UG Jurnal Vol. 6 No. 05 Tahun 2012

IMPLEMENTASI INTRUSION SYSTEM (IDS) SNORT

Laboratorium pengembangan jaringan komputer merupakan salah satulaboratorium yang dimiliki Universitas, bertugas menyelenggarakan kegiatanpelatihan mengenai jaringan komputer bagi seluruh civitas akademika. Di dalamlaboratorium ini terdapat 30 komputer klien yang digunakan oleh peserta pelatihan.Komputer-komputer tersebut terhubung melalui sebuah patch-panel box (berisibeberapa hub dan switch) dan 1 buah PC router. Keamanan sebuah jaringankomputer diperlukan untuk menjaga validitas dan integritas data serta menjaminketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segalamacam serangan dan usaha-usaha Intrusi yang dapat merusak sistem yang ada.Untuk mengidentifikasi adanya Intrusi atau pemindaian oleh pihak-pihak yangtidak memiliki otoritas maka laboratorium pengembangan jaringan komputermenggunakan sebuah sistem pendeteksi intrusi - Intrusion Detection Systemmelalui snort.

Kata kunci : IDS, Jaringan, Keamanan.

ABSTRAK1Miftahul Jannah

2Hustinawati3Rangga Wildani

Fakultas Teknologi IndustriTeknik Informatika

Universitas Gunadarma1,2{miftah, hustina}@staff.gunadarma.ac.id3rangga_wildani@student.gunadarma.ac.id

PADA LABORATORIUM JARINGAN KOMPUTER

01

PENDAHULUAN

Sebuah jaringan komputer telahdidefinisikan sebagai sebuah kumpulansistem yang terhubung satu sama lainuntuk pengiriman informasi ataumenyerupai jaring laba-laba. Sebuahjaringan komputer memiliki tingkatkompleksitas yang tinggi karena semuaterhubung ke dalam jaringan tersebut.

Keamanan jaringan komputer sebagaibagian dari sebuah sistem informasiadalah sangat penting untuk menjagavaliditas dan integritas data sertamenjamin ketersediaan layanan bagipenggunanya. Sistem harus dilindungidari segala macam serangan dan usaha-usaha Intrusi atau pemindaian oleh pihakyang tidak berhak.

Intrusion Detection System yangnantinya akan disebut IDS merupakanusaha mengidentifikasi adanya penyusupyang memasuki sistem tanpa otorisasi(misal cracker) atau seorang user yangsah tetapi menyalahgunakan privilegesumber daya sistem. Intrusion DetectionSystem (IDS) atau Sistem Deteksi Intrusiadalah sistem komputer (bisa merupakankombinasi software dan hardware) yangberusaha melakukan deteksi Intrusi. IDSakan melakukan pemberitahuan saatmendeteksi sesuatu yang dianggapsebagai mencurigakan atau tindakanilegal.

Di sisi lain, sebuah sistem pencegahanintrusi merupakan software yangmemiliki semua kemampuan sistemdeteksi intrusi dan juga dapat mencobauntuk menghentikan insiden yangmungkin terjadi.

TINJAUAN PUSTAKA

A. Jaringan Komputer

Jaringan komputer ialah himpunan“interkoneksi” antara 2 komputerautonomous atau lebih terhubung denganmedia transmisi kabel atau tanpa kabel(wireless). Bila sebuah komputer dapatmembuat komputer lainnya restart,shutdown, atau melakukan kontrol

lainnya, maka komputer-komputertersebut bukan autonomous (tidakmelakukan kontrol terhadap komputerlain dengan akses penuh).

Secara umum jaringan komputerterbagi menjadi 3, yaitu :1. LAN (Local Area Network) yang

dibatasi oleh area yang relatif kecil.2. MAN (Metropolitan Area Network)

yang meliputi area yang lebih besard a r i L A N . D a l a m h a l i n imenghubungkan beberapa buahjaringan kecil ke dalam lingkunganarea yag lebih besar

3. WAN (Wide Area Network) yaitujaringan yang biasanya sudahmenggunakan media wireless, saranasatelit, ataupun kabel serat optik,karena jangkauannya yang lebih luas.Pada dasarnya setiap jaringan

komputer ada yang berfungsi sebagaiklien dan juga server. Tetapi tidak sedikitjuga jaringan yang memiliki komputerkhusus didedikasikan sebagai serversedangkan yang lain sebagai klien. Adajuga yang menjadikan komputer khususberfungsi sebagai server saja, atau jugasebaliknya komputer hanya digunakanhanya sebagai klien saja.

