(STUDI KASUS : PT. PLN (PERSERO) DISTRIBUSI JAKARTA RAYA DAN TANGERANG)

IMAM SUTANTO 205091000057

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH

i

(Studi Kasus : PT.PLN (Persero) DISTRIBUSI JAKARTA RAYA DAN TANGERANG)

Oleh : Imam Sutanto NIM 205091000057

Skripsi

Sebagai Salah Satu Syarat untuk Memperoleh Gelar Sarjana Komputer

Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS SAINS DAN TEKNOLOGI

UNIVERSITAS ISLAM NEGERI SYARIF HIDAYATULLAH JAKARTA

ii

(Studi Kasus : PT.PLN (Persero) DISTRIBUSI JAKARTA RAYA DAN TANGERANG)

Skripsi

Sebagai Salah Satu Syarat Untuk Memperoleh Gelar Sarjana Komputer Pada Fakultas Sains dan Teknologi

Universitas Islam Negeri Syarif Hidayatullah Jakarta

Oleh : Imam Sutanto NIM. 205091000057

Menyetujui,

Pembimbing I Pembimbing II

Viva Arifin, MMSI Wahyudi, S.Si, MT

NIP. 19730810 200604 2 001 NIP.19760904 200910 1 001

Mengetahui,

Ketua Program Studi Teknik Informatika

iii

Sebagai Pemberi Peringatan Dini Kepada Administrator Sistem Keamanan Jaringan (Studi Kasus : PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang)” telah diuji dan dinyatakan lulus dalam sidang Munaqosyah, Fakultas Sains dan Teknologi, Universitas Islam Negeri Syarif Hidayatullah Jakarta pada hari Rabu, 23 Juni 2010. Skripsi ini telah diterima sebagai salah satu syarat untuk memperoleh gelar Sarjana Strata Satu (S1) Jurusan Teknik Informatika.

Jakarta, Juni 2010 Menyetujui,

Penguji I Penguji II

Herlino Nanang, MT Victor Amrizal, M.Kom

NIP. 19731209 200501 1 002 NIP. 150411288

Dosen Pembimbing I Dosen Pembimbing II

Viva Arifin, MMSI Wahyudi, S.Si, MT

NIP. 19730810 200604 2 001 NIP. 19760904 200910 1 001 Mengetahui,

Dekan Fakultas Sains dan Teknologi Ketua Prodi Teknik Informatika

iv

HASIL KARYA SENDIRI YANG BELUM PERNAH DIAJUKAN SEBAGAI SKRIPSI ATAU KARYA ILMIAH PADA PERGURUAN TINGGI ATAU LEMBAGA MANAPUN.

Jakarta, Juni 2010

Imam Sutanto

vi

Puji syukur penulis panjatkan kehadirat Allah SWT, karena berkat rahmat dah ridhonyalah penulis dapat menyelesaikan Skripsi yang berjudul Pengembangan Intruder Detection System (IDS) Sebagai Solusi Keamanan Jaringan (Studi Kasus : PT.PLN (Persero) Distribusi Jakarta Raya dan Tangerang). Skripsi ini penulis ajukan untuk memenuhi salah satu syarat mata kuliah program studi S1 Teknik Informatika Fakultas Sains dan Teknologi, UIN Syarif Hidayatullah Jakarta.

Pada kesempatan ini, penulis ingin mengucapkan terima kasih sebesar-besarnya atas bimbingan dan pengarahan yang diberikan pada penulis selama menyusun skripsi ini. Oleh karena itu, izinkanlah penulis menyampaikan ucapan terima kasih kepada :

1. Bapak Dr.Syopiansyah Jayaputra, M.Sis, Dekan Fakultas Sains dan Teknologi Universitas Islam Negeri Syarif Hidayatullah Jakarta.

2. Bapak Yusuf Durachman, M.Sc, MIT selaku ketua Program Studi Teknik Informatika Fakultas Sains dan Teknologi.

vii

5. Seluruh dosen, staff akademik TI/SI dan karyawan Universitas Islam Negeri Syarif Hidayatullah Jakarta Fakultas Sains dan Teknologi.

6. Kepada kedua orangtua dan kedua kakak saya yaitu Hary Nughroho dan Gatot Sujianto yang telah memberikan banyak dukungan kepada penulis. Terima kasih atas doa, kasih sayang dan dukungannya.

7. Teman-teman TI/SI diantaranya Uswatun Hasanah, Dian Puspita Sari, Nurmalia, Rosa Rachtyani, Husin, Firman Hairulansa, Ihsandy, Julfi Rizona, Syahroni, Hasnul Arief, Syaifurrahman, Irma Yuliawati, dan kepada badrotul muniroh yang selalu berdoa, memberi inspirasi, dorongan, semangat, waktu, bantuan segala hal dan kasih buat penulis.

8. Kepada semua pihak yang telah membantu penyusunan skripsi ini yang tidak dapat penulis sebutkan satu-persatu.

Penulis menyadari bahwa sebagai manusia tidak dapat luput dari kesalahan dan kekurangan sehingga masih jauh dari sempurna sehingga segala saran dan kritik akan sangat membangun demi kesempurnaan skripsi ini.

