Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B

Universitas Bina Darma(Tamsir Ariyadi)

IMPLEMENTASI INTRUSION PREVENTION SYSTEM(IPS)

PADA JARINGAN KOMPUTER KAMPUS B

UNIVERSITAS BINA DARMA

Tamsir Ariyadi1, Yesi Novaria Kunang

2 , Rusmala Santi

3

Dosen Universitas Bina Darma 2,3

, Mahasiswa Universitas Bina Darma 1

Jalan Jenderal Ahmad Yani No.12 Palembang

Pos-el: tamsir.ariyadi@gmail.com1, yesinovariakunang@gmail.com

2,

rusmalasanti@mail.binadarma.ac.id3

ABSTRACT: The development of computer network technology as a medium for data communications to this

increase. Intrusion Detection System (IDS) is an intrusion detection system is a software application or hardware

device that works automatically to monitor events on a computer network and analyze network security issues. IDS is

the first signaling intruder if someone tries to break into computer security systems. In general, infiltration could

mean an attack or a threat to the security and integrity of data, as well as measures or attempts to pass through the

security system made by someone from the internet or from within the system. Intrusion Prevention System (IPS) is

an application that works to monitor network traffic, detect suspicious activity, and early prevention against

intrusion or events that can create a network to run not like as it should. It could be because of an attack from the

outside, and so on. IPS In this proposal will be implemented on the university campus computer network Bina Darma

B are connected using a LAN cable. By utilizing IDS as detection and monitoring networks and IP Tables as the

antidote to the attack.

Keywords: IDS, IPS, IPTables, Computer Networking Technology

ABSTRAK: Perkembangan teknologi jaringan komputer sebagai media komunikasi data hingga saat ini semakin

meningkat. Intrusion Detection System (IDS) adalah sistem pendeteksi gangguan yaitu sebuah aplikasi perangkat

lunak atau perangkat keras yang bekerja secara otomatis untuk memonitor kejadian pada jaringan komputer dan

menganalisis masalah keamanan jaringan. IDS adalah pemberi sinyal pertama jika seseorang penyusup mencoba

membobol sistem keamanan komputer. Secara umum penyusupan bisa berarti serangan atau ancaman terhadap

keamanan dan integritas data, serta tindakan atau percobaan untuk melewati sistem keamanan yang dilakukan oleh

seseorang dari internet maupun dari dalam sistem. Intrusion Prevention System (IPS) adalah sebuah aplikasi yang

bekerja untuk memonitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan

dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana

mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya. Dalam proposal ini IPS akan

diimplementasikan pada jaringan komputer kampus B universitas bina darma yang terhubung menggunakan kabel

LAN. Dengan memanfaatkan IDS sebagai pendeteksi dan memonitor jaringan serta IPTables sebagai penangkal

serangan.

Kata kunci:IDS, IPS, IPTables, Teknologi Jaringan Komputer.

I. PENDAHULUAN 1.1 Latar Belakang

Keadaan seperti saat ini yang tidak lepas

dari internet dimana teknologi jaringan komputer

yang dinamis merupakan suatu kebutuhan yang

sangat penting untuk memperlancar segala

aktivitas dalam segala bidang. Perkembangan ini

telah berhasil meningkatkan cara interaksi sosial,

komersial, politik, agama dan pribadi mengikuti

evolusi jaringan komputer secara global. Secara

umum, yang disebut jaringan komputer adalah

beberapa komputer yang saling berhubungan dan

melakukan komunikasi satu dengan yang lain

menggunakan perangkat keras jaringan (ethernet

card, token ring, bridge, modem, dan lainnya).

Komputer yang berada dalam suatu jaringan

dapat melakukan tukar-menukar informasi/data

dengan komputer lain yang berada dalam

Jurnal Ilmiah Teknik Informatika Ilmu Komputer

Vol. 14 No.2 September 2012: 1-14

jaringan tersebut. Pengguna suatu komputer

dapat melihat dan mengakses data pada

komputer lain dalam jaringan apabila dilakukan

file sharing.

Pada saat jaringan internet sudah

digunakan orang di berbagai belahan bumi.

