerang sistem lainnya
b. Hanya memantau interaksi langsung yang terjadi pada honeypot, honeypot
tidak dapat mendeteksi serangan terhadap sistem lain.
c. Dapat terdeteksi oleh penyerang.
2.2.1.2 LaBrea
Menggunakan CodeRed untuk menjelaskan fungsi, ketika sistem terinfeksi
worm, worm menggunakan sistem sebagai host untuk tujuan penyebaran worm.
Mencari potensial host untuk diinfeksi, worm mulai mencoba menemukan host
yang berjalan melalui penggunaan permintaan Address Resolution Protocol
16
(ARP) dari alamat ip acak. Sistem LaBrea, mendengarkan lalu lintas jaringan
dapat memberitahukan dengan presisi yang tinggi apakah alamat ip sedang
digunakan. Jika tidak ada respon untuk MAC Address yang tertangkap oleh sistem
dalam jangka waktu tertentu, pengaturan dapat diubah, sistem dapat merespon
dengan MAC palsu. Hal ini memungkinkan tabel host dari host yang terinfeksi
untuk diperbaharui dengan asosiasi alamat palsu dan dapat mencegah router
mengembalikasn pesan kesalahan ICMP, yang dapat dibungkam dengan
pengaturan router, meskipun tidak selalu dilakukan[6].
2.2.1.3 HoneyD
Honeyd dikembangkan oleh Niels Provos dan dimaksudkan untuk berjalan
pada sistem Unix. Kemampuan untuk menirukan sejumlah sistem operasi yang
berbeda dan sejumlah layanan yang berbeda memberikan model respon aktif yang
memungkinkan untuk di analisis lebih dalam. Pada tahun 2002, Honeyd adalah
satu-satunya honeypot yang mampu melakukan hal ini. Pada versi 0.7, Honeyd
juga memiliki kemampuan untuk melakukan fungsi tarpit untuk membantu dalam
membatasi penyebaran malcode[6].
2.2.1.4 HoneyBOT
HoneyBOT merupakan Windows medium-interaction honeypot oleh
Atomic Software Solution. HoneyBOT awalnya sebagai upaya untuk mendeteksi
Code Red dan Nimba worm pada tahun 2001 dan telah dirilis untuk penggunaan
umum secara gratis sejak tahun 2005. HoneyBOT memungkinkan penyerang
untuk meng-upload file ke area karantina untuk mendeteksi trojan da rootkit[5].
17
2.2.1.5 Glastopf
Glastopf merupakan low-interaction honeypot aplikasi web yang mampu
menirukan ribuan kerentanan untuk mengumpulkan data dari serangan yang
mentargetkan aplikasi web. Prinsipnya sangat sederhana: membalas serangan
dengan menggunakan respon penyerang dalam mengeksploitasi aplikasi web[9].
Pada prinsipnya, glastopf honeypot bekerja seperti web server normal.
Seseorang mengirim permintaan ke web server, permintaan di proses, beberapa
mungkin disimpan dalam database dan server memberikan respon. Jika
permintaan tidak benar, maka akan menjadi kesalahan halaman[9].
Berikut simulasi dari tingkah laku glastopf honeypot: penyerang
mengirimkan permintaan yang berbahaya (malicious), honeypot memproses
permintaan dan mmungkin menulis ke database atau sistem file dan memberikan
balasan untuk penyerang seperti yang ditunjukkan pada gambar 2.10[9].
Gambar 2.10 Fungsi glastopf secara umum[9]
18
2.2.2 Intrusion Detection System
Menurut PCMag, IDS memiliki definisi sederhana:
“ Software (Intrusion Detection System) yang dapat mendeteksi serangan pada
jaringan atau sistem komputer. Network IDS (NIDS) dirancang untuk mendukung
beberapa host, sedangkan Host IDS (HIDS) diatur untuk mendeteksi tindakan
ilegal pada host. Kebanyakan program IDS menggunakan signature untuk
mengenal cracker untuk sinyal peringatan. Cara lainnya dengan membandingkan
dengan rutinitas normal untuk mengindikasikan serangan. Mendeteksi serangan
sangat sulit. Terlalu banyak analisis dapat membuat overhead dan dapat memicu
alarm palsu. Analisis yang salah dapat mengabaikan serangan yang
sebenarnya”[6].
IDS memberikan layanan yang terbaik bagi administrator jaringan dan
analisis keamanan, memberikan wawasan ke dalam sifat anomali lalu lintas yang
melalui jaringan. Signature dirancang untuk memicu peringatan pada lalu lintas
berdasarkan ciri-ciri umum untuk sejumlah percobaan eksploitasi atau lalu lintas
yang tidak biasa[6].
IDS di klasifikasikan berdasarkan fungsi, dikelompokkan dalam tiga
kategori[2]:
a. Network-Based Intrusion Detectiion System (NIDS)
Pada mode ini, NIDS mengamati semua komunikasi pada segmen
jaringan. Namun, hal tersebut tidak berarti NIDS dapat mendengar semua lalu
lintas pada subnet. Perangkat jaringan juga harus dikonfigurasi untuk mengirim
semua paket pada subnet ke NIDS[2].
19
Keuntungan dari NIDS adalah tidak memberikan daftar pada sistem atau
jaringan. Tidak menambah beban apapun ke host, dan penyerang pada salah satu
sistem tidak dapat menyentuh NIDS dan mungkin tidak dapat mengetahui bahwa
NIDS ada[2].
Gambar 2.11 Jaringan NIDS[2].
Pada gambar 2.11, jaringan menggunakan tiga NIDS. Setiap unit
diletakkan pada segmen jaringan yang strategis dan dapat memonitor lalu lintas
jaringan untuk semua perangkat pada segmen. Konfigurasi ini merupakan
topologi dasar keamanan jaringan dimana subnet perumahan dari server publik
disaring dan dilindungi NIDS[2].
b. Host-Based Intrusion Detection System (HIDS)
HIDS berbeda dengan NIDS dalam dua hal. Pertama, HIDS yang diinstal
hanya melindungi sistem dimana ia berada, tidak semua subnet, dan kedua kartu
jaringan (NIC) yang diinstalkan sistem HIDS beroperasi dimode nonpromiscuous.
20
Hal ini dapat menjadi keuntungan dalam beberapa kasus, tidak semua NIC
mampu dalam mode promiscuous. Mode promiscuous dapat intensif bagi CPU
untuk mesin host yang lambat[2].
Keuntungan lainnya dari HIDS adalah kemampuan untuk menyesuaikan
ruleset yang spesifik untu sistem host tertentu.
Gambar 2.12 menggambarkan jaringan menggunakan HIDS pada server
tertentu dan host tertentu. Seperti yang telah disebutkan sebelumnya, ruleset untuk
HIDS pada mail server disesuaikan untuk melindunginya dari eksploitasi mail
server, sedangkan rule web server disesuaikan untuk eksploitasi web. Selama
instalasi, mesin host dapat dikonfigurasi denagn seperangkat aturan. Aturan
(rules) baru dapat dimuat secara berkala untuk memperhitungkan kerentanan
baru[2].
Gambar 2.12 Jaringan HIDS[2].
21
c. Distributed Intrusion Detection System (DIDS)
DIDS merupakan kombinasi dari sensor NIDS, sensor HIDS, atau
keduanya, didistribusikan di seluruh sistem dan semua dilaporkan pada sistem
pusat. Log serangan dihasilkan pada sensor dan di upload (baik secara periodik
atau terus menerus) ke stasiun server pusat dan menyimpan pada database pusat.
Signature serangan yang baru dibuat dan di download ke stasiun manajemen yang
tersedia dan dapat di download ke sensor[2].
Pada gambar 2.13, terlihat sistem DIDS yang terdiri dari empat sensor dan
stasiun manajemen terpusat. Sensor NIDS 1 dan NIDS 2 beroperasi pada mode
promiscuous dan melindungi server publik. Sensor NIDS 3 dan NIDS 4
melindungi sistem host[2].
Gambar 2.13 Jaringan DIDS[2].
22
2.2.2.1 Snort
Sejak diluncurkan pertama kali pada tahun 1998, oleh Martin Roesch,
Snort telah menjadi IDS yang bersifat open source yang digunakan karena
fiturnya yang beragam, kemudahan penggunaannya dan fakta bahwa dirilis
sebagai tool yang bersifat open source, yang memungkinkan bagi siapa saja yang
ingin menjelajahinya, me-download, menginstal dan menjalankannya[6].
Snort memiliki kemampuan berada pada jalur sistem dan dapat melakukan
dropping terhadap paket, diidentifikasi berdasarkan signature, dengan
mengirimkan ulang paket ke client/server atau menambahkan daftar access-list
untuk firewall dan router[6].
Fitur dari Snort[2]:
1) Packet Decoder
Paket masuk melalui NIC dan diterjemahkan oleh packet decoder, yang
menentukan protokol yang digunakan untuk paket tertentu dan sesuai dengan
data. Packet decoder dapat menghasilkan peringatan sendiri berdasarkan header
dari protokol yang cacat, paket terlalu panjang, dan tingkah laku lainnya.
Peringatan dapat diaktifkan dan tidak diaktifkan dengan mengubah isi dari file
snort.conf.
2) The Detection Engine
Komponen ini merupakan komponen snort yang mengambil data dari
packet decoder dan preprocessor (jika diaktifkan) dan membandingkan dengan
rules yang ada pada snort.conf.
23
3) The Alerting and Logging Components
Setelah rules dicocokan dengan data, selanjutnya adalah alerting dan
logging component. Mekanisme logging pada snort akan mengarsipkan paket
yang dipicu snort rule, sementara mekanisme alerting digunakan untuk
memberitahukan analis dari rules.
2.2.3 Model-model serangan
Menurut W. Stallings, model-model serangan (attack models) terdiri
dari[10]:
1) Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. Serangan
ditujukan kepada ketersedian (availability) dari sistem. Contoh serangan
adalah “Denial of Service Attack”.
2) Interception: pihak yang tidak berwenang berhasil mengakses ass\et atau
informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
3) Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses,
akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini
antara lain adalah mengubah isi dari website dengan pesan-pesam yang
merugikan pemilik website.
4) Fabrication: pihak yang tidak berwenang menyisipkan objek palsu ke
dalam sistem. Contoh dari serngan jenis ini adalah memasukkan pesan-
pesan palsu seperti e-mail palsu ke dalam jaringan komputer.
2.3 SMS Gateway
SMS gateway merupakan sebuah sistem aplikasi yang digunakan untuk
mengirim dan atau menerima SMS (Short Message Service), dan biasanya
24
digunakan pada aplikasi bisnis, baik untuk kepentingan broadcast promosi, servis
informasi terhadap pengguna, penyebaran content produk/jasa dan lain-lain[1].
SMS Gateway adalah sebuah gerbang yang menghubungkan antara
komputer dengan client melalui SMS. Client secara tidak langsung berinteraksi
dengan aplikasi/sistem melalui SMS Gateway. Saat melakukan SMS, maka
informasi terpenting yang diperlukan adalah nomor tujuan dan pesan, maka itulah
yang sebenarnya diolah oleh SMS Gateway[8].
Berikut adalah beberapa fitur yang umum dikembangkan dalam aplikasi
Sms gateway[8]:
a. Auto Reply
b. Pengiriman massal/broadcast message
c. Pengiriman terjadwal
2.3.1 Gammu
Gammu adalah aplikasi cross-platform yang digunakan untuk
menjembatani/mengomunikasikan antara database SMS Gateway dengan sms
device. Aplikasi Gammu berupa daemon yang berjalan secara background. Setiap
saat, gammu memonitor sms devices dan database sms gateway[1].