Jakarta, 23 Juni 2010 Penulis

viii

Halaman Judul ... i

Lembar pengesahan Pembimbing ... ii

Lembar pengesahan Ujian ... iii

Pernyataan ... iv

Abstrak ... v

Kata Pengantar ... vi

Daftar Isi ... viii

Daftar Gambar ... xiv

Daftar Tabel ... xvii

Daftar Istilah ... xviii

BAB I PENDAHULUAN 1.1 Latar belakang ... 1

1.2 Rumusan Masalah ... 3

1.3 Batasan Masalah ... 4

1.4 Tujuan dan Manfaat Penelitian ... 4

1.4.1 Tujuan ... 4

1.4.2 Manfaat ... 5

ix BAB II LANDASAN TEORI

2.1 Pengertian Penerapan EasyIDS, Peringatan Dini, Administrator Sistem, Jaringan,

Keamanan Jaringan ... 9

2.2 Model Referensi TCP/IP ... 10

2.3 User Datagram Protocol ... 11

2.4 Jenis Serangan ... 11

2.4.1 Port Scanning ... 11

2.4.2 Teardrop ... 12

2.4.3 Spoofing ... 13

2.4.4 Land Attack ... 16

2.4.5 Smurf Attack... 16

2.4.6 UDP Flood ... 17

2.4.7 Packet Interception ... 17

2.4.8 ICMP Flood ... 18

2.4.9 Traceroute ... 19

2.5 Tujuan Keamanan Komputer ... 19

2.6 Access Control ... 20

x

2.7.3 Firewall Check Point atau Firewall-1 ... 24

2.8 Intrusion Detection System ... 25

2.9 Intrusion Prevention System ... 26

2.10 Skema Analisis IDS dan IPS ... 31

2.11 Prinsip Kerja IDS Pada Jaringan Internal ... 32

2.11.1 Memonitor Akses Database ... 32

2.11.2 Melindungi E-mail Server ... 34

2.11.3 Memonitor Policy Security ... 34

2.12 Tujuan Penggunaan IDS ... 35

2.12.1 Tipe Intrusion Detection System (IDS) ... 37

2.12.1.1 Host-Based ... 41

2.12.1.2 Network-Based ... 44

2.12.1.3 Distrubusi Intrusion Detection System ... 50

2.12.1.4 Hibrid Intrusion Detection System ... 51

2.12.1.5 Skema Analisis IDS ... 53

2.13 Snort ... 54

2.13.1 Fitur-fitur Snort ... 55

xi

3.1.1 Studi Lapangan / Observasi ... 59

3.1.2 Studi Pustaka atau Literatur ... 60

3.1.3 Wawancara ... 61

3.2 Metode Pengembangan Sistem NDLC ... 62

3.2.1 Analysis ... 63

3.2.2 Design ... 63

3.2.3 Simulation Prototype ... 64

3.2.4 Implementation ... 64

3.2.5 Monitoring ... 64

3.2.6 Management ... 65

BAB IV HASIL DAN PEMBAHASAN 4.1 Sejarah Singkat Berdirinya PT. PLN ... 67

4.2 Struktur Organisasi PT. PLN ... 72

4.3 Visi dan Misi PT. PLN ... 73

4.4 Tujuan dan Sasaran PT. PLN ... 73

4.5 Selayang Pandang ... 74

4.6 Sekilas Tentang Teknologi PT. PLN ... 77

xii

4.10 Infrakstruktur Sistem Teknologi Informasi ... 80

4.11 Analysis ... 81

4.11.1 Identify ... 82

4.11.2 Understand ... 83

4.11.3 Analyze ... 83

4.11.4 Report ... 85

4.12 Design ... 87

4.12.1 Perancangan Topologi ... 88

4.12.2 Perancangan Sistem ... 90

4.13 Simulation Prototype ... 91

4.14 Implementation ... 92

4.14.1 Implementasi Sistem Operasi ... 92

4.14.2 Impelementasi dan Konfigurasi Mesin Sensor ... 99

4.15 Impelementation BASE ... 109

4.16 Monitoring ... 110

4.16.1 Pengujian Fungsionalitas Komponen IDS ... 111

4.16.2 Analisa Data BASE ... 114

xiii BAB V PENUTUP

5.1 Kesimpulan ... 130 5.2 Saran ... 131

xiv

Gambar 2.1 Standar Proses IPS ... 30

Gambar 2.2 Hubungan Antara Aktivitas Jaringan Baseline dan Anomalous ... 32

Gambar 2.3 Host-Based IDS ... 41

Gambar 2.4 Network-Based IDS ... 45

Gambar 2.5 Distribusi Intrusion Detection System ... 51

Gambar 3.1 Tahapan NDLC ... 62

Gambar 3.2 Diagram Metode Penelitian ... 66

Gambar 4.1 Struktur Organisasi PT. PLN ... 72

Gambar 4.2 Peta Wilayah PT. PLN ... 79

Gambar 4.3 Struktur Organisasi Bidang Perencanaan ... 80

Gambar 4.4 Topologi Jaringan Sebelumnya ... 88

Gambar 4.5 Topologi Jaringan yang Diusulkan ... 89

Gambar 4.6 Proses Instalasi Sistem Operasi EasyIDS ... 93

Gambar 4.7 Jenis Keyboard ... 94

Gambar 4.8 Root Password dibutuhkan Saat Login Mesin Sensor ... 94

Gambar 4.9 Setting Time Zone ... 95

Gambar 4.10 Format Harddisk ... 96

xv

Gambar 4.14 Login Mesin Sensor IDS ... 98

Gambar 4.15 Setelah Login Mesin Sensor EassyIDS ... 99

Gambar 4.16 Tampilan Login Web Based ke Mesin Sensor ... 100

Gambar 4.17 Tampilan Welcome EasyIDS ... 101

Gambar 4.18 Tampilan Change Password MySQL ... 102

Gambar 4.19 Tampilan Setelah Passwords Dimasukkan ... 102

Gambar 4.20 Tampilan Awal EasyIDS Berbasis Web GUI ... 103

Gambar 4.21 Snort Configuration ... 104

Gambar 4.22 Snort Network Settings ... 104

Gambar 4.23 Snort Rule Updates ... 105

Gambar 4.24 Notify Settings ... 106

Gambar 4.25 Snort Rulesets ... 107

Gambar 4.26 Systems Status ... 108

Gambar 4.27 System Information ... 109

Gambar 4.28 Tampilan Halaman BASE ... 110

Gambar 4.29 Ping Attack ... 112

Gambar 4.30 Ujicoba Nmap Client ke Mesin Sensor IDS ... 113

Gambar 4.31 Halaman Utama BASE ... 114

xvi

Gambar 4.35 Memblok Client Dalam Melakukan Ping Attack ... 120

Gambar 4.36 Nmap Pada Mesin Client ... 121

Gambar 4.37 Grafik Dropped Packet dan Alert Per Second Snort ... 122

Gambar 4.38 Grafik Mbits Per Second dan Kpackets Per Second Snort ... 123

Gambar 4.39 Grafik SYN+SYN/ACK Packet Session Event Snort ... 124

Gambar 4.40 Grafik Open Session dan Stream Event ... 125

Gambar 4.41 Grafik Frag Event dan Average Byte Per Packet ... 126

Gambar 4.42 Grafik Sistem ... 127

xvii

Tabel 2.1 Point dan Jenis Serangan ... 19

Tabel 2.2 Perbedaan IDS dan IPS ... 30

Tabel 2.3 Perbedaan NIDS dan HIDS ... 50

Tabel 3.1 Studi Literatur ... 60

Tabel 4.1 Spesifikasi Sistem Yang Akan Dibangun ... 85

Tabel 4.2 Spesifikasi Perangkat Lunak (Software) ... 86

Tabel 4.3 Spesifikasi Perangkat Keras (Hardware) ... 87

xviii

BASE : Suatu aplikasi berbasis web based untuk monitoring dan analisis alert.

Detection Engine : Menggunakan detection plugins, jika

ditemukan paket yang cocok maka snort akan menginisialisasi paket tersebut sebagai suatu serangan.

Decoder : Sesuai dengan paket yang di capture

dalam bentuk struktur data dan melakukan identifikasi protokol, decode IP dan kemudian TCP atau UDP tergantung informasi yang dibutuhkan

Distribusi IDS : Mengatur atau arsitekstur probe dengan menggunakan lebih dari satu NIDS. Global Section : Mengizinkan untuk mapping file untuk

IIS Unicode, Configure alert untuk proxy server dengan proxy_alert (jika menggunakan proxy server) atau konfigurasi deteksi lalu-lintas HTTP pada nonauthorized port dengan menggunakan detect_anomalous_traffic. Host Based IDS : Mendeteksi serangan yang tidak dapat

dikenali oleh network-basedIDS.

Host-Target Co-Location : IDS yang dijalankan pada sistem yang

xix

Hibrid IDS : Solusi network-base dan host-based IDS yang memliki keunggulan dan manfaat yang saling berbeda.