Selain membawa dampak positif, internet juga

mempunyai dampak negatif, yang menimbulkan

masalah baru yang sangat mengancam yaitu

masalah keamanan jaringan. Ancaman keamanan

ini banyak sekali ditemukan oleh user seperti

virus, Malicious, Trojan, Worm, DoS, Hacker,

Spoofing, Sniffing, Spamming, Crackers dan

lainnya, yang membuat tidak nyaman serta

mengancam sistem dan data pada saat kejadian

ini menyerang jaringan. Semakin besar suatu

jaringan maka akan semakin kompleks

administrasi dari jaringan itu, oleh karena.

Menurut Iwan Sofana (2009) menjelaskan bahwa

Keamanan jaringan komputer sebagai bagian

dari sebuah sistem informasi adalah sangat

penting untuk menjaga validitas dan integritas

data serta menjamin ketersediaan layanan bagi

penggunanya. Sistem harus dilindungi dari

segala macam serangan dan usaha-usaha

penyusupan oleh pihak yang tidak berhak.

Sistem keamanan komputer, dalam beberapa

tahun ini telah menjadi fokus utama dalam dunia

jaringan komputer, hal ini disebabkan tingginya

ancaman yang mencurigakan (Suspicious Threat)

dan serangan dari internet. Keamanan komputer

(Security) merupakan salah satu kunci yang

dapat mempengaruhi tingkat Reliability

(keandalan) termasuk performance (kinerja) dan

Availability (tersedia) suatu internetwork.

Universitas Bina Darma merupakan

salah satu instansi yang aktivitasnya didukung

oleh layanan jaringan internet, mulai dari

mengolah data yang ada, diantaranya sistem

KRS online, mail server dan web portal di tiap

unit kerja. Administrator jaringan komputer

Universitas Bina Darma membangun sistem

keamanan jaringan dengan menerapkan sistem

firewall dan proxy server pada tiap unit server

termasuk server yang ada di kampus B.

Keamanan yang menggunakan sistem

firewall dan proxy server ini tidak semuanya

dapat terkendali, terkadang masih ada cela bagi

hackers, virus, dan sebagainya bisa di firewall.

Teknologi yang canggih yang bisa menggunakan

berbagai tools untuk bisa melewati firewall yang

dibangun.

Oleh karena itu, penerapan IPS

(Intrusion Prevention System) diusulkan sebagai

salah satu solusi yang dapat digunakan untuk

membantu pengaturan jaringan dalam memantau

kondisi jaringan, menganalisa paket-paket serta

mencegah segala hal yang dapat membahayakan

jaringan tersebut, hal ini bertujuan untuk

mengatasi segala ancaman seperti hacker,

cracker dan user yang tidak dikenal. Sistem

pencegahan penyusupan dengan menggunakan

Snort IDS dan IPTables Firewall, bekerja

dengan membangun sebuah mesin yang

membaca parameter IP asal penyerang pada

tampilan alert yang memerintahkan firewall

untuk memblok akses dari IP penyerang tersebut.

Pada penelitian ini penulis akan

mengimplementasikan Intrusion Prevention

System(IPS) pada jaringan komputer kampus B

Univeritas Bina Darma sebagai solusi untuk

Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B

Universitas Bina Darma(Tamsir Ariyadi)

keamanan jaringan. Dimana penulis akan

mengimplementasikan Intrusion Prevention

System(IPS) dengan menggunakan snort

Intrusion Detection System(IDS) dan IPTables

Firewall. Berdasarkan latar belakang diatas,

penulis akan melakukan penelitian dengan judul

“Implementasi Intrusion Prevention System(IPS)

Pada Jaringan Komputer Kampus B Universitas

Bina Darma”.

1.2 Perumusan Masalah

Berdasarkan latar belakang diatas, maka

penulis merumuskan permasalahan dalam

penelitian ini yaitu: Bagaimana

mengimplementasikan Intrusion Prevention

System dengan memanfaatkan Router Cisco

1700 series dan Switch Catalyst 2950 pada ruang

VLAN server kampus B Universitas Bina

Darma?.

1.3 Batasan Masalah

Dalam penelitian ini penulis membatasi

permasalahan agar tetap terarah dan tidak

menyimpang dari apa yang sudah direncanakan

sebelumnya. Adapun batasan masalah dalam

penelitian ini adalah:

1. Menggunakan snort IDS(Intrusion

Detection System) sebagai pendeteksi

penyusupan.