Fitur umum dari gammu[4]:
a. Daftar panggilan
b. Menerima dan mengirim SMS, backup dan mengirim
c. MMS
d. Daftar buku telepon, export dan import (termasuk dari format standar
seperti vCard)
25
e. Kalender dan daftar tugas (termasuk dari format standar seperti vCalender
atau iCalender)
f. Pengembalian informasi telepon dan informasi jaringan
g. Mengakses informasi sistem file telepon
26
BAB III
ANALISIS DAN PERANCANGAN
3.1 Analisis Sistem
Analisis dan perancangan dilakukan pada gedung E lantai 3 jurusan
Teknologi Informasi (TI) Politeknik Negeri Padang. Analisis dan perancangan
dimulai dengan pembahasan mengenai gambaran lokasi implemetasi, analisis
jaringan yang sedang berjalan, dan perancangan sistem honeypot dan intrusion
detection system snort yang akan dibangun pada server virtual pada server
proxmox gedung E lantai 3 jurusan Teknologi Informasi.
3.1.1 Denah Lokasi Implementasi
Gambar 3.1 Denah Gedung E Lantai 3 Jurusan Teknologi Informasi
Pada gambar 3.1 terlihat ruangan-ruangan yang terdapat pada gedung E
lantai 3. Untuk mendukung perkuliahan pratikum mahasiswa jurusan TI
disediakan 6 labor, yaitu Labor Sistem Informasi, Labor Multimedia, Labor
Jaringan, Labor Pemrograman 1, Labor Pemrograman 2, dan Labor Instalasi
Komputer yang masing-masing dilengkapi dengan kurang lebih 31 unit personal
komputer. Selain labor untuk kegiatan praktikum mahasiswa TI, pada gedung E
27
lantai 3 juga terdapat ruangan untuk melaksanakan uji kompetensi (± terdapat 13
unit komputer), ruangan teknisi, ruangan kepala labor (terdapat 3 unit komputer),
ruangan kepala jurusan (terdapat 2 unit komputer) dan ruangan server (terdapat 3
unit komputer) yang merupakan lokasi tempat server jurusan TI berada.
3.1.2 Topologi Jaringan Jurusan Teknologi Informasi
Gambar 3.2 Topologi Jaringan Gedung E Lantai 3 Jurusan TI
28
Gambar 3.2 merupakan gambaran dari topologi jaringan yang terdapat di
gedung E lantai 3 jurusan TI. Pada ruangan labor setiap komputer diatur
menggunakan IP statik seperti yang terlihat pada gambar 3.2. Pada beberapa
ruangan, yaitu ruang kepala jurusan, ruang kepala labor, dan tiga komputer
didepan ruangan kepala labor menggunakan IP DHCP dengan alamat network
10.20.29.0/24. Pada gedung E lantai 3 terdapat 3 buah access point (AP), yaitu AP
1, AP 2, dan AP 3. Setiap access point terhubung ke distribute switch. Untuk
komputer pada ruang kepala jurusan dan ruangan kepala labor terhubung langsung
ke distribute switch. Terdapat sebuah switch yang terhubung ke distribute switch,
setiap switch yang terdapat pada labor sistem informasi, labor multimedia, labor
uji kompetensi, labor jaringan, labor pemrograman 1, labor pemrograman 2, labor
instalasi komputer, ruang server, dan 3 komputer di depan ruang kepala labor
terhubung ke switch tersebut.
3.2 Rancangan Sistem
Berdasarkan analisis yang dilakukan terhadap topologi jaringan pada
Gedung E lantai 3 jurusan TI Politeknik Negeri Padang, maka akan dibangun
sistem yang terdiri dari honeypot dan intrusion detection system (IDS) snort.
Sistem ini akan berfungsi sebagai sebuah sistem untuk memonitor atau
mendeteksi serangan yang berguna untuk dapat mengetahui pola penyerangan dan
identitas penyerang (alamat IP penyerang) serta untuk melihat masing-masing
peringatan yang dihasilkan oleh honeypot dan snort. Sistem honeypot dan snort
akan dibangun pada sebuah server virtual pada server proxmox seperti yang
terlihat pada gambar 3.3.
29
Gambar 3.3 Topologi Jaringan Gedung E Lantai 3 Jurusan TI dengan
Penambahan Server Glastopf dan Snort
Perancangan sistem di awali dengan melakukan instalasi sistem operasi
pada server virtual yang dibangun pada server proxmox. Sistem operasi yang
digunakan adalah sistem operasi Linux Ubuntu Server 14.04.3 LTS. Selanjutnya
30
akan dilakukan instalasi dan konfigurasi intrusion detection system (IDS) snort
dan dilanjutkan dengan instalasi dan konfigurasi honeypot. Honeypot yang akan
digunakan adalah glastopf.
Untuk mempermudah administrator dalam mendapatkan informasi adanya
traffic yang mencurigakan atau penyerangan, maka akan di bangun pesan
peringatan melalui Short Message Service (SMS) dengan menggunakan aplikasi
gammu. Dengan membangun pesan peringatan melalui SMS, maka ketika adanya
serangan, seorang administrator jaringan akan mendapatkan pesan peringatan
melalui SMS pada telepon seluler.
Untuk melihat apakah sistem telah berjalan maka pada komputer penguji
dilakukan port scanning dan serangan Denial of Service (DoS) terhadap alamat ip
server untuk melihat hasil reaksi dan log yang diberikan oleh server honeypot-IDS
snort serta melihat SMS Alert telah masuk ke telepon selular administrator.
Rancangan sistem secara umum terlihat seperti gambar 3.4.
Gambar 3.4 Rancangan Sistem Secara Umum
31
Uraian dari rancangan sistem yang akan dibuat ditunjukkan pada gambar
3.5.
Gambar 3.5 Uraian Rancangan Sistem
Berikut penjelasan dari gambar 3.5:
1. Saat ada akses ke server honeypot, aplikasi PHP sandbox yang digunakan
akan dijalankan.
2. Honeypot mengawasi kegiatan interaksi yang dilakukan.
3. Honeypot memasukkan data-data interaksi yang terjadi ke database
honeypot.
4. Packet decoder pada snort mengidentifikasi protokol yang akan
digunakan. Jika terdapat paket yang cacat atau paket terlalu panjang maka
packet decoder akan menghasilkan peringatan.
32
5. Detection Engine mengambil data dari packet decoder dan
membandingkan dengan rules yang diaktifkan pada snort. Beberapa rules
yang diaktifkan pada snort dapat dilihat pada tabel 3.1.
6. Jika data sesuai dengan rules, data akan dimasukkan ke log snort.
7. Log snort dibaca oleh barnyard2.
8. Barnyard2 mengubah log pada snort yang menggunakan bahasa ASCII
bahasa yang dimengerti pengguna dan menyalin log ke snorby. Snorby
menyimpan log pada sebuah database.
9. Data dari database snorby dicek oleh program pada file koneksi_autosend.
10. Script pada file koneksi_autosend mengaktifkan gammu untuk mengirim
pesan teks “Peringatan! Serangan DoS dan Portscan terdeteksi”.
11. Gammu meneruskan pesan tersebut ke modem.
12. Modem akan mengirimkan pesan melalui jaringan GSM.
13. Pesan disampaikan ke telepon selular administrator.
Tabel 3.1 Beberapa Rules yang digunakan pada Snort
Jenis Rules Rules
Port Scanning - alert tcp $EXTERNAL_NET any -> $HOME_NET
5800:5820 (msg:"ET SCAN Potential VNC Scan 5800-
5820"; flags:S,12; threshold: type both, track by_src,
count 5, seconds 60;
reference:url,doc.emergingthreats.net/2002910;
classtype:attempted-recon; sid:2002910; rev:5;)
- alert tcp $EXTERNAL_NET any -> $HOME_NET
5900:5920 (msg:"ET SCAN Potential VNC Scan 5900-
5920"; flags:S,12; threshold: type both, track by_src,
count 5, seconds 60;
reference:url,doc.emergingthreats.net/2002911;
classtype:attempted-recon; sid:2002911; rev:5;)
- alert tcp $EXTERNAL_NET any -> $HOME_NET 22
(msg:"ET SCAN Potential SSH Scan"; flags:S,12;
33
threshold: type both, track by_src, count 5, seconds 120;
reference:url,en.wikipedia.org/wiki/Brute_force_attack;
reference:url,doc.emergingthreats.net/2001219;
classtype:attempted-recon; sid:2001219; rev:19;)
Denial of
Service
alert icmp any any -> $HOME_NET any (msg:"Deteksi
serangan PING!"; dsize:>9999; classtype:denial-of-service;
sid:1000001; rev:1;)
3.3 Spesifikasi Hardware dan Software yang digunakan
Spesifikasi hardward dan software yang digunakan dalam melaksanakan
implementasi tugas akhir di gedung E lantai 3 jurusan TI Politeknik Negeri
Padang sebagai berikut:
1. Server
Tabel 3.2 Spesifikasi Server
Nama Perangkat Spesifikasi
Dell PowerEdge T620
- Intel®
Xeon® processor E5-2600
- 2 Sockets Processor
- Chipset Intel C600
- Memori (24 slot DIMM) DDR3
2GB/4GB/8GB/16GB/32GB
- Slot I/O: 7 slot PCI, 4 x16 slot (x16
bandwidth, full-length, full-height), 2 x8
slot (x8 bandwidth, full-length, full-
height), 1 x8 slot (x4 bandwidth, full-
length, full-height)
- RAID Controller
Internal controller: PERC S110 (SW
RAID), PERC H310, PERC H710, PERC
H710P
External HBAs (RAID): PERC H810
External KBAs (non-RAID): 6Gbps SAS
HBA
- Embedded NIC Intel Dual Port 1GbE LOM
34
Gambar 3.6 Server Dell PowerEdge T620
2. PC Klien/Penguji
Tabel 3.3 Spesifikasi Notebook Acer Aspire 4752
Nama Perangkat Spesifikasi
Notebook Acer Aspire 4752
- Processor Intel® Core
TM i3-2310M
- 14.0” HD LED LCD
- Memori DDR3 2 GB
- Harddisk 500GB HDD
- USB 2.0 (2), USB 3.0 (1)
- Tipe Wireless Acer NplifyTM
802.11b/g/n
- Baterai 6-cell Li-ion
Gambar 3.7 Notebook Acer Aspire 4752
3. Software yang digunakan pada implementasi tugas akhir sebagai berikut:
a. Ubuntu Server 14.04.3 LTS, sistem operasi yang digunakan untuk
server implementasi tugas akhir.
35
b. Proxmox VE, perangkat lunak yang bersifat open source yang
menggunakan Kernel-based Virtual Machine (KVM) dan virtualisasi
container-based. Dengan KVM dapat dijalankan beberapa sistem
operasi. Sistem honeypot dan snort akan diinstal pada server proxmox
tersebut.
c. Glastopf, aplikasi honeypot yang bertindak sebagai web server.
d. Snort, aplikasi untuk mendeteksi serangan pada sistem/server.
e. Gammu, aplikasi yang digunakan untuk SMS Gateway ke perangkat
SMS.
f. PuTTY, aplikasi yang dapat digunakan untuk me-remote sebuah server.
g. Nmap, aplikasi untuk melakukan scanning terhadap sistem yang
berjalan.
h. Web Browser, digunakan untuk mengakses web server (glastopf).
