5.1 UjiBCobaBFungsional 1 UjiBCobaBFungsionalBSnort
5.1.2 UjiBCobaBFungsionalB UsersInterface BBASE
Setelah mencoba fungsional Snort maka pada sub-bab ini akan dijelaskan user interface BASE. User interface berfungsi untuk memudahkan dalam menangani dan mengolah data yang dicatat oleh Snort. Pada tugas akhir ini user interface BASE dapat dilihat pada virtual mesin admin karena menggunakan
sistem operasi windows XP. Sebelum masuk ke dalam BASE diminta untuk memasukkan user name dan password seperti yang dijelaskan pada Gambar 5.5.
Gambar 5.5 Verifikasi dalam BASE
Pada Gambar 5.6 dijelaskan bahwa saat tampilan BASE belum ada serangan yang tersaring oleh Snort. Semua traffic TCP, UDP , ICMP dan Portscan masih dalam kondisi 0% karena belum ada aktifitas yang tersaring oleh Snort.
Setelah melihat kondisi awal BASE maka saatnya melihat tampilan BASE yang telah terjadi serangan. Pada Gambar 5.7 dijelaskan bahwa tampilan BASE sudah terjadi serangan yang tersaring oleh Snort. Pada TCP, ICMP, Portscan terjadi kenaikan persentase karena sudah terjadi serangan.
Gambar 5.7 Tampilan BASE setelah terjadi serangan
5.2 UjiBCobaBKinerjaBSnortBInline
Setelah setting konfigurasi dari Snort IPS, maka Snort siap untuk uji coba pendeteksian dan melakukan drop serangan backdoor dan synflood. Dalam uji coba tugas akhir ini pada serangan backdoor menggunakan tools Nikto dan pada serangan synflood menggunakan Hping3. Penjelasan yang lebih detail tentang serangan backdoor dan Synflood yang disertai gambar akan dijelaskan dalam sub- bab dari Bab 5 di bawah ini.
5.2.1 UjiBCobaBKinerjaBSnortBInlineBterhadapBSeranganBBackdoor
Sudah dijelaskan bagaimana kronologi tentang serangan backdoor di Bab 2. Nikto adalah tools untuk pemeriksa vulnerability pada Apache, maka dengan tools ini dapat mengetahui dimana letak hole pada suatu web server. Maka dari itu serangan tersebut disebut backdoor.
Setelah Snort dirancang untuk mendeteksi dan melakukan drop sebuah serangan, maka saat ini server sudah siap di uji coba dengan serangan-serangan yang sudah dirancang. Berikut ini uji coba serangan, pendeteksian dan melakukan drop serangan backdoor:
1. Masuk ke dalam folder Nikto yang telah diekstrak
# Cd nikto-2.1.4
Kemudian Nikto dijalankan untuk melakukan serangan terhadap IP web server 192.168.134.1 dengan perintah sebagai berikut.
# ./nikto.pl –h 192.168.134.1
Keterangan:
-h : Menentukan target IP
Pada Gambar 5.8 dijelaskan bahwa hacker telah menyerang web server dengan menggunakan Nikto dengan IP host1 10.134.30.102.
Gambar 5.8 Hacker melakukan serangan backdoor
2. Setelah serangan backdoor tersebut dilancarkan oleh hacker menggunakan tools Nikto, maka Snort IPS yang akan mendeteksi dan melakukan drop serangan tersebut dan mengeluarkan alert untuk yang berada didalam folder /var/log/snort. Alert tersebut merupakan tanda pendeteksi sebuah serangan yang akan dibaca oleh admin melalui user interface BASE. Dan untuk melihat log dari mesin Snort maka dapat di lihat dengan perintah tail –f /var/log/snort/alert. Gambar 5.9 menjelaskan tampilan log Snort serangan backdoor dan Gambar 5.10 dapat dijelaskan untuk alert ketika serangan backdoor terjadi dan terdeteksi oleh Snort IPS:
Gambar 5.10 Alert Snort IPS terhadap serangan backdoor
Menunjukkan IP 10.134.30.102 melakukan serangan backdoor ke IP web server 192.168.134.1 pada port 80. Pada Gambar 5.11 dijelaskan bahwa Nikto tidak dapat melakukan scan pada web server untuk menemukan hole karena telah tersaring oleh Snort IPS.
5.2.2 UjiBCobaBKinerjaBSnortBInlineBterhadapBSeranganBSynflood
Sudah dijelaskan bagaimana kronologi tentang serangan synflood di Bab 2. Namun di Hping ini serangan synflood diartikan sebagai serangan TCP flooder dengan paket dan size yang cukup besar kepada target dengan port tertentu. Maka dari itu serangan tersebut disebut synflood.