2. Memanfaatkan IPTables Firewall

sebagai pencegahan.

1.4 Tujuan dan Manfaat

1.4.1 Tujuan

Dapat memonitor dan mencegah serta

meminimalisir segala ancaman-ancaman pada

jaringan komputer kampus B Universitas Bina

Darma serta mengevaluasi secara singkat

dampak dari implementasi.

1.4.2 Manfaat

Adapun manfaat dari penelitian ini

adalah sebagai berikut:

1. Membantu dalam meningkatkan

keamanan jaringan pada Universitas

Bina Darma.

2. Sebagai pendeteksi dan pencegahan

segala ancaman-ancaman terhadap

jaringan komputer.

3. Meningkatkan dan mengembangkan

pengetahuan bagi penulis tentang

keamanan jaringan komputer.

4. Diharapkan dapat mengoptimalkan

kinerja jaringan komputer kampus B

Universitas Bina Darma.

II. METODOLOGI PENELITIAN

2.1 Metode Pengumpulan Data

Dalam melakukan pengumpulan data,

penulis menggunakan beberapa cara yaitu:

1. Studi kepustakaan, Data diperoleh

melalui studi kepustakaan yaitu dengan

mencari bahan dari internet, jurnal dan

perpustakaan serta buku yang sesuai

dengan objek yang akan diteliti.

2. Pengamatan, Data dikumpulkan dengan

melihat secara langsung dari objek yang

diteliti pada VLAN server kampus B

Universitas Bina Darma.

3. Wawancara, Data dikumpulkan dengan

cara melakukan diskusi dengan pihak

yang terkait dengan sistem IT yang

ada di Universitas Bina Darma

Jurnal Ilmiah Teknik Informatika Ilmu Komputer

Vol. 14 No.2 September 2012: 1-14

untuk memperoleh informasi

langsung dari sumbernya.

2.2 Metode Penelitian

Metode penelitian yang digunakan

dalam penelitian ini menggunakan metode

penelitian tindakan atau action research.

Menurut Guritno, Sudaryono, dan Raharja

(2011:46) Action Research merupakan bentuk

penelitian tahapan(applied research) yang

bertujuan mencari cara efektif yang

menghasilkan perubahan disengaja dalam suatu

lingkungan yang sebagian dikendalikan

(dikontrol).

Action research menurut Davison,

Martinsons dan Knock(2004) yaitu penelitian

tindakan yang mendeskripsikan, menginterpretasi

dan menjelaskan suatu situasi sosial atau pada

waktu bersamaan dengan melakukan perubahan

atau intervensi dengan tujuan perbaikan atau

partisipasi. Adapun tahapan penelitian yang

merupakan bagian dari action research ini, yaitu:

1. Melakukan diagnose(Diagnosing)

2. Membuat rencana tindakan(Action

Planning)

3. Melakukan tindakan(Action Taking)

4. Melakukan evaluasi(Evaluating)

5. Pembelajaran(Learning)

III. HASIL

Setelah tahap demi tahap peneliti

lakukan dalam Implementasi Intrusion

Prevention System(IPS) pada jaringan komputer

dengan snort IDS sebagai pendeteksi dan

iptables firewall sebagai pencegah penyusupan.

Untuk mengaktifkan mode sistem deteksi

penyusup jaringan(Network Intrusion Detection

System). Dimana snort.conf adalah nama file

tempat rule-rule Intrusion Detection System

disimpan. Rule-rule yang telah tersimpan

tersebut dapat memutuskan tindakan apa yang

akan dilakukan terhadap setiap paket yang

ditemukan sesuai rule-rule yang telah

ditetapkan. Berikut merupakan ouput snort

dengan network intrusion detection pada gambar

3.1:

Gambar 3.1 Output network intrusion detection

Berikutnya menampilkan jenis serangan

port 22 pada komputer server yang terjadi di

aplikasi base seperti tampak pada gambar 3.2:

Gambar 3.2 Informasi serangan melalui port 22

Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B

Universitas Bina Darma(Tamsir Ariyadi)