36
BAB IV
IMPLEMENTASI DAN PENGUJIAN
4.1 Implementasi
Pada bab IV ini akan dibahas mengenai implementasi dan pengujian tugas
akhir. Implemetasi dilakukan sesuai dengan perancangan yang telah dibuat pada
bab sebelumnya yaitu dilakukan pada sebuah server virtual pada server proxmox
di gedung E lantai 3 jurusan Teknologi Informasi Politeknik Negeri Padang.
4.1.1 Instalasi Ubuntu Server
Sistem operasi yang digunakan untuk implemetasi adalah Linux Ubuntu
Server 14.04.3. Instalasi di awali dengan pemilihan bahasa yang akan digunakan
pada menu awal proses instalasi sistem operasi Ubuntu Server, seperti pada
gambar 4.1.
Gambar 4.1 Pemilihan Bahasa 1
Menu utama instalasi seperti yang terlihat pada gambar 4.2. Pemilihan
menu menggunakan tombol navigasi pada keyboard. Menu Install Ubuntu Server
untuk menjalankan proses instalasi.
37
Gambar 4.2 Menu Awal Instalasi
Pemilihan bahasa yang digunakan saat proses instalasi dan untuk sistem
seperti yang ditunjukkan pada gambar 4.3. Diikuti dengan pemilihan lokasi sesuai
lokasi dari server seperti yang terlihat pada gambar 4.4.
Gambar 4.3 Pemilihan Bahasa 2
38
Gambar 4.4 Pemilihan Lokasi
Pemilihan layout keyboard yang digunakan. Akan tersedia beberapa
pilihan layout keyboard, seperti pada gambar 4.5.
Gambar 4.5 Pemilihan Layout Keyboard
Pada gambar 4.6 merupakan konfigurasi hostname. Hostname digunakan
pada sistem untuk identifikasi sistem terhadap jaringan, lanjutkan proses dengan
memilih Continue.
39
Gambar 4.6 Pemilihan Layout Keyboard
Konfigurasi user. Gambar 4.7 memperlihatkan konfigurasi pengisian nama
lengkap akun pengguna baru yang akan dibuat.
Gambar 4.7 Pengisian Nama Lengkap Akun Pengguna Baru
Konfigurasi user berikutnya adalah konfigurasi pengisian username untuk
akun baru seperti pada gambar 4.8.
Gambar 4.8 Pengisian Username
Pada gambar 4.9 merupakan konfigurasi user mengenai pengisian
password untuk keamanan penggunaan akun.
40
Gambar 4.9 Pengisian Password
Konfigurasi user yang terakhir adalah mengenai enkripsi direktori home
yang dapat memperkuat keamanan data pada sistem. Pada konfigurasi sistem yang
akan digunakan saat ini tidak menggunakan enkripsi pada direktori home. Pilihan
No digunakan jika tidak menggunakan enkripsi pada direktori home, seperti yang
diterlihat pada gambar 4.10.
Gambar 4.10 Enkripsi Direktori Home
Konfigurasi pemilihan zona waktu, seperti pada gambar 4.11 terlihat
bahwa telah terdeteksi beberapa lokasi, pilih dengan menyesuaikan zona waktu
yang sesuai dengan lokasi sistem.
Gambar 4.11 Pemilihan Lokasi Zona Waktu
41
Konfigurasi metode partisi harddisk, seperti yang ditunjukkan pada
gambar 4.12. Partisi dapat dilakukan secara otomatis oleh sistem atau secara
manual.
Gambar 4.12 Konfigurasi Metode Partisi
Memilih harddisk yang akan digunakan untuk sistem seperti yang
ditunjukkan pada gambar 4.13.
Gambar 4.13 Pemilihan Disk
Konfigurasi untuk mengatur ukuran dari harddisk yang akan digunakan
untuk Ubuntu Server ditunjukkan pada gambar 4.14.
Gambar 4.14 Konfigurasi Ukuran Harddisk
42
Setelah konfigurasi partisi, terdapat halaman konfirmasi untuk melakukan
partisi terhadap harddisk, seperti yang terlihat pada gambar 4.15. Konfirmasi Yes
jika ingin melanjutkan proses partisi.
Gambar 4.15 Halaman Konfirmasi Partisi
Setelah beberapa proses konfigurasi di atas, proses instalasi sistem
dilakukan, seperti yang terlihat pada gambar 4.16.
Gambar 4.16 Proses Instalasi Sistem
Konfigurasi packet manager, pada proses ini yaitu proxy. Sistem yang
akan dibangun tidak menggunakan proxy, untuk itu kolom dapat dikosongkan
seperti pada gambar 4.17.
Gambar 4.17 Konfigurasi Packet Manager
Konfigurasi Software Selection, dalam hal ini terdapat beberapa daftar
perangkat lunak yang ingin dipasang untuk digunakan pada sistem. Pada sistem
yang dibangun akan dipasang perangkat lunak OpenSSH server agar server dapat
43
diakses secara remote. Untuk itu perangkat lunak OpenSSH server dipilih untuk
dipasangkan pada sistem seperti pada gambar 4.18.
Gambar 4.18 Halaman Software Selection
Instalasi GRUB boot loader yang digunakan untuk booting Ubuntu
Server. Pilihan Yes untuk menginstal GRUB, seperti pada gambr 4.19.
Gambar 4.19 Pemasangan GRBU Boot Loader
Setelah pemasangan GRBU boot loader maka proses instalasi selesai.
Pada gambar 4.20, terlihat proses penyelesaian instalasi sistem operasi.
Gambar 4.20 Proses Penyelesaian Instalasi Sistem Operasi
Sistem Operasi Ubuntu Server telah terinstal dan pengguna telah dapat
melakukan login pada sistem seperti yang ditunjukkan pada gambar 4.21.
44
Gambar 4.21 Login pada Sistem
Konfigurasi alamat ip dengan menggunakan editor nano dengan
menjalankan perintah ―sudo nano /etc/network/interfaces‖. Alamat ip yang
digunakan ip statik seperti yang terlihat pada gambar 4.22.
Gambar 4.22 Konfigurasi Alamat ip
Menjalankan perintah “sudo su” agar mendapatkan akses sebagai root.
Kemudian melakukan pembaruan paket-paket yang pada sistem dengan
menjalankan perintah “apt-get update‖ seperti yang terlihat pada gambar 4.23.
45
Gambar 4.23 Perintah Update
Melakukan upgrade pada sistem, untuk me-upgrade program ke versi
terbaru dengan menjalankan perintah “apt-get upgrade -y” seperti yang terlihat
pada gambar 4.24.
Gambar 4.24 Perintah Upgrade
4.1.2 Instalasi dan Konfigurasi Snort
Saat instalasi dan konfigurasi selanjutnya server diakses atau di-remote
menggunakan aplikasi PuTTY. Pada gambar 4.25 merupakan proses remote server
dengan memasukkan alamat ip server pada PuTTY.
Gambar 4.25 Remote Server Menggunakan PuTTY
46
Sebelum melakukan instalasi snort, terdapat beberapa paket pendukung
yang harus diinstalkan, yaitu sebagai berikut; build-essentia,l libpcap-dev
libpcre3-dev, libdumbnet-dev, bison flex, zlib1g-dev, liblzma-dev, openssl, libssl-
dev. Instalasi paket dilakukan dengan perintah apt-get install [nama_paket]
seperti yang terlihat pada gambar 4.26.
Paket build-essential digunakan sebagai alat untuk mengkompilasi
software, libpcap-dev digunakan untuk menangkap lalu lintas jaringan yang
dibutuhkan snort, libpcre3-dev sebagai pendukung kinerja snort, libdumbnet-dev
digunakan antarmuka portable untuk beberapa rutinitas jaringan tingkat rendah,
bison flex digunakan untuk keperluan DAQ, zlib1g-dev digunakan untuk kompresi
yang diperlukan snort, liblzma-dev digunakan untuk dekompresi file swf (adobe
flash), openssl dan libssl-dev menyediakan file signature SHA dan MD5.
Gambar 4.26 Instalasi Paket Pendukung Snort
Membuat sebuah folder atau direktori sebagai penyimpanan file atau paket
dari aplikasi yang akan diinstalkan dengan menggunakan perintah mkdir
[nama_direktori] dan setelah direktori baru terbentuk, pindah ke direktori tersebut
dengan perintah cd [nama_direktori] seperti yang terlihat pada gambar 4.27.
Gambar 4.27 Membuat dan Pindah Direktori
Menginstal Data Acquisition Library (DAQ) dengan mengunduh pada
website resmi snort dengan menjalankan perintah wget
47
https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz seperti yang ditunjukkan
pada gambar 4.28.
Gambar 4.28 Mengunduh Paket DAQ
Kemudian mengekstrak file dengan menjalankan perintah tar -xvzf daq-
2.0.6.tar.gz. Setelah ekstraksi file selesai akan terdapat sebuah direktori file DAQ,
akses direktori tersebut dengan menjalankan perintah cd daq-2.0.6. Pada direktori
tersebut dijalankan perintah ./configure untuk melakukan pengecekan paket-paket
yang diperlukan seperti yang ditunjukkan pada gambar 4.29. Selanjutnya
melakukan kompilasi dengan perintah make. Jika tidak ada informasi paket yang
kurang maka instalasi dilakukan dengan menjalankan perintah make install.
Gambar 4.29 Perintah configure
48
Menginstal snort dengan mengunduh file dari website resmi snort.
Langkah yang dilakukan seperti pada instalasi DAQ diatas. Berikut tahapan yang
dilakukan; mengunduh file snort dengan menjalankan perintah wget
https://www.snort.org/downloads/snort/snort-2.9.7.6.tar.gz, mengektrak file yang
telah diunduh dengan menjalankan perintah tar -xvzf snort-2.9.7.6.tar.gz, masuk
ke dalam direktori yang dihasilkan dari ekstrak file snort dengan perintah cd
snort-2.9.7.6, melakukan pengecekan paket yang diperlukan dengan menjalankan
perintah ./configure --enable-sourcefire, melakukan kompilasi dengan perintah
make, melakukan instalasi dengan menjalankan perintah make install.
Melakukan pembaharuan shared libraries dengan menjalankan perintah
ldconfig. Kemudian membuat symlink /usr/local/bin/snort ke binary snort yang
ada pada /usr/sbin/snort dengan menjalankan perintah ln -s /usr/local/bin/snort
/usr/sbin/snort seperti yang terlihat pada gambar 4.30.
Gambar 4.30 Membuat Symlink
Konfigurasi snort. Membuat sebuah group dan user untuk snort dengan
menjalankan perintah sebagai berikut:
# sudo groupadd snort
# sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS –
g snort
Konfigurasi berikutnya adalah membuat direktori yang diperlukan snort
seperti yang ditunjukkan pada gambar 4.31.
49
Gambar 4.31 Membuat Beberapa Direktori Snort
Membuat file yang diperlukan snort untuk menyimpan rules dan
diletakkan pada direktori yang telah dibuat sebelumnya yaitu /etc/snort dan
/etc/snort/rules/iplists seperti yang ditunjukkan pada gambar 4.32.
Gambar 4.32 Membuat Beberapa File yang diperlikan Snort
Mengatur hak akses dan kepemilikan beberapa direktori yang telah dibuat
dengan perintah chown seperti yang ditunjukkan pada gambar 4.33.
Gambar 4.33 Mengatur Hak Akses dan Kepemilikan Direktori
Menyalin file konfigurasi yang terdapat pada direktori tempat instalasi
sebelumnya ke direktori /etc/snort seperti yang ditunjukkan pada gambar 4.34.