Setelah Snort dirancang untuh mendeteksi dan melakukan drop sebuah serangan, maka saat ini server sudah siap di uji coba dengan serangan-serangan yang sudah dirancang. Berikut ini uji coba serangan, pendeteksian dan melakukan drop serangan synflood:
1. Masukkan perintah Hping3 untuk melakukan flooding TCP port 80 pada IP server 192.168.134.1 sebagai berikut:
# hping3 –S –p 80 –flood 192.168.134.1
Keterangan :
-S : Berfungsi untuk set flag TCP SYN -p : Set port tujuan
--flood : Mengirim paket secepat mungkin
Pada Gambar 5.12 dijelaskan bahwa hacker telah menyerang server dengan menggunakan Hping3 dengan IP host 10.134.30.101.
2. Setelah serangan synflood tersebut dilancarkan oleh hacker menggunakan tools Hping3 maka Snort IPS yang akan mendeteksi dan melakukan drop serangan tersebut dan mengeluarkan alert untuk yang berada didalam folder /var/log/snort. Alert tersebut merupakan tanda pendeteksi sebuah serangan yang akan dibaca oleh admin melalui user interface BASE. Dan untuk melihat log dari mesin Snort maka dapat di lihat dengan perintah tail –f /var/log/snort/alert. Gambar 5.13 menjelaskan tampilan log Snort serangan synflood dan Gambar 5.14 yang alert yang terjadi ketika serangan synflood terjadi dan terdeteksi oleh Snort IPS:
Menunjukkan IP 10.134.30.101 melakukan serangan TCP flood ke IP server 192.168.134.1. Pada Gambar 5.15 dijelaskan bahwa paket yang telah dikirim sebanyak 425868 oleh Hping 100% gagal terkirim karena tersaring oleh Snort. Juga dapat dilihat dari log tcpdump yang telah dijelaskan pada Gambar 5.16.
Gambar 5.15 Hping gagal melakukan synflood
6.1
KesimpulanBSetelah mengerti dan memahami serta mengimplementasikan metode IPS. Maka dapat ditarik kesimpulan dari bahasan Tugas Akhir diatas yaitu:
1. Metode IPS (Intruston Preventton System) dapat diterapkan jika sebuah Snort inline memiliki rule-rule yang handal.
2. Snort dapat dikembangkan menjadi modus tnltne dengan menggunakan IPTables sebagai ftrewall.
3. Implementasi IPS telah mampu mencegah serangan backdoor dan synflood khususnya yang terjadi pada jaringan lokal. Hal ini terbukti dengan output alert yang dihasilkan oleh IPS.
4. Metode IPS lebih handal daripada Metode IDS karena IPS dapat melakukan drop upaya serangan dan memberikan respon atas serangan peretas. Sedangkan IDS hanya menganalisa paket yang ada dan memberikan peringatan bila terjadi serangan dari peretas.
6.2B Saran
Berikut ini beberapa saran yang dapat dilakukan pada masa yang akan datang untuk meningkatkan kemampuan sistem, antara lain:
1. Diperlukan sebuah penambahan SMS alert agar memudahkan administrator untuk memperoleh informasi jika terjadi serangan terhadap sebuah jaringan komputer dimana pun administrator itu berada.
2. Diperlukan pengembangan Snort Inline untuk mendeteksi berbagai serangan terutama untuk mendeteksi serangan-serangan dalam sebuah web server. Sehingga server-server yang dimiliki aman dari traversal dtrektort, FTP Bounce Attack, DNS Cache Potsontng dan sebagainya.
3. Menambahkan fitur penghapusan log alert secara otomatis, sehingga memudahkan administrator untuk memelihara sistem.
4. Diperlukan spesifikasi perangkat keras pada komputer khususnya processor dan .AM yang lebih besar. Hal ini dilakukan untuk mempercepat proses pemeriksaan data. Karena semakin banyak rule yang diterapkan akan berpengaruh terhadap kinerja komputer.
Beasley, J, 2008, Networking Second Edition, Prentice-Hall, New Jersey.
Carter, Earl dan Jonathan Hogue, 2006, Intrusion Pretention Fundamentalsm, Cisco Press, Indianapolis.
C. Endorf, E. Schultz dan J.Mellander, 2004, Intrusion Detection & Pretention, McGraw-Hill/Osborne, Emeryville.
warunuddin, Rakhmat, 2005, Membangun Firewall dengan IP Tables di linux, Jakarta: PT Elex Media Komputindo.
Haniri, Anis, 2002, Integrasi Jaringan Unix-Windows, Jakarta: PT Elex Media Komputindo.
Nugroho, Bunafit, 2010, Panduan Lengkap Menguasai Perintah SQL, Jakarta: PT Media Kita.
Rafiudin, Rahmat, 2010, Mengganyang Hacker dengan SNORT, Yogyakarta: Andi.
Rash, Michael, 2005, Intrusion Pretention and Actite Response: Deploying Network and Host IPS, Syngress Publishing, Inc, Rockland.
Stiawan, Deris, 2005, Sistem Keamanan Komputer, Jakarta: PT Elex Media Komputindo.
Tittel, Ed, 2004, Schaum's Outline Computer Networking (Jaringan Komputer), Jakarta: PT Gelora Aksara Pratama.