Karena itu berdasarkan fungsinyamaka ada dua jenis jaringan komputer,yaitu :1. Client - Server

jaringan client-server adalah jaringankomputer dimana suatu unitcomputer yang berfungsi sebagaiserver yang hanya memberikanlayanan bagi komputer lain, dan clientyang juga hanya meminta layanandari server.

2. Peer-to-peerJaringan peer-to-peer adalah suatumodel dimana tiap PC dapat memakairesource pada PC lain ataumemberikan resourcenya untukdipakai PC lain. Dengan kata laindapat berfungsi sebagai clientmaupun sebagai server pada periodeyang sama.

B. Standar OSI

Dalam suatu jaringan komputer, untukd a p a t s a l i n g b e r k o m u n i k a s idibutuhkannya suatu bahasa pemersatu.Hal ini biasa disebut dengan Protokol.Protokol adalah sekumpulan aturan-aturan yang mendefinisikan bagaimanaperalatan-peralatan dalam jaringan dapatberkomunikasi. Agar setiap peralatanjaringan dari suatu vendor dapat salingberkomunikasi dibuat standarisasi. Suatustandar yang banyak digunakan saat inia d a l a h s t a n d a r O p e n S y s t e mI n t e r c o n n e c t i o n ( O S I ) y a n gdikembangkan oleh InternationalStandard Organization (ISO). Padamodel standar OSI ini ditetapkan modellapisan atau layer, setiap lapisan memilikifungsi masing-masing. Pada standar OSIterdapat 7 lapisan/ layer , yaituApplication, Presentation, Session,Transport, Network, Data Link danPhysical.

C. Transmission Control Protocol/Internet Protocol (TCP/ IP)

Pada awalnya TCP/ IP diciptakan khususuntuk komunikasi jaringan DARPA. TCP/IP kemudian digunakan sebagai protokoljaringan yang digunakan oleh distribusiBerkeley Software yaitu UNIX. Tetapisekarang TCP/ IP menjadi standard defacto untuk komunikasi internetwork,server, dan protokol transportasi bagiinternet yang menjadikan jutaankomputer dapat berkomunikasi secaraglobal.

D. IP Address

Agar tiap-tiap komputer yang salingterhubung dengan jaringan dapat salingberkomunikasi satu dengan yang lainnyadibutuhkan suatu tata cara pengalamatanpada jaringan komputer. Dengan konsepdasar dari protokol TCP/ IP, setiapkomputer yang terhubung pada jaringanTCP/ IP harus mempunyai suatu alamatunik. Alamat ini dikenal sebagai InternetProtocol Number (IP Number/ IPAddress).

02 Jannah, Implementasi Intrusion System ...

E. Keamanan Komputer

Keamanan komputer adalah suatu cabangteknologi yang dikenal dengan namakeamanan informasi yang diterapkanpada komputer. Sasaran keamanankomputer antara lain adalah sebagaiperlindungan informasi terhadapp e n c u r i a n a t a u k o r u p s i , a t a upemeliharaan ketersediaan, sepertidijabarkan dalam kebijakan keamanan.

Menurut Garfinkel dan Spafford, ahlidalam keamanan komputer, komputerdikatakan aman jika bisa diandalkan dansoftwarenya bekerja sesuai dengan yangdiharapkan. Keamanan komputermemiliki 5 tujuan, yaitu Availability,Confidentiality, Data Integrity, Controldan Audit.

F. Intrusion Detection System (IDS)

Intrusion Detection System (disingkatIDS) adalah sebuah aplikasi software atauhardware yang dapat mendeteksi aktivitasyang mencurigakan dalam sebuah sistematau jaringan. IDS dapat melakukaninspeksi terhadap lalu lintas inbound danoutbound dalam sebuah sistem ataujaringan, melakukan analisis dan mencarib u k t i d a r i p e r c o b a a n i n t r u s i(penyusupan).