Inline Mode : Snort membaca, menganalisis traffic,

logging dan berinteraksi dengan firewall untuk membloktrafficintrusi memicu.

Intruder : Orang yang melakukan penyusupan

Network Based IDS : Menampilkan network traffic untuk beragam sistem yang akan diamati sehingga sistem ini tidak memerlukan perangkat lunak untuk digunakan dan diatur pada banyak host.

Network intrusion detection mode : Snort membaca dan menganalisis traffic menggunakan ruleset/signatures untuk mendeteksi aktivitas intrusi dan melakukan loggingaktivitas sensor.

Nmap : Program untuk melakukan uji coba port scanning.

xx

Pre Processors : Suatu jaringan yang mengindentifikasi berbagai hal yang harus diperiksa seperti Detection Engine.

Rules Files : Merupakan suatu file teks yang berisi

daftar aturan yang sintaksnya sudah diketahui. Sintaks ini meliputi protocol, address, output plugins dan hal-hal yang berhubungan dengan berbagai hal. Rules file akan selalu diperbaharui setiap ada kejadian di dunia maya.

Server Section : Mengizinkan untuk setting HTTP server

profiles yang berbeda untuk beberapa server yang berbeda. Konfigurasi tipe serangan dan menormalisasikan berdasarkan server yang ada.

Sniffer Mode : Snort membaca traffic atau paket-paket yang berada di dalam sistem jaringan dan menampilkan ke layar console.

Snort : Suatu perangkat lunak untuk mendeteksi

1 1.1 Latar Belakang

mengatur Intrusion Detection Systemyang berfungsi sebagai levelkeamanan di tingkat aplikasi setelah suatu paket melewati suatu firewall. Deteksi penyusup adalah aktivitas untuk mendeteksi penyusup secara cepat dengan menggunakan program khusus yang otomatis dan real-timerespons. (Ariyus, 2007).

PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang merupakan salah satu Perusahaan milik Negara yang bergerak di bidang penjualan tenaga listrik dan pelayanan pelanggan dalam melayani pelanggan diwilayah DKI Jakarta, Kotamadya Tangerang, Kabupaten Tangerang. PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang saat ini sistem jaringan pada kantor distribusi Gambir sering terjadinya serangan dari pihak dalam (internal) yaitu serangan DDos attack. Dimana PC Router hanya dapat melihat paket apa saja yang lewat, tetapi tidak dapat mengenali jenis serangan jika terjadi serangan atau adanya suatu intruder dari pihak dalam maupun luar. Pada saat terjadi serangan administrator sistem jaringan hanya mengandalkan berupa log-log file PC Router dan firewall. Log-log file tersebut berupa text.

Dengan demikian, pengamanan sistem firewall dan EasyIDS sangat diperlukan bagi PT. PLN Persero Distibusi Jakarta Raya dan Tangerang untuk mendeteksi adanya penyusup baik dari dalam maupun luar, karena itu dibutuhkan sistem pendeteksi, sistem yang secara intensif dapat mendeteksi terjadinya aktivitas intrusi terhadap sumber daya perusahaan. Berdasarkan hal-hal tersebut, maka penulis tertarik mengambil topik penulisan dengan judul Penerapan EASYIDS Sebagai Pemberi Peringatan Dini Kepada Administrator Sistem Jaringan (Studi Kasus : PT. PLN (Persero) Distribusi Jakarta Raya dan Tangerang).

1.2 Rumusan Masalah

Atas dasar Latar belakang dikemukakan diatas, maka rumusan masalah yang di bahas untuk Skripsi ini adalah :

1. Bagaimana melakukan konfigurasi EasyIDS, sehingga EasyIDS yang dapat mendeteksi adanya intrusi (penyusup) pada firewall.

1.3 Batasan Masalah

Sesuai dengan inti dari penulisan skripsi maka penulis akan membatasi ruang lingkup agar penelitian lebih terarah. Dengan demikian permasalahan penelitian ini dibatasi pada :

1. Menggunakan software open sourceyaitu EasyIDS. 2. Pengguna EasyIDS adalahadministratorjaringan.

3. Peringatan dini untuk administrator jaringan dalam bentuk berbasis web GUI (Grafic User Interface).

4. Sistem operasi yang digunakan untuk mesin sensor adalah Centos. 5. Hasil diperlihatkan dalam bentuk diagram batang (chart).

1.4 Tujuan dan Manfaat Penelitian 1.4.1 Tujuan

1.4.2 Manfaat

a. Bagi Mahasiswa :

1. Mahasiswa mampu menerapkan EasyIDS (easy intrusion detection system) dalam meningkatkan kualitas aspek sistem keamanan jaringan komputer.

2. Memperluas wawasan dan memperdalam pemahaman penulis terhadap penggunaan sistem operasi berbasis Unix yaitu Centos dan Windows serta pemanfaatan program keamanan jaringan berbasis open source.

3. Menerapkan ilmu yang pernah di dapat penulis di perkuliahan. b. Bagi Institusi Perguruan Tinggi

1. Sebagai sarana pengenalan, perkembangan ilmu pengetahuan dan teknologi dan khususnya jurusan Teknik Informatika konsentrasi Networking di Universitas Islam Negeri Syarif Hidayatullah Jakarta.

2. Sebagai bahan masukan dan evaluasi program Teknik Informatika di Universitas Islam Negeri Syarif Hidayatullah Jakarta untuk menghasilkan tenaga-tenaga terampil sesuai dengan kebutuhan. c. Bagi Perusahaan

administrator jaringan sehingga dapat mengetahui sekiranya ada penyusup.

1.5 Metodologi Penelitian

Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem.

Berikut penjelasan kedua metode tersebut :

1. Metode Pengumpulan data

Merupakan metode yang digunakan penulis dalam melakukan analisis data dan menjadikannya informasi yang akan digunakan untuk mengetahui permasalahan yang dihadapi.

a. Studi Lapangan

Metode pengumpulan data dengan melakukan pengamatan atau datang langsung ke lokasi.

b. Wawancara

c. Studi Pustaka atau literatur

Metode pengumpulan data melalui buku atau browsinginternet yang dijadikan sebagai acuan analisa penelitian yang dilakukan.

2. Metode Pengembangan Sistem menggunakan NDLC (Network Development Life Cycle).

a. Analysis b. Design

c. Simulation Prototyping d. Implementation

e. Monitoring f. Management

1.6 SISTEMATIKA PENULISAN

Dalam penyusunan tugas akhir ini, penulis mensajikan dalam 5 bab yang digambarkan sebagai berikut :

BAB I PENDAHULUAN

Pada bab ini akan diuraikan tentang Latar Belakang, Permasalahan, Tujuan dan Manfaat Penelitian, Metodologi Penelitian, Sistematika Penulisan laporan penelitian skripsi.

BAB II LANDASAN TEORI

BAB III METODOLOGI PENELITIAN

Pada bab ini akan dibahas mengenai pemaparan metode yang penulis pakai dalam pencarian data maupun pengembangan sistem yang dilakukan pada penelitian.