Gambar 4.34 Menyalin File Konfigurasi
Melakukan konfigurasi pada file konfigurasi utama snort yaitu file
snort.conf dengan menggunakan editor nano. Pada baris perintah ipvar
HOME_NET any, digantikan dengan ipvar HOME_NET 10.20.29.0/24.
50
10.20.29.0/24 merupakan network ip yang digunakan pada sistem agar snort dapat
memantau lalu lintas jaringan tersebut seperti yang ditunjukkan pada gambar 4.35.
Gambar 4.35 Konfigurasi File snort.conf (1)
Konfigurasi file snort.conf berikutnya adalah mengganti rule path yang
disesuaikan dengan rule path atau direktori dan file yang dibuat sebelumnya
seperti yang terlihat pada gambar 4.36.
Gambar 4.36 Konfigurasi File snort.conf (2)
Menghilangkan tanda “#‖ pada baris include $RULE_PATH/local.rules
seperti yang terlihat pada gambar 4.37. Hal ini dilakukan agar snort membaca rule
pada file.
Gambar 4.37 Konfigurasi File snort.conf (3)
Menjalankan perintah snort -T -c /etc/snort/snort.conf –i eth0 untuk
melakukan validasi terhadap konfigurasi file snort telah benar. Tanda –T
digunakan untuk tes terhadap file yang dikonfigurasi dan tanda –c digunakan
51
untuk memberitahukan pada snort file konfigurasi yang akan digunakan. Pada
gambar 4.38 terlihat validasi telah selesai dan konfigurasi telah benar.
Gambar 4.38 Validasi Konfigurasi
4.1.3 Instalasi dan Konfigurasi Barnyard2
Instalasi barnyard2 dilakukan untuk dapat menuliskan peringatan atau
event pada log snort yang sebelumnya menggunakan bahasa ASCII ke bahasa
yang dapat dibaca manusia dan memasukkannya pada database. Sebelum instalasi
barnyard2 dilakukan instalasi paket pendukung yang diperlukan barnyard2
dengan menjalankan perintah apt-get install -y mysql-server libmysqlclient-dev
mysql-client autoconf libtool seperti yang ditunjukkan pada gambar 4.39.
Gambar 4.39 Instalasi Paket Pendukung Barnyard2
52
Salah satu aplikasi yang diinstal untuk mendukung kinerja snort dan
barnyard2 adalah mysql-server yang merupakan database untuk menyimpan log
dari snort. Pada proses instalasi mysql-server akan ada dialog konfigurasi, yaitu
pengisian password seperti yang diunjukkan pada gambar 4.40.
Gambar 4.40 Membuat Password Mysql-server
Konfigurasi output plugins pada file snort.conf yang terdapat pada
direktori /etc/snort. Menambahkan perintah output unified2: filename snort.u2,
limit 128 seperti yang terlihat pada gambar 4.41.
Gambar 4.41 Konfigurasi Output Plugins
Setelah paket pendukung terinstal dapat dilakukan instalasi barnyard2.
Berikut tahapan yang dilakukan; mengunduh file barnyard2 dengan menjalankan
perintah wget https://github.com/firnsy/barnyard2/archive/master.tar.gz -O
barnyard2-2-1.13.tar.gz, mengektrak file barnyard2 dengan menjalankan perintah
tar zxvf barnyard2-2-1.13.tar.gz, berpindah ke direktori barnyard2 yang terbentuk
dari ekstraksi file barnyard2 dengan menjalankan perintah cd barnyard2-master,
rekonfigurasi ./m4 dengan menjalankan perintah autoreconf -fvi -I ./m4, membuat
53
symlink antara file /usr/include/dumbnet.h dan file /usr/include/dnet.h dengan
menjalankan perintah ln -s /usr/include/dumbnet.h /usr/include/dnet.h, memilih
library MySQL dengan menjalankan perintah ./configure --with-mysql --with-
mysql-libraries=/usr/lib/i386-linux-gnu, melakukan kompilasi dengan perintah
make, melakukan instalasi dengan menjalankan perintah make install.
Pindah ke direktori barnyard2 dengan menjalankan perintah cd
~/file/barnyard2-master dan salin file barnyard2.conf ke direktori /etc/snort
dengan perintah cp etc/barnyard2.conf /etc/snort. Kemudian membuat direktori
dan file yang dibutuhkan barnyard2 serta mengatur hak akses dan kepemilikan
beberapa direktori yang telah dibuat dengan menjalankan perintah dibawah ini:
# mkdir /var/log/barnyard2
# touch /var/log/snort/barnyard2.waldo
# touch /etc/snort/sid-msg.map
# chown snort.snort /var/log/barnyard2
# chown snort.snort /var/log/snort/barnyard2.waldo
Membuat MySQL database snort dan membuat MySQL user untuk snort
yang akan digunakan barnyard2 untuk memasukkan event yang dicatat oleh snort
dengan menjalankan beberapa perintah berikut ini:
$ mysql -u root -p
mysql> create database snort;
mysql> use snort;
mysql> source ~/file/barnyard2-2-1.13/schemas/create_mysql
mysql> CREATE USER 'snort'@'localhost' IDENTIFIED BY
'MYSQLSNORTPASSWORD';
54
mysql> grant create, insert, select, delete, update on snort.* to
'snort'@'localhost';
mysql> exit
Melakukan konfigurasi pada file barnyard2.conf yang telah disalin ke
direktori /etc/snort agar dapat membuat atau memasukkan hasil event yang
tercatat pada database yang telah disediakan. Konfigurasi dengan memasukkan
script seperti dibawah ini atau seperti yang ditunjukkan pada gambar 4.42.
output database: log, mysql, user=snort password=MYSQLSNORTPASSWORD
dbname=snort host=localhost
Gambar 4.42 Konfigurasi barnyard2.conf
4.1.4 Instalasi dan Konfigurasi Pulledpork
Untuk memastikan rule yang digunakan terbaru sesuai dengan yang ada
pada situs resmi snort maka dilakukan instalasi PulledPork yang akan secara
otomatis mengunduh ruleset terbaru. Terdapat beberapa paket pendukung yang
perlu diinstalkan. Penginstalan paket seperti yang ditunjukkan pada gambar 4.43.
Gambar 4.43 Instalasi Paket Pendukung untuk PulledPork
55
Instalasi PulledPork dapat dilakukan. Masuk ke direktori penyimpanan
paket yang telah dibuat sebelumnya. Unduh file PulledPork dengan menjalankan
perintah seperti yang terilhat pada gambar 4.44.
Gambar 4.44 Mengunduh File PulledPork
Mengekstrak file PulledPork dengan menjalankan perintah tar xvfvz
pulledpork-0.7.2-194.tar.gz, memindahkan file tambahan PulledPork ke direktori
hasil ektraksi file PulledPork dengan menjalankan perintah berikut ini:
# mv pulledpork-66241690356d54faa509625a78f80f326b75c339 pulledpork-
0.7.2-194
Pindah ke direktori hasil ekstraksi file PulledPork dengan perintah cd
pulledpork-0.7.2-194. Menyalin file pulledpork.pl ke direktori /usr/local/bin
dengan perintah cp pulledpork.pl /usr/local/bin dan kemudian mengatur hak akses
file tersebut dengan menjalankan perintah chmod +x /usr/local/bin/pulledpork.pl.
Untuk memastikan PulledPork telah berjalan maka dapat dijalankan perintah
seperti yang ditunjukkan pada gambar 4.45.
56
Gambar 4.45 Tes PulledPork
Melakukan konfigurasi pada file pulledpork.conf yang terdapat pada
direktori /etc/snort. Berikut ini beberapa konfigurasi yang dilakukan:
a. Pada baris ke 19 dan 26 file pulledpork.conf masukkan oinkcode. Kode dapat
digunakan untuk mengunduh file yang hanya dapat diunduh bagi pengguna
yang memiliki akun pada website www.snort.org untuk itu agar mendapatkan
kode maka terlebih dahulu harus membuat akun pada website www.snort.org
seperti yang terlihat pada gambar 4.46.
Gambar 4.46 Memasukkan oinkcode
b. Mengaktifkan emerging threats ruleset yang ada pada baris 29 dengan
menghilangkan tanda #.
c. Pada baris 74 mengubah rule_path menjadi seperti berikut; change to:
rule_path=/etc/snort/rules/snort.rules
d. Mengubah lokasi direktori local_rules yang terdapat pada baris ke 89 dan
sid_msg pada baris ke 92 sesuai dengan direktori yang telah dibuat
sebelumnya seperti pada gambar 4.47.
Gambar 4.47 Konfigurasi pulledpork.conf
57
e. Mengubah lokasi direktori config_path yang terdapat pada baris ke 119
menjadi config_path=/etc/snort/snort.conf.
f. Pada baris 133 mengubah distro linux menjadi Ubuntu-14-04.
g. Mengubah lokasi direktori black_list pada baris 141 menjadi black_list
=/etc/snort/rules/iplists/black_list.rules dan IPRVersion pada baris 150
menjadi IPRVersion=/etc/snort/rules/iplists.
Setelah konfigurasi yang dilakukan pada file pulledpork.conf, dijalankan
perintah berikut /usr/local/bin/pulledpork.pl -c /etc/snort/pulledpork.conf –l
untuk memastikan pulledpork telah berkerja dan mengunduh rule terbaru. Proses
tersebut dapat dilihat pada gambar 4.48.
Gambar 4.48 Perintah Menjalankan PulledPork
Pada direktori /etc/snort/rules telah ada rules baru dengan nama
snort.rules yang berisi rule-rule yang diunduh pulledpork seperti yang terlihat
pada gambar 4.49.
58
Gambar 4.49 File snort.rules
Agar snort dapat membaca dan menjalankan rules tersebut maka pada file
snort.conf tambahkan script berikut; include $RULE_PATH/snort.rules seperti
pada gambar 4.50.
Gambar 4.50 Penambahan konfigurasi pada snort.conf
Setiap melakukan konfigurasi pada snort.conf lakukan validasi seperti
sebelumnya dengan perintah snort -T -c /etc/snort/snort.conf –i eth0. Selanjutnya
penjadwalan untuk menjalankan pulledpork secara terjadwal dengan
menambahkannya pada crontab. Jalankan perintah crontab –e, kemudian pilih
editor yang ingin digunakan, lalu tambahkan baris berikut 01 04 * * *
/usr/local/bin/pulledpork.pl -c /etc/snort/pulledpork.conf –l seperti yang
ditunjukkan pada gambar 4.51.
Gambar 4.51 Penjadwalan Pulledpork pada Crontab
59
Membuat upstart script daemon untuk snort dan barnyard2 yang
diletakkan pada direktori /etc/init agar dapat berjalan otomatis saat sistem pertama
kali berjalan tanpa harus dijalankan secara manual. Untuk snort dibuat file dengan
nama snort.conf, script dapat dilihat pada gambar 4.52 dan untuk barnyard2
dibuat file dengan nama barnyard2.conf, script dapat dilihat pada gambar 4.53.
Gambar 4.52 Upstart Script Snort
Gambar 4.53 Upstart Script Barnyard2
Menjalankan perintah chmod +x untuk memberikan akses kepada
group/user untuk bisa mengekseskusi script dan mengkonfirmasikan script pada
upstart dengan perintah initctl seperti yang ditunjukkan pada gambar 4.54. Pada
gambar terlihat status snort dan barnyard2 berhenti, untuk menjalankannya
ketikkan perintah service snort start atau service barnyard2 start.