Gambar 1. Bagian IDS

G. Snort IDS

Snort IDS merupakan IDS open sourceyang secara de facto menjadi standar IDSdi industri. Snort dapat diunduh di situsw w w . s n o r t . o r g . S n o r t d a p a tdiimplementasikan dalam jaringan yangmulti platform. Salah satu kelebihannyaadalah mampu mengirimkan alert darimesin Unix atupun Linux ke platformMicrosoft Windows dengan melaluiServer Messager Block (SMB). Snortdapat bekerja dalam 3 mode, modepenyadap (sniffer), packet logger danmode network intrusion detection.

PEMBAHASAN

Laboratorium Jaringan Komputer adalahsalah satu bagian laboratorium dariLembaga Pengembangan Komputerisasidi Universitas Gunadarma yangmengadakan pelatihan mengenai jaringankomputer kepada civitas akademika.

Jaringan pada Laboratorium JaringanKomputer merupakan jaringan LAN,terlihat pada gambar 2. Topologi jaringanyang digunakan adalah topologi stardikarenakan topologi ini lebih mudahdalam pemeliharaan dan juga mudahdalam melakukan perubahan bilasewaktu-waktu ada penambahankomputer.

Gambar 2.Topologi Jaringan Laboratorium Jaringan Komputer LePKom

Laboratorium ini memiliki 38komputer klien yang terhubung ke dalampatch panel box (gabungan beberapa hubdan switch) dan 1 buah PC router yangjuga berperan sebagai PC yang didalamnya terdapat Snort sebagai IDS.Alamat IP privat yang digunakanmemakai network 192.168.16.0 danNetmask 255.255.255.0.

Dalam pembuatan IDS untuklaboratorium jaringan komputer inimeliputi beberapa komponen daripenggunaan teknologi IDS yaitu :

a. Sensor or Agent

Sensor dan agen memantau danmenganalisis aktivitas. Istilah sensorbiasanya digunakan untuk IDS yangmemantau jaringan, termasuk berbasisjaringan dan wireless.

b. Management Server

Management server adalah sebuah alat/sistem yang mengatur semua kinerja darisensor atau agent yang bekerja danberfungsi untuk menerima semua laporanyang masuk.

c. Database Server

Sebuah server yang berguna untukmenyimpan semua kejadian yang dicatatoleh sensor atau agent yang sedangbekerja, agar laporannya dapat terekamyang berguna untuk proses administrasijaringan selanjutnya.

Hardware dan Software YangDigunakan

Untuk membangun sebuah Server yangterintegrasi dengan sistem IDSsebenarnya tidak membutuhkanhardware yang tinggi, tetapi semakinbaik spesifikasi hardware yang digunakanakan semakin baik pula kinerja servertersebut. Kebutuhan hardware tersebutbergantung pada besarnya sistem yangakan dibuat dan banyaknya klien yangakan menggunakan fasilitas dari server.Ada pun spesifikasi hardware dansoftware yang digunakan terlihat padatabel 1.

Zlib adalah sebuah komponenkompresi data library, zlib menyediakankompresi di memori dan fungsidekompresi termasuk memeriksaintegritas data terkompresi. Gambar 3memperlihatkan konfigurasi f i lezlib,sehingga file tersebut siap untukdipakai.

LibPcap merupakan salah satukomponen yang juga penting untuk prosespenangkapan alert untuk snort yaitusebuah library yang dapat menangkappaket dan protokol jaringan yang berjalanpada jaringan.

Dalam pembuatan server IDSmenggunakan MySQL sebagai databaseuntuk menyimpan semua kegiatan (event)yang terjadi dalam sebuah sistem jaringan.Selanjutnya pemilihan dan konfigurasiweb server dan pada pembuatan IDS

Snort Engine Alert

Rule Database

Paket Data

03UG Jurnal Vol. 6 No. 05 Tahun 2012

Tabel 1.Spesifikasi Hardware dan Software Laboratorium

Gambar 3. Konfigurasi Zlib

server ini menggunakan apache webserver. Hal ini dikarenakan hasil akhirdari report Snort akan ditampilkan dengantampilan web (web base)

JPGraph adalah library dari PHP yangbersifat object oriented. Fungsi utama darilibrary ini adalah untuk menggambargrafik pada browser sesuai dengan datayang ada.

file ADODB berisi semua file yangberhubungan dengan pembetukan webbase php yang nantinya akan dipakai olehkonfigurasi ACID