Jenis serangan yang sedang mengakses

web server snort yang ditandai pada bagian

signature yaitu someone is watching your

website by port 22 melalui port 22 membanjiri

layanan jaringan

Gambar 3.3 Informasi serangan melalui port 80

3.1 Pengujian Intrusion Prevention

System(IPS)

Untuk menguji sistem yang telah dibuat,

terlebih melakukan uji coba terhadap server yang

dibuat, beberapa percobaan serangan antara lain

sebagai sebagai berikut:

a. ICMP flood

Gambar.3.4 Pengiriman paket ICMP flood

Melakukan percobaan penyerangan

terhadap server yang telah dibangun dengan

melancarkan pengirimkan paket ICMP dalam

ukuran besar sehingga dikategorikan sebagai

DOS attack(Denial of Service), adapun proses

penyerangan dimulai dengan membuka

command prompt melalui komputer client lalu

mengetikan perintah ping 172.168.10.3 –l 10000

–t.

b. UDP flood

Gambar 3.5 Pengiriman paket UDP flood

UDP flood mengaitkan dua sistem tanpa

disadari. Dengan cara spoofing, UDP flood

attack akan menempel pada servis UDP, untuk

keperluan “percobaan” akan mengirimkan

sekelompok karakter ke mesin lain, yang

diprogram untuk meng-echo setiap kiriman

karakter yang diterima melalui servis chargen.

Pada gambar 4.14 diatas penyerang

mengirimkan paket UDP flood menggunakan

UDP Test Tool 3.0 ke server dengan melakukan

pengiriman setiap detik.

c. Port Scanning

Gambar 3.6 Scanning port scan

Jurnal Ilmiah Teknik Informatika Ilmu Komputer

Vol. 14 No.2 September 2012: 1-14

Scanning terhadap server untuk

mendapatkan letak kelemahan sistem jaringan

dan mengetahui tentang port-port yang terbuka

pada server. Percobaan dilakukan dengan

menggunakan NetTools 5.

d. SYN Flood DoS

Gambar 3.7 SYN Flood DoS 1

Penyerang akan mengirimkan paket-

paket SYN ke dalam port-port yang sedang

berada dalam keadaan listening yang berada

dalam host target. Pada percobaan pada gambar

diatas target www.binadarma.ac.id dan port 80.

3.2 Setelah Pengujian Server di VLAN

Server Setelah melakukan pengujian terhadap

server Intrusion Prevention System(IPS) dengan

melakukan beberapa serangan. Pengujian

dilakukan di VLAN server dengan meletakan

server Intrusion Prevention System (IPS).

Langkah pertama yang harus dilakukan adalah

meletakan PC network sensor yang terhubung

Switch di VLAN server, Kemudian melalui PC

Client melakukan monitoring terhadap serangan

yang terjadi dengan membuka alamat

http://172.168.10.3/base base seperti pada

gambar dibawah ini:

Gambar 3.8 Tampilan Aplikasi Base

Selanjutnya adalah mengamati bentuk-

bentuk serangan yang sudah terekam pada

database aplikasi base seperti serangan melalui

protocol TCP, UDP, ICMP dan Raw IP, bentuk

serangan yang terjadi dapat dilihat pada gambar-

gambar 3.7 dibawah ini:

Gambar 3.9 Serangan melalui protocol TCP

Serangan melalui protocol TCP akan

tampak seperti gambar diatas yang terlihat pada

bagian Layer 4 Protocol yang bisa

memperlambat dan menggangu kinerja jaringan.

Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B

Universitas Bina Darma(Tamsir Ariyadi)

Gambar 3.10 Serangan melalui protocol ICMP

Jenis serangan melalui protocol ICMP

yang akan membanjiri suatu jaringan serta

memperlambat jaringan dengan mengirimkan

pesan yaitu Community SIP TCP/IP Message

flooding directed SIP Proxy.