BAB IV ANALISIS DAN PEMBAHASAN

Pada bab ini akan membahas mengenai penerapan dan pengujian sistem IDS (Intrusion Detection System) dalam mengatasi adanya intruder.

BAB V KESIMPULAN DAN SARAN

9

2.1 Pengertian Penerapan, EasyIDS, Peringatan Dini, Administrator Sistem Jaringan dan Keamanan Jaringan

Penerapan adalah proses, cara, perbuatan untuk menerapkan. (KBBI, 2008). EasyIDS adalah sistem deteksi intrusiyang mudah untuk diinstal dan dikonfigurasi untuk Snort. Berdasarkan panduan instalasi Patrick Harper's Snort dan dimodelkan setelah instalasi cd trixbox, EasyIDS dirancang untuk keamanan jaringan Linux pemula dengan pengalaman minimal. (Patrick, 2009). Peringatan adalah nasihat untuk memperingatkan, sesuatu yang dipakai memperingati, catatan. (KBBI, 2008). Sedangkan dini adalah awal, lekas, diagnosis. Jadi Peringatan dini adalah suatu peringatan/catatan yang dipakai untuk memperingatkan adanya kesalahan yang lebih awal.

keamanan lebih besar daripada komputer yang tidak terhubung ke mana-mana. (Ariyus, 2007)

2.2 Model Referensi TCP/IP

TCP/IP adalah singkatan dari Transmission Control Protocol/Internet Protocol. Meskipun TCP/IP baru-baru ini saja menjadi protocol standard, namun umumnya telah lebih dari 20 tahun, digunakan pertama kali untuk menghubungkan komputer-komputer pemerintah (USA) dan sekarang telah menjadi dasar bagi internet, jaringan terbesar dari jaringan komputer diseluruh dunia. Pada saat ini, TCP/IP memiliki keunggulan sehubungan dengan kompatibilitasnya dengan beragam perangkat keras dan sistem operasi.

Tugas utama TCP adalah menerima pesan elektronik dengan panjang sembarang dan membaginya ke dalam bagian-bagian, maka perangkat lunak yang mengontrol komunikasi jaringan dapat mengirim tiap bagian dan menyerahkan ke prosedur pemeriksaan bagian demi bagian. Apabila suatu bagian mengalami kerusakan selama transmisi, maka program pengirim hanya perlu mengulang transmisi bagian itu dan tidak perlu mengulang dari awal.

yang benar. IP memiliki informasi tentang berbagai skema pengalamatan yang berbeda-beda. (Wahana, 2003).

2.3 User Datagram Protocol(UDP)

Menurut Ariyus (2007). Sebagai tambah dari TCP, terdapat satu protocol level transport lain yang umum digunakan sebagai bagian dari suite protocol TCP/IP yang disebut dengan User Datagram Protocol (UDP). UDP menyediakan layanan nirkoneksi untuk prosedur-prosedur padalevelaplikasi. Pada dasarnya UDP merupakan suatu layanan protokol yang kurang bisa diandalkan karena kurang memberikan perlindungan dalam pengiriman dan duplikasi data. Datagram merupakan suatu paket switching, sebuah paket yang terpisah-pisah dari paket lain yang membawa informasi yang memadai untuk routing dari Data Terminal Equipment (DTE) sumber ke DTE tujuan tanpa harus menetapkan koneksi antara DTE dan jaringan.

2.4 Jenis Serangan

Menurut Ariyus (2007). Jenis dan serangan yang mengganggu jaringan komputer beraneka macam. Serangan-serangan yang terjadi pada sistem komputer di antaranya adalah :

letak kelemahan sistem tersebut. Pada dasarnya sistem port scanning mudah untuk dideteksi, tetapi penyerang akan menggunakan berbagai metode untuk menyembunyikan serangan. Sebagai contoh, banyak jaringan tidak membuat file log koneksi, sehingga penyerang dapat mengirimkan initial packet dengan suatu SYN tetapi tidak ada ACK, dan mendapatkan respons kembali (selain SYN jika suatu port terbuka) dan kemudian berhenti di porttersebut. Hal ini sering disebut dengan SYN scan atau half open scan.Walaupun tidak mendapatkan log, sebagai contoh, mungkin akan berakhir sebagai serangan denial service attack pada host atau device lain yang terhubung dengan jaringan atau portuntuk koneksi terbuka.

Penyerang akan mengirimkan paket lain pada port yang masih belum ada pada jaringan tersebut tetapi tidak terjadi respons apapun pada file log, kesalahan file atau device lainnya. Beberapa kombinasi dari flag selain SYN dengan sendirinya dapat di gunakan untuk tujuan port scanning. Berbagai kemungkinan yang kadang disebut dengan Christmas tree (beberapa jaringan decive menampilkan option seperti Christmas tree) dan null yang akan memberikan efek kepada jaringan TCP/IP, sehingga protokol TCP/IP akan mengalami down (out of service), banyak tool yang ada yang bisa membuat suatu protokol TCP/IP menjadi crash atau tidak bisa berfungsi sebagaimana mestinya.

jaringan internet seringkali data harus dipotong kecil-kecil untuk menjamin reliabilitas dan proses multiple akses jaringan. Potongan paket data ini kadang harus dipotong ulang menjadi lebih kecil lagi pada saat disalurkan melalui saluran Wide Area Network (WAN) agar pada saat melalui saluran WAN tidak reliablemaka proses pengiriman data itu menjadi reliable. Pada proses pemotongan data paket yang normal, setiap potongan diberi informasi offset data yang kira-kira berbunyi ”potongan paket ini merupakan potongan 600 byte dari total 800 byte paket yang dikirim”. Program teardrop akan memanipulasi offset potongan data sehingga akhirnya terjadi overlapping antara paket yang diterima di bagian penerima setelah potongan-potongan paket ini disassembly-reassembly. Seringkali overlapping ini menimbulkan sistem yang crash, hang dan reboot diujung sebelah sana.

IP Spoofing melakukan aktivitasnya dengan menulis ke raw socket.Program dapat mengisi header fielddari suatu paket IP apapun yang diingini. Dalam sistem linux, user yang melakukan proses ini memerlukan ijin dari root. Karena routing hanya berdasarkan IP destination address (tujuan), maka IP source address (alamat IP sumber) dapat diganti dengan alamat apa saja. Dalam beberapa kasus, attacker menggunakan satu IP source address yang spesifik pada semua paket IP yang keluar untuk membuat semua pengembalian paket IP dan ICMP message ke pemilik address tersebut untuk menyembunyikan lokasi mereka pada jaringan. Pada bahasan Smurf: ICMP Flood memperlihatkan serangan dengan menggunakan IP spoofinguntuk membanjiri korban dengan ECHO REQUEST.

Filterisasi Ingress dan Egress membuat seorang attacker lebih sulit melakukan serangan, walaupun cara ini belum menjamin dapat mengatasi IP spoofing.