Gambar 4.54 Mengatur Hak Akses dan Konfirmasi Script pada Upstart
60
4.1.5 Instalasi dan Konfigurasi Snorby
Untuk dapat melihat event yang tercatat oleh snort yang telah diproses
barnyard2 pada sebuah database dalam bentuk web GUI maka dilakukan instalasi
Snorby. Instalasi diawali dengan menginstal paket pendukung yang diperlukan
snorby yaitu imagemagick, apache2, libyaml-de, libxml2-dev, libxslt-dev, git,
ruby1.9.3 dengan menjalankan perintah sudo apt-get install -y imagemagick
apache2 libyaml-dev libxml2-dev libxslt-dev git ruby1.9.3.
Menginstal gem atau plugin yang dibutuhkan untuk manajemen dan
instalasi, yaitu wkhtmltopdf, bundler, rails, rake --version=0.9.2. Untuk
menjalankan instalasi berikut perintah yang dijalankan:
sudo gem install wkhtmltopdf
sudo gem install bundler
sudo gem install rails
sudo gem install rake --version=0.9.2
Pada gambar 4.55 terlihat proses instalasi wkhtmltopdf, bundler dan rails.
Gambar 4.55 Instalasi wkhtmltopdf, bundler dan rails
61
Pindah ke direktori „file‟ yang telah dibuat sebelumnya untuk
penyimpanan file atau paket yang diunduh untuk instalasi snorby, kemudian
mengunduh file snorby dengan menjalankan perintah wget
https://github.com/Snorby/snorby/archive/v2.6.2.tar.gz -O snorby-2.6.2.tar.gz,
mengekstrak file dengan menjalankan perintah tar xzvf snorby-2.6.2.tar.gz,
menyalin file yang terdapat pada direktori yang terbentuk dari ekstraksi file
snorby ke direktori /var/www/html/snorby dengan menjalankan perintah cp -r
./snorby-2.6.2/ /var/www/html/snorby/, mengakses direktori
/var/www/html/snorby, dan menjalankan perintah bundle install untuk melengkapi
syarat-syarat instalasi lainnya.
Membuat file database.yml pada direktori /var/www/html/snorby/config
yang akan digunakan snorby untuk koneksi ke MySQL. File dibuat dengan
menyalin file contoh yang telah tersedia kedalam file tersebut seperti yang
ditunjukkan pada gambar 4.56.
Gambar 4.56 Menyalin File ke database.yml
Melakukan konfigurasi sementara file database.yml dengan menggunakan
editor nano. Konfigurasi yang dilakukan dengan memasukkan password dari
MySQL. Konfigurasi ini digunakan hingga snorby membutuhkan akun MySQL
lower-priviledged. Konfigurasi terlihat seperti pada gambar 4.57.
62
Gambar 4.57 Konfigurasi database.yml
Konfigurasi selanjutnya membuat file konfigurasi snorby dengan
menjalankan perintah berikut:
cp /var/www/html/snorby/config/snorby_config.yml.example
/var/www/html/snorby/config/snorby_config.yml
Kemudian memperbaharui file sesuai dengan versi dari wkhtmlpdf dengan
menjalankan perintah berikut:
sudo sed -i s/"\/usr\/local\/bin\/wkhtmltopdf"/"\/usr\/bin\/wkhtmltopdf"/g
/var/www/html/snorby/config/snorby_config.yml
Instalasi snorby. Masuk ke direktori /var/www/html/snorby dan
menjalankan perintah bundle exec rake snorby:setup. Pada perintah tersebut akan
diunduh gem yang diperlukan dan akan terbentuk database dengan nama database
„snorby‟.
Gambar 4.58 Instalasi Snorby
63
Mengkonfigurasi database snorby untuk akun user lower-priviledged.
Konfigurasi yang terlihat pada gambar 4.59 merupakan perintah untuk membuat
akun user MySQL baru dengan nama snorby, dan beberapa perintah lainnya.
Gambar 4.59 Database Snorby
Konfigurasi ulang file database.yml dengan memasukkan username dan
password sesuai dengan user dan password yang telah dibuat pada konfigurasi
database snorby seperti yang terlihat pada gambar 4.60.
Gambar 4.60 Konfigurasi Ulang database.yml
Sebelum mengakses snorby dilakukan instalasi aplikasi module server
yaitu phusion passenger agar apache2 dapat menjalankan snorby. Terdapat
beberapa paket pendukung yang diinstalkan terlebih dahulu sebelum instalasi
64
snorby, yaitu libcurl4-openssl-dev, apache2-threaded-dev, libaprutil1-dev dan
libapr1-dev. Lakukan instalasi paket pendukung dan selanjutnya jalankan instalasi
gem passenger dengan perintah gem install passenger dan menginstal modul
apache2 dengan menjalankan perintah passenger-install-apache2-module seperti
yang terlihat pada gambar 4.61.
Gambar 4.61 Instalasi Gem Passenger dan Modul Apache2
Saat instalasi akan dialog untuk memilih melanjutkan atau menghentikan
instalasi. Untuk melanjutkan proses instalasi tekan tombol Enter pada keyboard.
Kemudian terdapat pemilihan bahasa, pilih bahasa Ruby dan tekan tombol Enter
untuk melanjutkan. Pemilihan bahasa terlihat pada gambar 4.62.
Gambar 4.62 Pemilihan Bahasa Ruby
Terdapat beberapa baris text yang akan disalin untuk konfigurasi file
apache2. Beberapa baris text tersebut yaitu:
65
LoadModule passenger_module /var/lib/gems/1.9.1/gems/passenger-
5.0.21/buildout/apache2/mod_passenger.so
<IfModule mod_passenger.c>
PassengerRoot /var/lib/gems/1.9.1/gems/passenger-5.0.21
PassengerDefaultRuby /usr/bin/ruby1.9.1
</IfModule>
Pada direktori /etc/apache2/mods-available dibuat file baru dengan nama
passenger.load dan diisikan dengan text berikut ini, LoadModule
passenger_module /var/lib/gems/1.9.1/gems/passenger-
5.0.21/buildout/apache2/mod_passenger.so seperti yang ditunjukkan pada gambar
4. 63. File tersebut berfungsi memberitahukan apache2 lokasi shared object
library untuk menjalankan phusion passenger.
Gambar 4.63 File passenger.load
Pada direktori yang sama dibuat file konfigurasi passenger.conf dan
memasukkan text berikutnya seperti yang terlihat pada gambar 4.64.
Gambar 4.64 File passenger.conf
Mengaktifkan modul passenger dengan perintah a2enmod passenger
seperti pada gambar 4.65 dan me-restart apache2 dengan perintah service
apache2 restart.
66
Gambar 4.65 Mengaktifkan Modul Passenger
Setelah itu melakukan verifikasi file telah di-load dengan menjalankan
perintah apache2ctl -t -D DUMP_MODULES. Selanjutnya membuat website
apache2 untuk snorby pada direktori /etc/apache2/sites-available dengan nama
file snorby.conf. File snorby.conf terlihat pada gambar 4.66.
Gambar 4.66 File snorby.conf
Untuk dapat menjalankan situs, non-aktifkan default site dan aktifkan
snorby.conf. Menonaktifkan default site dengan menjalankan perintah berikut;
masuk ke direktori sites-enabled dengan perintah cd /etc/apache2/sites-enabled,
menonaktifkan default site dengan perintah a2dissite 000-default, kemudian me-
reload apache2 dengan perintah service apache2 reload. Mengaktifkan
snorby.conf dengan menjalankan perintah berikut; masuk ke direktori sites-
available dengan perintah cd /etc/apache2/sites-available/, mengaktifkan
snorby.conf dengan perintah a2ensite snorby.conf dan kemudian me-reload
apache2 dengan perintah service apache2 reload. Hal ini ditunjukkan pada
gambar 4.67.
67
Gambar 4.67 Menonaktifkan dan Mengaktifkan
Pada barnyard.conf tambahkan perintah output database: log, mysql,
user=snorby password=mysqlsnorby dbname=snorby host=localhost
sensor_name=sensor1 agar hasil event yang tercatat pada database snorby.
Gambar 4.68 Konfigurasi barnyard.conf 2
Membuat upstart daemon untuk proses snorby worker pada direktori
/etc/init. Script dibuat pada file baru dengan nama snorby_worker.conf, script
dapat dilihat pada gambar 4.69.
Gambar 4.69 snorby_worker.conf
Menjalankan perintah chmod +x untuk memberikan akses kepada
group/user untuk bisa mengekseskusi script dengan perintah chmod +x
68
/etc/init/snorby_worker.conf dan mengkonfirmasikan script pada upstart dengan
perintah initctl list | grep snorby_worker. Snorby dapat diakses dengan
menggunakan ip 10.20.29.135 pada browser. Untuk Login pada snorby
menggunakan email [email protected] dan password snorby.
4.1.6 Instalasi dan Konfigurasi Honeypot
Honeypot yang digunakan adalah glastopf yang mensimulasikan service
HTTP seperti pada sebuah webserver. Untuk itu honeypot menggunakan port 80.
Pada instalasi sebelumnya pada port tersebut telah berjalan modul apache2 untuk
mengakses snorby, maka dilakukan pemindahan port apache2 ke port 81 agar
honeypot dapat menggunakan port 80.
Membuka file konfigurasi port apache2 menggunakan editor nano dengan
menjalankan perintah nano /etc/apache2/port.conf. Kemudian mengubah listen
port menjadi 81 seperti pada gambar 4.70.
Gambar 4.70 Mengganti Port Apache2
Mengganti port snorby pada file konfigurasi snorby yaitu snorby.conf.
Membuka file dengan menjalankan perintah nano /etc/apache2/sites-
available/snorby.conf dan mengganti <virtualhost *:80> menjadi <virtualhost
69
*:81>. Untuk menjalankan perubahan restart apache2. Dan snorby diakses dengan
menggunakan port 81 (10.20.29.135:81).
Menginstal aplikasi atau paket-paket yang diperlukan untuk instalasi
glastopf seperti yang ditunjukkan pada gambar 4.71.
Gambar 4.71 Menginstal Aplikasi dan Paket Pendukung Glastopf
Setelah paket terinstal, dilakukan instalasi upgrade untuk beberapa
aplikasi/paket dengan menjalankan perintah berikut pip install --upgrade gevent
webob pyopenssl chardet lxml sqlalchemy jinja2 beautifulsoup requests requires
cssselect pymongo MySQL-python pylibinjection libtaxii greenlet. File-file untuk
instalasi glastopf diletakkan pada direktori opt untuk itu pindah ke direktori
dengan menjalankan perintah cd /opt.
Menginstal PHP sandbox, mengunduh file dengan perintah sudo git clone
git://github.com/glastopf/BFR.git, masuk ke direktori BRF dengan perintah cd
BFR, kemudian menjalankan perintah sudo phpize, selanjutnya melakukan
pengecekan paket dengan perntah sudo ./configure --enable-bfr seperti yang
ditunjukkan pada gambar 4.72.
70
Gambar 4.72 Instalasi PHP Sandbox
Melakukan kompilasi file dengan menjalankan perintah sudo make dan
dilanjutkan dengan menginstal sistem menggunakan perintah sudo make install.
Setelah itu menambahkan bfr.so dengan memasukkan script zend_extension =
/usr/lib/php5/20121212/bfr.so pada file php.ini yang terletak pada direktori
/etc/php5/apache2/php.ini seperti yang ditunjukkan pada gambar 4.73.
Gambar 4.73 Penambahan bfr.so pada php.ini
Paket yang diperlukan untuk diinstal selanjutnya adalah pylinjection.