ACID (Analysis Console for IntrusionDatabases) adalah sebuah perangkat lunakyang berfungsi sebagai pengolah semuadata security event dan akan ditampilkandalam bentuk web base yang telahterkoneksi dengan database MySQL.Gambar 4 memperlihatkan konfigurasi fileacid_conf.php yang berada di direktori/www/htdocs/acid/. Konfigurasi acidberguna untuk memilih tipe database yangakan digunakan untuk menjadi databaseserver. Jika telah menentukan tipedatabase yang akan dipakai,maka langkahselanjutnya adalah memberikan informasiuntuk database server yang terdiri dari :$alert_dbname, $alert_host, $alert_port,$alert_user , $alert_password. Gambar 4. Konfigurasi ACID

Tahap berikutnya setelah melakukankonfigurasi ACID adalah mengatur ACIDDB Structure dimana kegunaannya adalahuntuk membuat tables database yang akandigunakan oleh ACID. ACID yang telahdiberi tables sudah dapat beroperasidengan mengetikkan http://192.168.16.200/acid/acid_main.php. pada browserseperti pada gambar 5.

Pengujian Snort

Untuk menguji Snort yang akanditampilkan oleh ACID dibuatlah skenarioyang dimana salah satu user akan meng-scan seluruh port TCP dan UDP dariserver menggunakan Nmap-ZenmapGUI. Hal ini menandakan akan dilakukanpenyerangan terhadap server yangdilakukan oleh salah satu user denganlebih dahulu melakukan scanning portpada level TCP/IP.

Pada gambar 6, terlihat dari hasilscanning yang dilakukan oleh Nmap-Zenmap GUI terdeteksi port yang beradadi komputer server yaitu : port 80(tcp),port 22 (tcp),port 3306 (tcp),port32768 (tcp) yang semua berada di IPaddress 192.168.16.200 (server).

Perbedaan akan tampil pada grafikreport di browser komputer server, yaituterdeteksinya proses scanning port olehkomputer lain.

Pada gambar t Terlihat tampilan alertpada ACID terdapat report protocol manasaja yang terserang dari komputer server.Terdapat lebih banyak protocol TCP(Transmission Control Protocol) yangterserang dibandingkan dengan protocolUDP (User Datagram Protocol).

Dapat dipastikan protokol dikomputer server yang rentan dan terbuka terhadap serangan penyusup yangdidominasi oleh protokol TCP,seperti webserver, ftp server dan semua layanan yangmenggunakan protocol TCP.

PENUTUP

Intrusion Detection System (IDS)berguna untuk sistem pencegahanintrusi/ serangan yang dilakukan untukmelumpuhkan sebuah komputer serversuatu jaringan. Dalam percobaan yangdilakukan di Laboratorium JaringanKomputer Lepkom Univers i tasGunadarma dapat dipastikan protokol dikomputer server yang rentan dan terbuka terhadap serangan penyusup didominasioleh protokol TCP, seperti web server,ftp server dan semua layanan yangmenggunakan protocol TCP. Hal inidibuktikan dengan hasil pengujian danditampilkan pada ACID, dimana seranganuntuk beberapa port TCP sebesar 73%.

04 Jannah, Implementasi Intrusion System ...

Gambar 5. ACID Sudah Siap Beroperasi

Gambar 6. Proses Scanning Port TCP/UDP menggunakan Nmap-Zenmap GUI

Gambar 7. Tampilan Alert

DAFTAR PUSTAKA

Caswell, Brian. 2003. Snort 2.0 IntrusionDetection. Syngress Publishing. USA.

Purbo, Onno W. 1998. Buku PintarInternet:TCP/IP . Elex MediaKomputindo. Jakarta.

Rehman, . 2003. Intrusion Detection withSNORT: Advanced IDS TechniquesUsing SNORT, Apache, MySQL, PHP,and ACID. Prentice Hall of NewJersey.

Syafrizal, Melwin.2005. PengantarJaringan Komputer. C.V. AndiOffset.Yogyakarta.

Tanenbaum ,Andrew S. 2006. ComputerNetworks. 2nd Edition. Prentice Hall

Yuliardi, Rofiq. 2002. Bash ScriptingUntuk Administrasi Sistem Linux. PTElex Media Komputindo. Jakarta.

Jin Yu, Eun. 2009. Network IntrusionDetection Systems for High SecurityNetworkings. IJCSNS InternationalJournal of Computer Science andNetwork Security, VOL.9 No.10,

Lehtinen,Rick. Russel, Deborah. Sr,2006. Computer Security Basic.O'Reilly Media, Inc