Sebuah host memalsukan diri seolah-olah menjadi host lain dengan membuat paket palsu setelah mengamati urutan paket dari host yang hendak di serang. Bahkan dengan mengamati cara mengurutkan nomor paket bisa dikenali sistem yang digunakan. Ada tiga jawaban yang tidak dipedulikan oleh penyerang pada kasus IP spoofing ke anataran adalah :

1. Penyerang bisa menginterupsi jawaban dari komputer yang dituju : Jika suatu penyerang pada suatu tempat ke antara jaringan yang dituju dengan jaringan yang dipakai penyerang, dengan ini penyerang akan bisa melihat jawaban yang dari komunikasi suatu jaringan tanpa diketahui oleh orang lain. Hal ini merupakan dasar dari hijacking attack.

2. Penyerang tidak harus melihat jawaban dari komputer yang dituju : Penyerang kadang-kadang tidak begitu memperdulikan jawaban apa yang diberikan suatu komputer korban. Penyerang bisa membuat perubahan yang diinginkan dari komputer korban tanpa memperdulikan jawaban atau tanggapan dari jaringan tersebut.

membuat respons yang diberikan tidak masuk ke komputer penyerang. Hal ini penyerang tidak ingin tahu respons apa yang diberikan oleh komputer korban. Jadi respons atau jawaban akan dikirim secara otomatis ke komputer lain sehingga penyerang bisa dengan leluasa menjalankan misinya karena penyerang yang dikenal oleh komputer korban adalah komputer lain.

2.4.4 Land Attack : merupakan serangan kepada sistem dengan menggunakan program yang bernama land. Apabila serangan yang ditujukan pada sistem Windows 95, maka sistem yang tidak diproteksi akan menjadi hang(dan bisa keluar layar biru). Demikian pula apabila serangan diarahkan ke beberapa jenis UNIX versi lama, maka sistem akan hang. Jika serangan diarahkan ke sistem Windows NT, maka sistem akan sibuk dengan penggunaan CPU mencapai 100% untuk beberapa saat sehingga sistem seperti macet. Dapat dibayangkan apabila hal ini dilakukan secara berulang-ulang. Serangan land ini membutuhkan nomor IP dan nomor port dari server yang dituju. Untuk sistem berbasis Windows, port 139 merupakan jalan masuknya serangan.

pemborosan penggunaan (bandwidth) jaringan yang menghubungkan komputer tersebut.

2.4.6 UDP Flood : Pada dasarnya mengaitkan dua sistem tanpa di sadari. Dengan cara spoofing, User Datagram Protocol (UDP) flood attack akan menempel pada servis UDP chargen disalah satu mesin, yang untuk keperluan “percobaan” akan megirimkan sekelompok karakter ke mesin lain, yang diprogram untuk meng-echo setiap kiriman karakter yang diterima melalui servis chargen. Karena paket UDP tersebut dispoofing diantara kedua mesin tersebut maka yang terjadi adalah banjir tanpa henti kiriman karakter yang tidak berguna di antara kedua mesin tersebut. Untuk menanggulangi UDP flood, dapat mendisable semua servis UDP disemua mesin jaringan, atau yang lebih mudah adalah dengan memfilter pada firewallsemua servis UDP yang masuk.

bisa dengan menggunakan tool yang disediakan untuk melakukan serangan yang banyak tersedia diinternet. Tool ini akan mencari dan dengan mudah memanfaatkan kelemahan dari protokol yang ada.

2.4.8 ICMP Flood : Seorang penyerang melakukan eksploitasi sistem dengan tujuan untuk membuat suatu target host menjadi hang, yang disebabkan oleh pengiriman sejumlah paket yang besar ke arah target host. Exploting sistem ini dilakukan dengan mengirimkan suatu command ping dengan tujuan broadcast atau multicast dimana si pengirim dibuat seolah-olah adalah target host. Hal inilah yang membuat target host menjadi hang dan menurunkan kinerja jaringan. Bahkan hal ini dapat mengakibatkan terjadinya denial of service.

berikutnya kemudian dikirimkan dengan menambahkan nilai 1 pada TTL, sehingga penyerang akan mengetahui setiap loncatan antara host asal dengan host target.

Tabel 2.1 Point dan Jenis Serangan

(

(Sumber : Ariyus, 2007)

2.5 Tujuan Keamanan Komputer

Menurut Ariyus (2007), Mengapa Intrusion Detection Sistem (IDS) ditambahkan untuk meningkatkan keamanan komputer? Pada dasarnya tujuan dari keamanan komputer, yang disingkat dengan CIA, yang merupakan singkatan dari :

1. Confidentiality : Merupakan usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Confidentiality biasanya berhubungan dengan informasi yang diberikan ke pihak lain.

2. Integrity : Keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak di modifikasi oleh orang yang tidak dalam perjalanan informasi tersebut.

Point Serangan

Internal User External User

Denial of Service Menganggu Menganggu

Increase Privilege Serius menganggu Resiko yang serius Superuser

3. Availability : Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.

2.6 Access Control

Menurut Rafiudin (2005). Access Control adalah proses pembatasan privilege (hak istimewa) untuk user atas penggunaan sumber daya sistem. Terdapat tiga tipe pengendalian akses :

1. Administrative Control : Pengendalian berdasarkan kebijakan (policy), informasi kebijakan sekuriti harus sejalan dengan sasaran-sasaran bisnis organisasi.

2. Physical Control: Pengontrolan akses terhadap perangkat-perangkat fisik jaringan, termasuk node-node, pengkabelan, ruangan/bangunan dan asset-aset privatlainnya.

2.7 Definisi Firewall

Menurut Stallings (2003). Firewall merupakan suatu perangkat yang dapat melindungi sebuah sistem lokal jaringan dan sistem jaringan secara efektif dari ancaman keamanan sementara pada waktu mengakses keluar jaringan lewat Wide Area Networkdan melalui jaringan internet.

2.7.1 Karakterikstik Firewall

Berikut adalah tujuan desain untuk firewall:

1. Semua traffic dari dalam ke luar jaringan, dan sebaliknya harus melewati firewall. Dengan firewall ini adalah untuk menghalangi semua akses kepada jaringan lokal kecuali melalui firewall. Mungkin macam konfigurasi firewallsebagai menjelaskan didalam section.

2. Hanya memberikan hak akses traffic sebagai kebijakan keamanan jaringan yang diizinkan lewat. Tipe macam firewallyang digunakan tipe firewall security policy.

3. Firewall itu sendiri mempertahankan. Firewall sistem yang dipercaya dengan sebuah operating systemyang aman.

a. Service Control: Menentukan tipe dari internet service yang dapat diakses dalam ataupun luar jaringan internet. Firewall membolehkan filter packet dalam basis IP address dan TCP nomor port: software proxy yang menerima dan setiap sebelum meminta service melewati proxy atau mungkin host server yang di buat sendiri, seperti web atau mail service.

b. Direction Control : Menentukan petunjuk dimana teliti dalam

meminta service mungkin mengizinkan melewati firewall.

c. User Control : Mengendalikan akses ke sebuah service yang user yang inginkan. Biasanya menerapkan user didalam parameter firewall (local users). Ini mungkin juga menerapkan incoming traffic dari external users, yang belakangan memerlukan dari keamanan teknologi authenticationseperti disediakan IPsec.

d. Behavior Control : Mengontrol dengan teliti bagaimana service yang digunakan. Untuk contoh, firewall membolehkan filter email untuk membersihkan SPAMatau membolehkan mengaktifkan akses eksternal ke hanya informasi sebuah web server.