Mengunduh file dengan perintah git clone --recursive
71
https://github.com/glastopf/pylibinjection.git, sebelum menginstal file pylinjection
hapus file pylibinjection.c dengan perintah rm
/opt/pylibinjection/src/pylibinjection.c, kemudian masuk ke direktori
pylibinjection, menjalankan perintah python setup.py build dan kemudian
mengintal pylinjection dengan menjalankan perintah python setup.py install.
Menginstalasi glastopf. Mengunduh source code glastof dari git dengan
menjalankan sudo git clone https://github.com/glastopf/glastopf.git seperti pada
gambar 4.74.
Gambar 4.74 Mengunduh glastopf
Masuk ke direktori glastopf yang telah diunduh, kemudian menjalankan
perintah sudo python setup.py build, dan melakukan instalasi glastopf dengan
perintah sudo python setup.py install. Proses instalasi file glastopf terlihat pada
gambar 4.75.
72
Gambar 4.75 Proses Instalasi Glastopf
Membuat database glastopf untuk menyimpan hasil log. Untuk membuat
database glastopf dilakukan perintah seperti dibawah ini:
mysql> create database glaspot;
mysql> create user 'myglaspot'@'localhost' identified by 'myglaspot';
mysql> grant all privileges on glaspot.* to 'myglaspot'@'localhost';
mysql> flush privileges;
Mengkonfigurasi file glastopf.cfg. Memasukkan ip server yaitu
10.20.29.135, seperti pada gambar 4.76.
Gambar 4.76 Konfigurasi file glastopf.cfg
73
Konfigurasi file glastopf.cfg berikutnya mengkoneksikan dengan database
yang telah dibuat dengan menambahkan script dibawah ini pada bagian [main-
database].
connection_string = mysql://myglaspot:myglaspot@localhost/myglaspot
Glastopf telah dapat dijalankan dengan menggunakan perintah python
/usr/local/bin/glastopf-runner pada direktori opt/glastopf.
4.1.7 Instalasi dan Konfigurasi SMS Alert
Untuk menjalankan SMS alert digunakan aplikasi gammu. Sebelum
instalasi dan konfigurasi dilakukan hubungkan modem ke port USB server.
Lakukan instalasi gammu dan aplikasi pendukung, yaitu gammu-smsd.
Gambar 4.77 Instalasi gammu
74
Gambar 4.78 Instalasi gammu-smsd
Melakukan pengecekan modem telah terdeteksi atau belum. Pada gambar
4.79 terlihat bahwa modem telah terdeteksi.
Gambar 4.79 Pengecekan Modem
Selain menggunakan perintah diatas, pengecekan dapat dilakukan dengan
perintah lsusb seperti pada gambar 4.80.
Gambar 4.80 Perintah lsusb
Sebelum konfigurasi gammu terlebih dahulu dilihat informasi port ttyUSB
dengan perintah wvdialconf. Untuk menjalankan perintah tersebut lakukan
instalasi wvdial.
75
Gambar 4.81 Instalasi wvdial
Gambar 4.82 Informasi Port Modem
Pada gambar di atas terlihat informasi port modem. Untuk pemilihan
ttyUSB yang akan diisikan pada konfigurasi gammu berikutnya, pastikan memilih
ttyUSB yang tidak terdapat pesan error.
76
Selanjutnya melakukan konfigurasi file gammurc seperti yang ditunjukkan
pada gambar 4.83
Gambar 4.83 Konfigurasi gammurc
Setelah konfigurasi, melakukan pengecekan koneksi gammu dengan
modem dengan perintah gammu—identify seperti yang ditunjukkan pada gambar
4.84.
Gambar 4.84 Cek Koneksi gammu dan modem
Melakukan konfigurasi SMS daemon pada file gammu-smsdrc.
Konfigurasi dilakukan dengan penambahan konfigurasi seperti yang terlihat pada
gambar 4.85.
77
Gambar 4.85 Konfigurasi gammu-smsdrc
Menyalin file bawaan gammu seperti yang ditunjukkan pada gambar 4.86
dan pada gambar 4.87 menunjukkan perintah menyalin file mysql.sql.gz dan
sekaligus mengekstrak file.
Gambar 4.86 Menyalin file gammu
Gambar 4.87 Menyalin dan Mengekstrak File mysql.sql.gz
Pada gammu telah disediakan sql bawaan untuk itu penambahan tabel
database untuk gammu dapat dilakukan dengan menyalin file sql mysql.sql ke
database seperti yang terlihat pada gambar 4.88.
Gambar 4.88 Menyalin File ke Database
78
Menjalankan service gammu dengan perintah /etc/init.d/gammu-smsd
start. Pada gambar 4.89 terlihat service telah berjalan.
Gambar 4.89 Menjalankan Service Gammu
Untuk konfigurasi koneksi dengan snorby dan mengirim SMS secara
otomatis maka dibuat script koneksi_autosend seperti yang ditunjukkan pada
gambar 4.90
Gambar 4.90 Script Koneksi dengan Snorby dan SMS Otomatis
Pada gambar 4.91 merupakan daemon untuk menjalankan script
koneksi_autosend dan mengatur rentangan waktu pengiriman SMS berikutnya.
Gambar 4.91 Daemon koneksi_autosend
Daemon untuk menjalankan script koneksi_autosend belum berjalan
otomatis, masih memerlukan perintah /etc/daemon untuk berjalan maka dibuat
script upstart pada direktori /etc/init dengan nama daemon.conf seperti pada
gambar 4.92.
79
Gambar 4.92 Upstart Script daemon.conf
Mengatur hak akses file daemon.conf dengan perintah chmod +x
/etc/init/daemon dan mengkonfirmasi file pada upstart dengan perintah initctl list
|grep daemon. Konfigurasi selesai, kemudian menjalankan peringatan SMS
dengan perintah service daemon start seperti yang terlihat pada gambar 4.93.
Gambar 4.93 Menjalankan SMS Alert
4.2 Pengujian
Setelah tahap implementasi berupa konfigurasi sistem maka selanjutnya
melakukan pengujian. Pengujian yang dilakukan berupa pengujian serangan
terhadap honeypot dan snort untuk melihat sistem telah bekerja dengan baik serta
melakukan cek pada ponsel administrator untuk melihat SMS Alert telah
mengirim atau tidak pesan peringatan setelah adanya pernyerangan.
4.2.1 Pengujian Honeypot
Pengujian terhadap honeypot. Pengujian pada honeypot berupa pengujian
port scanning, pengujian serangan Denial of Service (DoS). Seperti yang
sebelumnya dijelaskan bahwa glastopf mensimulasikan webserver maka
dilakukan penambahan pengujian serangan Local File Inclusion (LFI) sederhana.
80
Sebelum mengakses honeypot ketikkan perintah python /usr/local/bin/glastopf-
runner pada direktori opt/glastopf untuk menjalankan glastopf.
Pengujian port scanning menggunakan Nmap. Pada gambar 4.94 terlihat
proses scanning port yang mendapatkan informasi terdapat 3 port yang terbuka,
yaitu port 22 yang berjalan service ssh, port 80 yang berjalan service HTTP yang
merupakan lokasi honeypot dan port 81 yang merupakan lokasi Apache yang
sebenarnya yang digunakan untuk menjalankan snorby.
Gambar 4.94 Proses Scanning Port
Pada gambar 4.95 di bawah ini terlihat honeypot mencatat adanya
beberapa request dan menampilkan alamat ip yang melakukan request yang
81
disebabkan oleh proses scanning port. Pada database honeypot akan tercatat
mengenai informasi bahwa telah ada yang melakukan port scanning, seperti yang
terlihat pada gambar 4.96.
Gambar 4.95 Informasi Adanya Request disebabkan Port Scanning
Gambar 4.96 Deteksi Nmap pada Database Honeypot
Pengujian serangan Denial of Service (DoS). Pengujian serangan
menggunakan aplikasi Pringle DDoS seperti yang terlihat pada gambar 4.97, yang
bekerja dengan memanggil command prompt untuk melakukan pengiriman paket
dalam jumlah besar ke ip target. Pengiriman paket ke ip target atau honeypot
terlihat pada gambar 4.98.
82
Gambar 4.97 Aplikasi Pringle DDoS
Gambar 4.98 Pengiriman Paket Dalam Jumlah Besar
Ketika serangan DoS terjadi honeypot tidak memberikan respon adanya
request atau serangan DoS dan karena tidak ada request yang terbaca maka tidak
ada data yang dimasukkan pada database.
Serangan LFI bertujuan untuk meng-include file apapun yang berada
didalam server. Untuk pengujian LFI yang dilakukan merupakan serangan LFI
sederhana dengan mengakses pada browser
http://10.20.29.135/index.php?page=../../../../../../../../../etc/passwd, dengan ini
akan ditampilkan informasi dari user pada server dan lokasinya seperti yang
terlihat pada gambar 4.99.
83
Gambar 4.99 Pengujian Serangan Remote File Inclusion (LFI)
Pada gambar 4.100 memperlihatkan honeypot mencatat adanya request
GET /index.php?page=../../../../../../../../../etc/passwd oleh ip 172.22.25.101 dan
menampilkan informasi direktori yang diakses.
Gambar 4.100 Informasi Adanya Request disebabkan LFI
Pada database honeypot juga akan terlihat informasi adanya serangan LFI
seperti yang terlihat pada gambar 4.101.
Gambar 4.101 Deketsi LFI pada Database Honeypot
84
4.2.2 Pengujian Snort
Untuk pengujian snort dilakukan port scanning dan serangan DoS.
Aplikasi yang digunakan sama dengan sebelumnya yaitu Nmap dan Pringle
DDoS. Menjalankan snort pada mode NIDS dengan menggunakan perintah
/usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0.
–A console berfungsi untuk menampilkan peringatan mode fast, -q merupakan
memilih mode quiet atau untuk tidak menampilakan banner dan status report, -u
snort untuk menjalankan snort sebagai user yang digunakan setelah startup, -g
snort untuk menjalankan snort sebagai group yang digunakan setelah startup -c
/etc/snort/snort.conf merupakan path file snort.conf dan -i eth0 merupakan
interface yang di pantau snort. Dengan perintah tersebut, maka akan terlihat snort
menampilkan traffic atau paket-paket yang melalui eth0.
Pada gambar 4.102 terlihat hasil deteksi snort saat terjadi port scanning
dan terdapat informasi ip 172.22.25.101 yang melakukan port scanning.
Gambar 4.102 Hasil Deteksi Port Scanning pada Snort
Sebelumnya pada implementasi telah diinstal snorby yang menghasilkan
log dalam bentuk GUI. Untuk melihat log akses snorby pada browser dengan ip
10.20.29.135:81, pada gambar 4.103 terlihat tampilan login snorby.
85
Gambar 4.103 Halaman Login snorby
Pada gambar 4.104 terlihat log dari port scanning yang dilakukan terhadap
ip 10.20.29.135.
Gambar 4.104 Log Port Scanning pada Snorby
86
Selanjutnya pada gambar 4.105 terlihat hasil deteksi snort bahwa terdapat
informasi traffic atau paket yang mencurigakan dari ip 172.22.25.101 dan
serangan di klasifikasikan sebagai serangan DoS. Dan pada gambar 4.106 terlihat
log serangan DoS pada snorby.
Gambar 4.105 Hasil Deteksi DoS pada Snort
Gambar 4.106 Log Serangan DoS pada Snorby
87
Pada gambar 4.107 terlihat dashboard dari snorby yang memberikan
informasi jumlah dari log atau event yang tercatat oleh snort dalam bentuk
pengelompokkan tingkatan bahaya serangan, mulai dari low severity, medium
severity dan high severity. Selain itu juga terdapat sensor dalam bentuk grafik
garis.