Untuk mencari kejadian-kejadian pada

jaringan dengan menggunakan BASE baik

menurut jam, hari, 15 alert terbaru, source dan

destination port terakhir, frekuensi 15 address

terakhir dan sebagainya telah tersedia oleh BASE

console dengan snapshot view pada main page

dari BASE. Seperti pada gambar 3.8 dibawah ini:

Gambar 3.11 Traffic Sensor

3.3 Pembahasan

a. Membatasi flood ICMP

Untuk menguji firewall dengan cara

melancarkan paket serangan ke sistem yang

dilindungi oleh IPS. Pada pengujian ini

dikirimkan paket ICMP dalam ukuran besar

sehingga dikategorikan sebagai DOS

attack(denial of service). Dengan mengetikan

perintah ping 10.237.3.91 –l 10000 –t. Berikut

pengujian yang dilakukan client terhadap Server:

Gambar 3.12 Output ICMP Flood

b. Membatasi UDP Flood

Gambar 3.13 Output UDP Test Tool

Pembatasan flood UDP dilakukan dengan

memasukan IP target, maka tampil pengiriman

pada aplikasi UDP Test Tool 3.0 diterima setiap

10 detik. Adapun perintah di iptables : # iptables

–A INPUT –p –m limit –limit 10/s –j ACCEPT.

Apabila terjadi UDP flood maka firewall akan

merespon dan membatasinya seperti terlihat pada

gambar 4.31 diatas, rentang waktunya melambat.

Jurnal Ilmiah Teknik Informatika Ilmu Komputer

Vol. 14 No.2 September 2012: 1-14

c. Port Scan

3.14 Output port scaning

Setelah melakukan penyerangan

terhadap server, port scanner akan mengalami

perubahan rentang waktunya dan tidak

sebagaimana mestinya sebelum diterapkan

perintah di iptables. Pada aplikasi Net Tools 5

terlihat scanning melambat tidak seperti

biasanya, itu karena firewall sudah merespon

atau membatasi akses ke server. Adapun rule

port scan di iptables firewall sebagai berikut:

Perintah Keterangan

#iptables -A INPUT -p tcp

--tcp-flags SYN,ACK

SYN,ACK -m state --state

NEW -j DROP

#iptables -A INPUT -p tcp

--tcp-flags ALL NONE -j

DROP

#iptables -A INPUT -p tcp

--tcp-flags SYN,FIN

SYN,FIN -j DROP

#iptables -A INPUT -p tcp

--tcp-flags SYN,RST

SYN,RST -j DROP

#iptables -A INPUT -p tcp

--tcp-flags ALL

SYN,RST,ACK,FIN,URG -j

DROP

#iptables -A INPUT -p tcp

--tcp-flags FIN,RST

FIN,RST -j DROP

Karena port

scanning berfungsi

melakukan

pendeteksian port-

port yang terbuka,

maka pada rule

iptables firewall

diatas bahwa

protocol tcp SYN,

ACK SYN, ACK,

Fin SYN, Fin,

RST SYN, RST,

URG dan PSH

akan ditolak.

Iptables firewall

akan melakukan

respon terhadap

scanning, scan

yang dilakukan

terhadap port jadi

#iptables -A INPUT -p tcp

--tcp-flags ACK,FIN FIN -j

DROP

#iptables -A INPUT -p tcp

--tcp-flags ACK,PSH PSH

-j DROP

#iptables -A INPUT -p tcp

--tcp-flags ACK,URG URG

-j DROP

harus ditolak hak

aksesnya karena

bisa menganggu

keamanan sistem

jaringan.

Tabel 3.1 Perintah iptables firewall port scaning

d. SYN Flood DoS

Setelah melakukan percobaan yang

dialokasikan oleh sistem penerima dapat

mengalami “kepenuhan” dan target merespon

koneksi yang datang hingga paket SYN yang

sebelumnya akan masuk ke server. Perintah pada

iptables firewall : #IPTABLES -A INPUT -p tcp

--syn -m limit --limit 3/s -j ACCEPT, Terlihat

pada gambar 4.33 bahwa nmap yang dilakukan

akan direspon oleh firewall, sehingga

membatasi setiap 3 detik oleh server jika

terdapat serangan SYN flood.

d. SYN Flood DoS

Gambar 3.15 Output SYN Flood DoS

Setelah melakukan percobaan yang

dialokasikan oleh sistem penerima dapat

mengalami “kepenuhan” dan target merespon

Implementasi Intrusion Prevention System(IPS) Pada Jaringan Komputer Kampus B

Universitas Bina Darma(Tamsir Ariyadi)

koneksi yang datang hingga paket SYN yang

sebelumnya akan masuk ke server. Perintah pada

iptables firewall: #IPTABLES -A INPUT -p tcp

--syn -m limit --limit 3/s -j ACCEPT, Terlihat

pada gambar 4.33 bahwa nmap yang dilakukan

akan direspon oleh firewall, sehingga

membatasi setiap 3 detik oleh server jika

terdapat serangan SYN flood.