2.7.2 Jenis-jenis Firewall

Firewall terbagi menjadi tiga jenis, yakni sebagai berikut :

a. Packet-Filtering Router : Sebuah packet-filtering router

dan kemudian diforward atau dibuang paket tersebut. Biasanya konfigurasi router untuk memfilter paket dikedua arah (dari dan ke jaringan internal). Filtering rules didasarkan atas informasi yang terdapat dipaket jaringan.

b. Application-Level Gateway : Application-level gateway juga

disebut sebuah proxy server, yang bertindak sebagai meletakkan dari application-level gatewayyang menggunakan apliaksi TCP/IP, seperti Telnet atau FTP dan gateway meminta user untuk mengakses yaitu meremote host. Bila user dan informasi otentikasi. Application Gateway dalam remote host dan meletekakan pada bagian segment TCP yang berisi aplikasi data diantara kedua endpoint (titik terakhir).

c. Circuit-Level Gateway : Ketiga dari jenis firewall adalah circuit-level gateway. Circuit-circuit-level gateway sistem yang dapat berdiri sendiri atau bisa merupakan suatu fungsi yang melakukan dengan application-level gateway untuk aplikasi. Circuit-level gateway pintu gerbang tidak mengizinkan end-to-end koneksi TCP, satu diantaranya adalah kumpulan dua koneksi. Satu diantaranya gatewaydan sebuah user TCP diluar host.

2.7.3 Firewall Check Point atau Firewall-1

Menurut (Baroto, 2003) Pembuatan firewall-1 berbasis pada teknologi arsitektur stateful Inspection yang akan menjamin keamanan jaringan hingga tingkat tertinggi. Modul inpeksi pada Firewall-1 berisi mesin inspeksi (INSPECT) yang mampu dengan seksama memeriksa seluruh muatan paket pada lapisan komunikasi serta mengambil sari informasi dari kondisi komunikasi dan aplikasi yang sesuai. (Baroto : 2003)

Produk Firewall-1 Entreprise:

1. Modul Manajemen : Manajemen sistem keamanan terpusat berbasis grafis baik untuk satu atau lebih hingga tak terbatas terhadap titik-titik penyelengaraan (enforcement) keamanan atau modul Firewallitu sendiri.

2. Modul Inspeksi :Kontrol akses, Autentikasi klien dan session, Network Address Translation(NAT) dan Auditing.

3. Modul Firewall : Termasuk Modul Inspeksi. Autentikasi User, Sinkronisasi Firewall jamak dan Keamanan Muatan (Content Security).

4. Modul Enkripsi : Menyediakan metode enkripsi DES dan enkripsi FWZ-1.

6. Manajer Keamanan Terbuka : Manajemen keamanan terpusat baik bagi routerproduksi 3Com, Cisco dan server Microsoft NT hingga ke FirewallPLX Cisco.

2.8 Intrusion Detecction System

Menurut (Stalling, 2003). Penyusupan (intruders) salah satu dari dua yang paling mempubilkasikan ancaman keamanan dari intruder/penyusup (virus-virus lainnya), biasanya menunjukan sebagai hacker atau cracker. Pentingnya diawal mempelajari intrusion (gangguan), ada tiga kelas dari intruder :

1. Masquerader : Seseorang yang tidak diberikan hak untuk menggunakan komputer dan siapa yang memasuki sistem, akses controlmengeksploitasi penggunaan account.

2. Misfeasor : User yang mengakses data, program atau sumber daya dimana tidak diberikan hak akses tersebut. Atau seseorang yang diberikan hak akses tetapi disalahgunakan.

3. Clandestine user: Seseorang yang mengambil kendali pengawasan sistem

dan menggunakan control untuk menghindari atau mengontrol, menahan pemeriksaan.

memerlukan informasi dari password user dengan beberapa pengetahuan lain dari password user. Intruderdapat masuk kedalam sebuah sistem dan semua latihan untuk memperoleh hak akses.

Menurut Ariyus (2007).Intrusion Detection System(IDS) merupakan penghambat semua serangan yang akan menganggu sebuah jaringan. Kemampuan dari IDS memberika peringatan kepada administrator server saat terjadi sebuah aktivitas tertentu yang tidak diinginkan administrator sebagai penanggung jawab sebuah sistem. Selain memberikan peringatan, IDS juga mampu melacak jenis aktivitas yang merugikan sebuah sistem. Suatu IDS akan melakukan pengamatan (monitoring) terhadap paket-paket yang melewati jaringan dan berusaha menemukan apakah terdapat paket-paket yang berisi aktivitas mencurigakan sekaligus melakukan tindak lanjut pencegahan. Hal-hal yang dilakukan oleh IDS pada jaringan internal adalah sebagai berikut:

1. Memonitor akses database.

2. Melindungi e-mail server.

3. Memonitor Policy Security.

2.9 Intrusion Detection System (IPS)

System (IPS) yang memiliki kemampuan lebih lengkap. IDS hanya mampu mendeteksi adanya penyusupan dalam jaringan, lalu mengaktifkan peringatan kepada pengguna untuk segera mengambil langkah-langkah mitigasi, sementara IPS langsung mengatasi penyusupan tersebut.

menggantisipasi serangan dengan memasang patch disebut Zero Day Attack semakin dekat. Kemudian perkembangan teknologi memungkinkan IPS bekerja lebih cepat dalam menganalisis pola-pola serangan.

Salah satu merek peranti IPS bahkan memiliki kecepatan maksimal hingga 5 Gigabit per detik (Gbps). IPS pertama kali diperkenalkan One Secure yang kemudian dibeli NetScreen Technologies sebelum akhirnya diakusisi Juni per Networks pada 2004. Salah satu produsen IPS Tip-ping Point juga dibeli penyedia peranti jaringan 3Com Corp. IPS memutuskan memberikan akses kepada jaringan berdasarkan isi paket data, bukan berdasarkan alamat IP (Internet Protocol) atau port seperti firewall. Sistem setup pada IPS sama dengan sistem setuppada IDS. IPS bisa sebagai host-basedIPS (HIPS) yang bekerja untuk melindungi aplikasi dan juga sebagai network-based IPS (NIPS). Mengapa IPS lebih unggul dari IDS ? Karena IPS mampu mencegah serangan yang datang dengan bantuan administrator secara minimal atau bahkan tidak sama sekali. Tidak seperti IDS, secara logik IPS akan menghalangi suatu serangan sebelum terjadi eksekusi pada memori, metode lain dari IPS membandingkan file Checksum yang tidak semestinya dengan file checksum yang semestinya mendapatkan izin untuk dieksekusi dan juga bisa menginterupsi sistem call.