Gambar 4.107 Dashboard Snorby
4.2.3 Pengujian SMS Alert
Setelah pengujian serangan, dilakukan pengecekan pada telepon selular
administrator untuk melihat SMS Alert yang masuk. Pada gambar 4.108 terlihat
terdapat SMS Alert yang masuk pada telepon admin dan pada gambar 4.109
terlihat isi pesan yang disampaikan.
89
BAB V
PENUTUP
5.1 Kesimpulan
Setelah melakukan implementasi dan pengujian dari tugas akhir ini, yaitu
Implementasi Honeypot dan Intrusion Detection System Snort di Jurusan
Teknologi Informasi Politeknik Negeri Padang, maka didapatkan kesimpulan
sebagai berikut:
a. Snort yang telah dikonfigurasi pada sistem telah dapat mendeteksi adanya
penyerangan dan dengan dilengkapi beberapa aplikasi pendukung, snort
menghasilkan log yang dapat dipantau oleh administrator jaringan.
b. Honeypot dapat memantau request HTTP terhadap ip server.
c. Fitur SMS Alert telah dapat membantu administrator untuk mengetahui
jika terjadi penyerangan terhadap server dengan bantuan aplikasi gammu.
d. Beberapa serangan telah dilakukan terhadap honeypot dan snort,
diantaranya Port Scanning, Denial of Service (DoS), dan tambahan
pengujian Local File Inclusion (LFI) untuk honeypot. Untuk snort telah
mendeteksi serangan dengan tepat, sedangkan honeypot tidak mendeteksi
adanya serangan DoS. Dari serangan yang dilakukan, administrator telah
menerima pesan peringatan adanya penyerangan.
5.2 Saran
Untuk pengembangan dari sistem ini, maka berikut hal-hal yang dapat di
sarankan:
90
a. Untuk kedepannya selain deteksi serangan sebaiknya sistem juga dapat
melakukan tindakan pencegahan terhadap serangan yaitu dengan
dilengkapi Intrusion Prevention System (IPS).
b. Untuk honeypot (glastopf) dapat dikembangkan penggunaanya dengan
menjadikan honeypot sebagai server palsu yang disandingkan dengan
server asli sehingga dapat melindungi data dari server asli.
c. Pengujian serangan pada honeypot sebaiknya dilakukan lebih dalam lagi
terutama untuk serangan Local File Inclusion dan Remote File Inclusion
sehingga dapat diketahui lebih banyak mengenai kelemahan dari sistem
webserver untuk membangun sistem yang lebih baik.
91
DAFTAR PUSTAKA
[1] A, Ramadhika. 2012. SMS Gateway Menggunakan Gammu dan MySQL.
http://www.ubaya.ac.id/2014/content/articles_detail/33/SMS-Gateway-
menggunakan-Gammu-dan-MySQL.html. [10 September 2015]
[2] Alder, Revan, dkk. 2004. Snort 2.1 Intrusion Detection, Second Edition.
United States of America: O‟Reilly & Associates in the United States and
Canada.
[3] Angelescu, Silviu. 2010. CCNA Certification All-In-One For Dummies.
Canada: Wiley Publishing, Inc.
[4] Cihar, Michal. 2015. Gammu. http://wammu.eu/gammu/. [10 September
2015]
[5] Peter, Eric. 2008. A Pratical Guide to Honeypots.
http://www.cs.wustl.edu/~jain/cse571-09/ftp/honey.pdf. [05 Agustus 2015]
[6] Ruvalcaba, Cristian. 2009. Smart IDS-Hybrid Labrea Tarpit.
http://www.sans.org/reading-room/whitepapers/detection/smart-ids-hybrid-
labrea-tarpit-33254. [02 Agustus 2015]
[7] Tanenbaum, Andrew S. dan David J. Wetherall. 2011. Computer Netwroks
(5th
Ed.). Prentice Hall.
[8] Utama, Putra Setia. 2010. Pemahaman Sederhana si SMS Gateway.
http://teknojurnal.com/pemahaman-sederhana-si-sms-gateway/. [10
September 2015]
[9] Vetsch, Sven, dkk. 2010. Know Your Tools: Glastopf, A dynamic, low-
interaction web application honeypot. http://www.honeynet.org/files/KYT-
Glastopf-Final_v1.pdf. [06 Agustus 2015]
[10] Wirdasari, Dian. 2008. “Mengenal Teknik-Teknik Keamanan Komputer dan
Model-Model Serangannya (Security Attack Models)”. Jurnal SAINTIKOM.
Vol. 4 No. 1 Januari 2008.
ABSTRACT
Security system is an aspect that should be noted for the availability of a system
or the information can be maintained. Especially security on a server that is often
disrupted by the attacks that can damage the system or loss of important
information on the server. For it is necessary to build a security system for
monitoring and detecting attacks. One of them with building a honeypot system
and Intrusion Detection System (IDS). A honeypot is a system that can detect
attacks and simulate a service of the web server. Honeypot application that can
do that is glastopf. Snort is an IDS that detect attacks based on the rules that
existed at the snort and save on a log. Furthermore, with the addition of SMS
Alert feature, administrators can quickly know if the honeypot and snort detect
any suspicious traffic or attacks against the server. Especially for port scanning
and Denial of Service attacks.
Keywords: Security, Detection, Honeypot, Snort, SMS Alert
ABSTRAKSI
Keamanan sistem merupakan suatu aspek yang perlu diperhatikan agar
ketersediaan suatu sistem atau informasi dapat terjaga. Terutama keamanan pada
suatu server yang seringkali terganggu dengan adanya serangan sehingga dapat
merusak sistem ataupun hilangnya informasi penting yang ada pada server. Untuk
itu perlu dibangun sistem keamanan untuk memonitor dan mendeteksi serangan.
Salah satunya membangun sistem honeypot dan Intrusion Detection System (IDS).
Honeypot merupakan suatu sistem yang dapat mendeteksi serangan sekaligus
mensimulasikan suatu service dari web server. Aplikasi honeypot yang dapat
melakukan hal tersebut adalah glastopf. Snort merupakan salah satu IDS yang
mendeteksi serangan berdasarkan rules yang ada pada snort dan menyimpan pada
suatu log. Selanjutnya dengan penambahan fitur SMS Alert, administrator dapat
mengetahui secara cepat jika honeypot dan snort mendeteksi adanya traffic yang
mencurigakan atau penyerangan terhadap server. Terutama untuk port scanning
dan serangan Denial of Service.
Kata Kunci: Keamanan, Deteksi, Honeypot, Snort, SMS Alert
IMPLEMENTASI HONEYPOT DAN INTRUSION DETECTION SYSTEM
SNORT DI JURUSAN TEKNOLOGI INFORMASI POLITEKNIK NEGERI
PADANG
Aprisa Nolla1, Hj. Rasyidah, S. Si., MM
2, Ervan Asri, S. Kom., M. Kom
3
1Mahasiswa Jurusan Teknologi Informasi Politeknik Negeri Padang
2,3Jurusan Teknologi Informasi Politeknik Negeri Padang
E-mail: [email protected]
ABSTRAKSI
Keamanan sistem merupakan suatu aspek yang perlu diperhatikan agar ketersediaan suatu sistem atau informasi
dapat terjaga. Terutama keamanan pada suatu server yang seringkali terganggu dengan adanya serangan sehingga
dapat merusak sistem ataupun hilangnya informasi penting yang ada pada server. Untuk itu perlu dibangun sistem
keamanan untuk memonitor dan mendeteksi serangan. Salah satunya membangun sistem honeypot dan Intrusion
Detection System (IDS). Honeypot merupakan suatu sistem yang dapat mendeteksi serangan sekaligus
mensimulasikan suatu service dari web server. Aplikasi honeypot yang dapat melakukan hal tersebut adalah
glastopf. Snort merupakan salah satu IDS yang mendeteksi serangan berdasarkan rules yang ada pada snort dan
menyimpan pada suatu log. Selanjutnya dengan penambahan fitur SMS Alert, administrator dapat mengetahui
secara cepat jika honeypot dan snort mendeteksi adanya traffic yang mencurigakan atau penyerangan terhadap
server. Terutama untuk port scanning dan serangan Denial of Service.
Kata Kunci: Keamanan, Deteksi, Honeypot, Snort, SMS Alert
ABSTRACT
Security system is an aspect that should be noted for the availability of a system or the information can be
maintained. Especially security on a server that is often disrupted by the attacks that can damage the system or loss
of important information on the server. For it is necessary to build a security system for monitoring and detecting
attacks. One of them with building a honeypot system and Intrusion Detection System (IDS). A honeypot is a system
that can detect attacks and simulate a service of the web server. Honeypot application that can do that is glastopf.
Snort is an IDS that detect attacks based on the rules that existed at the snort and save on a log. Furthermore, with
the addition of SMS Alert feature, administrators can quickly know if the honeypot and snort detect any suspicious
traffic or attacks against the server. Especially for port scanning and Denial of Service attacks.
Keywords: Security, Detection, Honeypot, Snort, SMS Alert
1. PENDAHULUAN
1.1 Latar Belakang
Teknologi Informasi merupakan salah satu bidang ilmu yang secara terus menerus
dikembangkan. Hal ini dilakukan karena penggunannya yang banyak dan untuk memenuhi
kebutuhan serta kenyaman pengguna dalam melakukan aktifitas. Internet merupakan salah satu
teknologi yang peranannya sangat berguna di masyarakat. Internet digunakan oleh berbagai
kalangan masyarakat, seperti pelajar, karyawan, ibu rumah tangga dan masyarakat umum
lainnya.
Politeknik Negeri Padang merupakan salah satu perguruan tinggi yang ada di kota Padang
yang memiliki bangunan yang cukup luas. Setiap gedung yang ada di Politeknik Negeri Padang
telah dilengkapi dengan fasilitas internet untuk mendukung aktifitas belajar mengajar. Politeknik
Negeri Padang memiliki berbagai macam jurusan, salah satunya adalah jurusan Teknologi
Informasi (TI).
Semakin kompleks dan semakin pentingnya penggunaan suatu jaringan komputer pada
jurusan TI maka perlu dilengkapi dengan sistem keamanan yang baik untuk melindungi sistem
yang telah ada. Salah satu cara yang dapat dilakukan dengan membangun server honeypot dan
Intrusion Detection System (IDS) snort untuk memonitor dan mendeteksi serangan pada server.
Honeypot, seperti glastopf dapat berperilaku sebagai sebuah webserver atau dapat
dikatakan mensimulasikan webserver. Glastopf berjalan seperti layaknya sebuah webserver yaitu
mensimulasikan service HTTP sehingga penyerang akan mengira sedang menyerang sebuah
webserver dan glastopf akan menangkap informasi penyerangan. Sedangkan snort merupakan
salah satu IDS yang bersifat open source software yang dapat mendeteksi traffic yang
mencurigakan dan juga mencatat informasi penyerangan untuk kemudian dicatat pada sebuah
log. Dan dengan demikian administrator dapat mengetahui adanya percobaan penyerangan dan
dapat mempelajari kerentanan pada sebuah webserver.
Untuk lebih mempermudah administrator jaringan mengetahui apabila terjadi serangan,
maka akan ditambahkan fitur sms alert dengan menggunakan aplikasi gammu.
1.2 Tujuan
Adapun tujuan penulisan tugar akhir ini sebagai berikut:
1. Membangun dan mengkonfigurasi IDS snort pada server.
2. Membangun dan mengkonfigurasi honeypot (glastopf) pada server.
3. Membangun dan mengkonfigurasi pesan peringatan melalui SMS alert.
4. Melakukan pengujian serangan terhadap server honeypot (glastopf) dan IDS snort serta
administrator jaringan menerima peringatan adanya serangan melalui SMS alert.