IV. SIMPULAN

Berdasarkan hasil penelitian dan

pembahasan yang telah diuraikan dalam

penelitian yang berjudul Implementasi Intrusion

Prevention System (IPS) Pada Jaringan

Komputer Kampus B Universitas Bina Darma

maka dapat disimpulkan sebagai berikut:

1. Serangan atau penyusupan dapat dicegah

dengan implementasi Intrusion

Prevention System(IPS).

2. Serangan dapat terdeteksi atau tidak

tergantung pola serangan tersebut ada di

dalam rule IDS atau tidak. Oleh karena itu,

pengelola IDS harus secara rutin

mengupdate rule terbaru.

3. Untuk mempermudah pengelolaan rule

perlu user interface (front end) seperti

webmin yang ditambahkan plugin snort

rule.

4. Untuk mempermudah analisis terhadap

catatan-catatan IDS (security event) perlu

ditambahkan module tambahan seperti

ACID.

5. Update rule pada firewall seharusnya

dalam bentuk daemon proses hingga

proses bekerja secara realtime.

6. Manajemen rule sebaiknya dibuat

tersendiri, dapat dilakukan dengan

pemrograman aplikasi berbasis web-bukan

di webmin.

V. DAFTAR PUSTAKA

Andi. 2005. Menjadi Administrator Jaringan

Komputer. Yogyakarta : Andi.

Abraham N.S. Jr.,Agus H., Alexander.2009,

Jurnal. Perancangan dan Impelementasi

Intrusion Detection System pada

Jaringan Nirkabel BINUS University.

Jakarta: BINUS University.

Eslam Mohsin Hassib et. al. / International

Journal of Engineering Science and

Technology.

Davison, R. M., Martinsons, M. G., Kock N.,

(2004), Journal : Information Systems

Journal : Principles of Canonical Action

Research 14, 65–86

Guritno, S, Sudaryono, dan Raharja, U. 2011.

Theory and Application of IT Research.

Yogyakarta : Andi.

Hartono, Puji.,(2006), Jurnal : Sistem

Pencegahan Penyusupan pada Jaringan

berbasis Snort IDS dan IPTables

Firewall.

(JTB_Journal of Technology and Business.

October 2007).

Jurnal SMARTek, Vol. 9 No. 3. Agustus

2011: 223 – 229.

Rafiudin, Rahmat, 2010. “Mengganyang

Hacker dengan Snort”. Yogyakarta :

Andi Offset.

Sofana, Iwan. 2010. CISCO CCNA &

JARINGAN KOMPUTER. Bandung :

Informatika.

Jurnal Ilmiah Teknik Informatika Ilmu Komputer

Vol. 14 No.2 September 2012: 1-14

Stiawan, Deris.,(2010), Jurnal : Intrusion

Prevention System (IPS) dan

Tantangan dalam

pengembanganya.(Dosen Jurusan

Sistem Komputer FASILKOM

UNSRI).

Tom, Thomas. 2005. “Networking Security

First-Step”. Yogyakarta : Andi

OFFSET.

Ulfa, Maria. 2012. Implementasi Intrusion

Detection System Di Jaringan

Universitas Bina Darma.

Palembang: Tidak diterbitkan.

https://help.ubuntu.com/10.04/serverguide/firewa

ll.html (diakses 10 Juli 2012)

http://www.linuxtopia.org/online_books/linux_sy

stem_administration/securing_and_optimizing_li

nux/Secure-optimize.html (diakses 10 Juli 2012)

http://www.cyberciti.biz/tips/linux-iptables-10-

how-to-block-common-attack.html (diakses 10

Juli 2012)

http://tomicki.net/syn.flooding.php(diakses 27

Juli 2012)