Secara khusus IPS memiliki empat komponen utama :

1. Normalisasi traffic

3. Detection engine

4. Traffic shaper

Normalisasi traffic akan menginterupsikan lalu-lintas jaringan dan melakukan analisis terhadap paket yang disusun kembali, seperti halnya fungsi block sederhana. Lalu-lintas bisa dideteksi dengan detection engine dan service scanner. Service scanner membangun suatu table acuan untuk mengelompokkan informasi dan membantu pembentukkan lalu-lintas informasi. Detection engine melakukan pattern matching terhadap table acuan dan respons yang sesuai. Gambar 2.1 mengilustrasikan proses tersebut secara garis besarnya.

Gambar 2.1 Standar Proses IPS

Tabel 2.2 Perbedaan IDS dan IPS Intrusion Detection System

(IDS)

Intrusion Prevention System (IPS

Install pada segmen jaringan (NIDS) dan pada host (HIDS)

Install pada segmen jaringan (NIPS) dan pada host (HIPS) Berada pada jaringan sebagai

sistem yang pasif

Berada pada jaringan sebagai sistem yang aktif

Tidak bisa menguraikan lalu-lintas enkripsi

Lebih baik melindungi aplikasi

Manajemen kontrol terpusat Manajemen kontrol terpusat

Baik untuk mendeteksi serangan Ideal untuk memblocking perusakan web

Alerting (reaktif) Blocking (proaktif) (Sumber : Ariyus, 2007)

2.10 Skema Analisis IDS dan IPS

IDS dan IPS melakukan analisis terhadap data dan mengidentifikasi aktivitas yang anomalous (ganjil) pada ruang lingkup jaringan dan host. Analisis real time merupakan analisis suatu paket yang akan masuk ke jaringan. Dengan kata lain paket masih dalam lalu-lintas jaringan internet atau jaringan lokal.

Pada dasarnya tujuan dari analisis yang dilakukan IDS dan IPS adalah untuk meningkatkan keamanan pada sistem. Tujuan yang bisa dilakukan oleh IDS dan IPS adalah :

1. Create recordyang aktivitas yang relevan untuk follow-up.

2. Menentukan kekurangan dari jaringan dengan mendeteksi aktivitas khusus.

3. Merekam aktivitas yang tidak sah untuk digunakan untuk keperluan forensic atau criminal prosecution (tuntutan pidana) dari serangan penyusup.

4. Meningkatkan tanggung jawab dengan menghubungkan aktivitas dari individu dari sistem yang lain.

Dengan alasan ini analisis yang dilakukan IDS atau IPS menjadi lebih mudah untuk mencapai tujuan keamanan yang lebih ideal.

Gambar 2.2 Hubungan antara Aktivitas jaringan Baseline dan Anomalous

2.11 Prinsip Kerja IDS pada Jaringan Internal

Istilah intrusion detection systemmerupakan suatu visi dari alat yang diletakkan pada parameter jaringan untuk memberitahu adanya penyusup. IDS juga mempunyai peran penting untuk mendapatkan arsitektur defence-in-depth (pertahanan yang mendalam) dengan melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Banyak dari fungsi jaringan internal yang bisa dimonitor demi keamanan yang maksimal. Hal-hal yang dilakukan oleh IDS pada jaringan internal adalah sebagai berikut :

2.11.1 Memonitor akses database : ketika mempertimbangkan pemilihan kandidat untuk menyimpan data, suatu perusahaan akan memilih database sebagai solusi untuk menyimpan data-data yang berharga. Pentingnya data sama dengan penelitian suatu perusahaan dalam mengembangkan suatu produk unggulan. Jika data yang disimpan di

Baseline activity

dalam database bisa diakses oleh orang-orang yang tidak berhak, maka akan terjadi bencana. Oleh karena itu database server selalu diletakkan pada posisi yang paling dalam dari suatu jaringan dan hanya bisa diakses oleh sumber daya internal. Bagaimanapun statistik dari FBI bahwa akses ke database untuk mencuri data banyak berasal dari jaringan internal, oleh karena itu penggunaan IDS memberikan solusi untuk melindungi database dari exploit seperti contoh :

a. ORACLE drop table attempt

b. ORACLE EXECUTE_SYSTEM attempt c. MYSQL root login attempt

d. MYSQL show database attempt

2.11.2 Melindungi e-mail server : Jika berbicara tentang melindungi e-mail account, banyak user menggunakan software antivirus untuk melakukan scanning terhadap kemungkinan adanya virus. Program antivirus tidak sepenuhnya bisa mendeteksi malicious code. IDS dapat berfungsi untuk mendeteksi virus e-mail seperti QAZ, Worm, NAVIDAD worm, dan versi terbaru dari ExploreZip. IDS dapat dimodifikasi sedemikian rupa untuk mengatasi masalah malicious code. Software antivirus selalu diperbaharui (update) oleh vendornya sehingga akan ada biaya tambahan untuk hal tersebut. Perkembangan dari teknologi malicious code perlunya dipertimbangkan untuk masalah e-mail security dari serangan terhadap mail server. IDS mampu mendeteksi e-mail secara simultan untuk menghindari serangan ke mail server. IDS dapat di atur untuk mendeteksi dan menghalangie-mail bombyang bisa melumpuhkan mail server. 2.11.3 Memonitor policy security :Security policymerupakan suatu aturan

2.12 Tujuan Penggunaan IDS

IDS merupakan software atau hardware yang melakukan otomatisasi proses monitoring kejadian yang muncul disistem komputer atau jaringan, menganalisanya untuk menemukan permasalahan keamanan. IDS adalah pemberi sinyal pertama jika seorang penyusup mencoba membobol sistem keamanan komputer kita. Secara umum penyusupan bisa berarti serangan atau ancaman terhadap keamanan dan integritas data, serta tindakan atau percobaan untuk melewati sebuah sistem keamanan yang dilakukan oleh seseorang dari internet maupun dari dalam sistem.

IDS tidak dibuat untuk menggantikan fungsi firewall karena kegunaanya berbeda. Sebuah sistem firewall tidak bisa mengetahui apakah sebuah serangan sedang terjadi atau tidak. tetapi IDS mengetahuinya. Dengan meningkatnya jumlah serangan pada jaringan, IDS merupakan sesuatu yang diperlukan pada infrastruktur keamanan di kebanyakan organisasi.

Secara singkat, fungsi IDS adalah pemberi peringatan kepada administrator atas serangan yang terjadi pada sistem kita. Alasan mempergunakan IDS :

1. Untuk mencegah resiko timbulnya masalah.

probing, atau eksploitasi pencarian titik masuk. Pada sistem tanpa IDS, penyusup memiliki kebebasan melakukannya dengan resiko lebih kecil. IDS yang mendapati probing, bisa melakukan blok akses , dan memberitahukan tenaga keamanan yang selanjutnya mengambil tindakan lebih lanjut.

3. Untuk mendeteksi usaha yang berkaitan dengan serangan misal probing dan aktivitasdorknob rattling.

4. Untuk mendokumentasikan ancaman yang ada ke dalam suatu organisasi. IDS akan mampu menggolongkan ancaman baik dari dalam maupun dari luar organisasi. Sehingga membantu pembuatan keputusan untuk alokasi sumber daya keamanan jaringan.