2. METODE PENELITIAN
Beberapa metodologi yang digunakan dalam penulisan tugas akhir ini, yaitu:
1. Studi Literatur
Melakukan studi literatur, yaitu mengumpulkan dan menentukan referensi yang sesuai
dengan topik dan pembahasan pada penyelesaian tugas akhir dari perpustakaan dan internet
untuk kemudian dicantumkan pada bagian latar belakang atau dasar acuan pelaksanaan tugas
akhir.
2. Perancangan
Melakukan analisa terhadap masalah yang akan dibahas dan diselesaikan. Kemudian
melakukan perancangan sistem yang akan dibangun mulai dari perancangan sistem operasi dan
aplikasi yang digunakan hingga pengujian terhadap sistem yang telah dibangun.
3. Implementasi dan Pembahasan
Melakukan implementasi pada server sesuai dengan rancangan yang telah dibuat, yaitu
penginstalan dan konfigurasi snort, instalasi dan konfigurasi honeypot (aplikasi glastopf), dan
instalasi dan konfigurasi aplikasi lainnya yang diperlukan. Selanjutnya akan dibuat pembahasan
terhadap setiap langkah-langkah yang dilakukan.
4. Pengujian dan Analisa
Melakukan uji implementasi terhadap server untuk melihat sistem yang dibangun telah berjalan
dan berfungsi sesuai dengan tujuan sistem dibangun dan melakukan analisa terhadap hasil dari
pengujian.
3. HASIL DAN PEMBAHASAN
3.1 Analisis Sistem
Implementasi dilakukan pada gedung E lantai 3 jurusan Teknologi Informasi (TI) Politeknik
Negeri Padang. Pada gambar 3.1 terlihat topologi jaringan gedung E lantai 3 jurusan TI.
Gambar 3.1 Topologi Jaringan Gedung E Lantai 3 Jurusan TI
Pada ruangan labor setiap komputer diatur menggunakan IP statik seperti yang terlihat pada
gambar 3.2. Pada beberapa ruangan, yaitu ruang kepala jurusan, ruang kepala labor, dan tiga
komputer didepan ruangan kepala labor menggunakan IP DHCP dengan alamat network
10.20.29.0/24. Pada gedung E lantai 3 terdapat 3 buah access point (AP), yaitu AP 1, AP 2, dan
AP 3. Setiap access point terhubung ke distribute switch. Untuk komputer pada ruang kepala
jurusan dan ruangan kepala labor terhubung langsung ke distribute switch. Terdapat sebuah
switch yang terhubung ke distribute switch, setiap switch yang terdapat pada labor sistem
informasi, labor multimedia, labor uji kompetensi, labor jaringan, labor pemrograman 1, labor
pemrograman 2, labor instalasi komputer, ruang server, dan 3 komputer di depan ruang kepala
labor terhubung ke switch tersebut.
3.2 Perancangan
Berdasarkan analisis yang dilakukan terhadap topologi jaringan pada Gedung E lantai 3
jurusan TI Politeknik Negeri Padang, maka akan dibangun sistem yang terdiri dari honeypot dan
intrusion detection system (IDS) snort. Sistem honeypot dan snort akan dibangun pada sebuah
server virtual pada server proxmox seperti yang terlihat pada gambar 3.2.
Gambar 3.2 Topologi Jaringan Gedung E Lantai 3 Jurusan TI dengan Penambahan Server
Glastopf dan Snort
Perancangan sistem di awali dengan melakukan instalasi sistem operasi pada server virtual
yang dibangun pada server proxmox. Sistem operasi yang digunakan adalah sistem operasi Linux
Ubuntu Server 14.04.3 LTS. Selanjutnya akan dilakukan instalasi dan konfigurasi intrusion
detection system (IDS) snort dan dilanjutkan dengan instalasi dan konfigurasi honeypot.
Honeypot yang akan digunakan adalah glastopf.
Untuk mempermudah administrator dalam mendapatkan informasi adanya traffic yang
mencurigakan atau penyerangan, maka akan di bangun pesan peringatan melalui Short Message
Service (SMS) dengan menggunakan aplikasi gammu. Rancangan sistem secara umum terlihat
seperti gambar 3.3.
Gambar 3.3 Rancangan Sistem Secara Umum
3.3 Pengujian
3.3.1 Pengujian Honeypot
Pengujian terhadap honeypot. Pengujian pada honeypot berupa pengujian port scanning,
pengujian serangan Denial of Service (DoS). Seperti yang sebelumnya dijelaskan bahwa glastopf
mensimulasikan webserver maka dilakukan penambahan pengujian serangan Local File
Inclusion (LFI) sederhana.
Pengujian port scanning menggunakan Nmap. Pada gambar 3.4 terlihat proses scanning
port yang mendapatkan informasi terdapat 3 port yang terbuka, yaitu port 22 yang berjalan
service ssh, port 80 yang berjalan service HTTP yang merupakan lokasi honeypot dan port 81
yang merupakan lokasi Apache yang sebenarnya yang digunakan untuk menjalankan snorby.
Gambar 3.4 Proses Scanning Port
Pada database honeypot akan tercatat mengenai informasi bahwa telah ada yang melakukan
port scanning, seperti yang terlihat pada gambar 3.5.
Gambar 3.5 Deteksi Nmap pada Database Honeypot
Pengujian serangan Denial of Service (DoS). Pengujian serangan menggunakan aplikasi
Pringle DDoS, yang bekerja dengan memanggil command prompt untuk melakukan pengiriman
paket dalam jumlah besar ke ip target. Pengiriman paket ke ip target atau honeypot terlihat pada
gambar 3.6.
Gambar 3.6 Pengiriman Paket Dalam Jumlah Besar
Ketika serangan DoS terjadi honeypot tidak memberikan respon adanya request atau
serangan DoS dan karena tidak ada request yang terbaca maka tidak ada data yang dimasukkan
pada database.
Serangan LFI bertujuan untuk meng-include file apapun yang berada didalam server.
Untuk pengujian LFI yang dilakukan merupakan serangan LFI sederhana dengan mengakses
pada browser http://10.20.29.135/index.php?page=../../../../../../../../../etc/passwd, dengan ini akan
ditampilkan informasi dari user pada server dan lokasinya seperti yang terlihat pada gambar 3.7.
Gambar 3.7 Pengujian Serangan Remote File Inclusion (LFI)
Pada gambar 3.8 memperlihatkan honeypot mencatat adanya request GET
/index.php?page=../../../../../../../../../etc/passwd oleh ip 172.22.25.101 dan menampilkan
informasi direktori yang diakses.
Gambar 3.8 Informasi Adanya Request disebabkan LFI
Pada database honeypot juga akan terlihat informasi adanya serangan LFI seperti yang
terlihat pada gambar 3.9.
Gambar 3.9 Deketsi LFI pada Database Honeypot
3.3.2 Pengujian Snort
Untuk pengujian snort dilakukan port scanning dan serangan DoS. Aplikasi yang digunakan
sama dengan sebelumnya yaitu Nmap dan Pringle DDoS. Pada gambar 3.10 terlihat hasil deteksi
snort saat terjadi port scanning dan terdapat informasi ip 172.22.25.101 yang melakukan port
scanning.
Gambar 3.10 Hasil Deteksi Port Scanning pada Snort
Sebelumnya pada implementasi telah diinstal snorby yang menghasilkan log dalam
bentuk GUI. Untuk melihat log akses snorby pada browser dengan ip 10.20.29.135:81. Pada
gambar 3.11 terlihat log dari port scanning yang dilakukan terhadap ip 10.20.29.135.
Gambar 3.11 Log Port Scanning pada Snorby
Selanjutnya pada gambar 3.12 terlihat hasil deteksi snort bahwa terdapat informasi traffic
atau paket yang mencurigakan dari ip 172.22.25.101 dan serangan di klasifikasikan sebagai
serangan DoS.
Gambar 3.12 Hasil Deteksi DoS pada Snort
3.3.3 Pengujian SMS Alert
Setelah pengujian serangan, dilakukan pengecekan pada telepon selular administrator untuk
melihat SMS Alert yang masuk. Pada gambar 3.13 terlihat terdapat SMS Alert yang masuk pada
telepon admin dan pada gambar 3.14 terlihat isi pesan yang disampaikan.
Gambar 3.13 Pesan Masuk Mengenai SMS Alert
Gambar 3.14 Isi SMS Alert
4. KESIMPULAN
Setelah melakukan implementasi dan pengujian dari tugas akhir ini, yaitu Implementasi
Honeypot dan Intrusion Detection System Snort di Jurusan Teknologi Informasi Politeknik
Negeri Padang, maka didapatkan kesimpulan sebagai berikut:
a. Snort yang telah dikonfigurasi pada sistem telah dapat mendeteksi adanya penyerangan
dan dengan dilengkapi beberapa aplikasi pendukung, snort menghasilkan log yang dapat
dipantau oleh administrator jaringan.
b. Honeypot dapat memantau request HTTP terhadap ip server.
c. Fitur SMS Alert telah dapat membantu administrator untuk mengetahui jika terjadi
penyerangan terhadap server dengan bantuan aplikasi gammu.
d. Beberapa serangan telah dilakukan terhadap honeypot dan snort, diantaranya Port
Scanning, Denial of Service (DoS), dan tambahan pengujian Local File Inclusion (LFI)
untuk honeypot. Untuk snort telah mendeteksi serangan dengan tepat, sedangkan
honeypot tidak mendeteksi adanya serangan DoS. Dari serangan yang dilakukan,
administrator telah menerima pesan peringatan adanya penyerangan.
5. DAFTAR PUSTAKA
A, Ramadhika. 2012. SMS Gateway Menggunakan Gammu dan MySQL.
http://www.ubaya.ac.id/2014/content/articles_detail/33/SMS-Gateway-menggunakan-
Gammu-dan-MySQL.html. [10 September 2015]
Alder, Revan, dkk. 2004. Snort 2.1 Intrusion Detection, Second Edition. United States of
America: O’Reilly & Associates in the United States and Canada.
Angelescu, Silviu. 2010. CCNA Certification All-In-One For Dummies. Canada: Wiley
Publishing, Inc.
Cihar, Michal. 2015. Gammu. http://wammu.eu/gammu/. [10 September 2015]
Peter, Eric. 2008. A Pratical Guide to Honeypots. http://www.cs.wustl.edu/~jain/cse571-
09/ftp/honey.pdf. [05 Agustus 2015]
Ruvalcaba, Cristian. 2009. Smart IDS-Hybrid Labrea Tarpit. http://www.sans.org/reading-
room/whitepapers/detection/smart-ids-hybrid-labrea-tarpit-33254. [02 Agustus 2015]
Tanenbaum, Andrew S. dan David J. Wetherall. 2011. Computer Netwroks (5th
Ed.). Prentice
Hall.
Utama, Putra Setia. 2010. Pemahaman Sederhana si SMS Gateway.
http://teknojurnal.com/pemahaman-sederhana-si-sms-gateway/. [10 September 2015]
Vetsch, Sven, dkk. 2010. Know Your Tools: Glastopf, A dynamic, low-interaction web
application honeypot. http://www.honeynet.org/files/KYT-Glastopf-Final_v1.pdf. [06
Agustus 2015]
Wirdasari, Dian. 2008. “Mengenal Teknik-Teknik Keamanan Komputer dan Model-Model
Serangannya (Security Attack Models)”. Jurnal SAINTIKOM. Vol. 4 No. 1 Januari 2008.