5. Untuk bertindak sebagai pengendali kualitas pada adminitrasi dan perancangan keamanan, khususnya pada organisasi yang besar dan kompleks. Saat ini IDS dijalankan dalam waktu tertentu, pola dari pemakaian sistem dan masalah yang ditemui bisa nampak. Sehingga akan membantu pengelolaan keamanan dan memperbaiki kekurangan sebelum menyebabkan insiden.

Meskipun vendor dan administrator berusaha meminimalkan vulnerabilitas yang memungkinkan serangan, ada banyak situasi yang tidak memungkinkan hal ini :

1. Pada banyak sistem, tidak bisa dilakukan patch atau update sistem operasi.

2. Administrator tidak memiliki waktu atau sumber daya yang mencukupi untuk melacak dan menginstall semua patchyang diperlukan. Umumnya ini terjadi dalam lingkungan yang terdiri dari sejumlah besar host dengan hardwaredan softwareyang berbeda.

3. User mempergunakan layanan protokol yang merupakan sumber vulnerabilitas.

4. Baik user maupun administrator bisa membuat kesalahan dalam melakukan konfigurasi dan penggunaan sistem.

5. Terjadi disparitas policy yang memungkinkan user melakukan tindakan yang melebihi kewenangannya.

Salah satu tujuan dari pengelolaan keamanan komputer adalah mempengaruhi perilaku dari user dengan suatu jalan yang akan melindungi sistem informasi dari permasalahan keamanan. IDS membantu organisasi mencapai tujuan ini dengan meningkatkan kemampuan penemuan resiko.

2.12.1 Tipe Intrusion Detection System (IDS)

1. Host-Based : IDS host-based bekerja pada host yang akan dilindungi. IDS jenis ini dapat melakukan berbagai macam tugas untuk mendeteksi serangan yang dilakukan pada host tersebut. Keunggulan IDS host-based adalah pada tugas-tugas yang berhubungan dengan keamanan file yang telah di ubah atau ada usaha untuk mendapatkan akses ke file-file yang sensitive.

2. Network-Based: IDS network-basedbiasanya berupa suatu mesin

yang khusus dipergunakan untuk melakukan monitoring seluruh segmen dari jaringan. IDS network-based akan mengumpulkan paket-paket data yang terdapat pada jaringan dan kemudian menganalisanya serta menentukan apakah paket-paket itu berupa suatu paket yang normal atau suatu serangan atau berupa aktivitas yang mencurigakan. Yang akan dikembangkan tipe IDS adalah NIDS

Pembagian jenis-jenis IDS yang ada pada saat sekarang ini didasarkan atas beberapa terminology, di antaranya :

1. Arsitektur Sistem

Dibedakan menurut komponen fungsional IDS, bagaimana diatur satu sama lainnya.

maka penyusup dapat dengan mudah mematikan IDS tipe ini.

b. Host-Target Separation : IDS diletakkan pada komputer yang berbeda dengan yang akan dilindungi.

2. Tujuan Sistem

Walaupun banyak tujuan berhubungan dengan mekanisme keamanan secara umum, ada dua bagian tujuan Intrusion Detection System (IDS), diantaranya adalah :

a. Tanggung jawab : adalah kemampuan untuk menghubungkan suatu kegiatan dan kejadian dan bertanggung jawab terhadap semua yang terjadi. Hal ini sangat penting saat terjadi suatu serangan. Administrator bertanggung jawab terhadap sistem yang dikelola.

b. Respons : Suatu kemampuan untuk mengendalikan aktivitas yang merugikan dalam suatu sistem komputer. Jika terjadi serangan maka harus mampu menghalangi atau mengendalikan serangan tersebut.

3. Strategi Pengendalian

a. Terpusat : Seluruh kendali pada IDS, baik monitoring, deteksi dan pelaporannya dikendalikan secara terpusat.

b. Terdisribusi parsial : Monitoring dan deteksi dikendalikan dari node lokal dengan hierarki pelaporan pada satu atau beberapa pusat lokasi.

c. Terdistibusi total : Monitoring dan deteksi menggunakan pendekatan berbasis agen, dimana keputusan respons dibuat pada kode analisis.

4. Waktu

Waktu dalam hal ini berarti waktu antara kejadian, baik monitoring ataupun analisis. Jenis IDS menurut terminology ini adalah :

a. Interval-Based (Batch mode) : informasi dikumpulkan terlebih dahulu dan kemudian dievaluasi menurut interval waktu yang telah ditentukan.

5. Sumber informasi

IDS ini dibedakan menurut sumber daya yang diperoleh. Terminologi ini sering digunakan untuk membagi jenis-jenis IDS. Jenis-jenis IDS menurut terminologi ini di antaranya :

2.12.1.1 Host-Based : IDS memperoleh informasi dari sebuah sistem komputer. Host-based IDS memperoleh informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Data host-based IDS biasanya berupa log yang dihasilkan dengan memonitor sistem file event, dan keamanan pada Windows NT dan syslog pada lingkungan sistem operasi UNIX. Saat terjadi perubahan pada log tersebut maka dilakukan analisis apakah sama dengan pola serangan yang ada pada basis data IDS.

Teknik yang sering digunakan pada host-based IDS adalah dengan melakukan pengecekan pada kunci file sistem dan file eksekusi dengan checksum pada interval waktu tertentu untuk mendapatkan perubahan yang tidak diharapkan (unexpected changes). Pewaktuan atas respons berkolerasi dengan interval waktu yang didefinisikan untuk melakukan polling pengumpulan data.

Host-based IDS tidak secepat network-based IDS dalam mendeteksi adanya serangan. Host-based IDS memiliki beberapa kelebihan yang tidak dapat dimiliki network-based IDS. Kelebihan tersebut termasuk analisis forensicyang lebih kuat, fokus terhadap sebuah host, dan lainnya.

Beberapa kelebihan host-based IDS itu sendiri antara lain :

dengan network-basedIDS. Metode ini menjadi sebuah komplemen yang baik untuk network-basedIDS.

b. Memonitor aktivitas sistem tertentu. Sistem ini memonitor aktivitas pengguna dan akses terhadap file, termasuk pengaksesan file, penggantian atribut file, percobaan untuk instalasi file eksekusi baru dan /atau percobaan untuk mengakses service privileged.

c. Mendeteksi serangan yang lolos dari network-based IDS. Host-based IDS mendeteksi serangan yang tidak dapat dikenali oleh network-based IDS. Sebagai contoh adalah serangan melalui sistem lokal yang tidak melalui jaringan.

Beberapa kelemahan dari host-based di antaranya adalah :

a. Manajemen yang rumit, informasi harus dikonfigurasi untuk setiap hostyang ada.

b. Sedikit sumber informasi (dan kadang, bagian dari analisis engine), karena host-based berada pada host yang menjadi target suatu serangan. Jika suatu IDS host-based dilumpuhkan oleh penyerang maka penyerang bisa mendapatkan akses terhadap hosttersebut.

c. Host-based tidak cocok untuk mendeteksi jaringan atau melakukan monitoring terhadap suatu jaringan karena IDS hanya memonitor paket yang diterima pada hosttersebut.

d. Host-based dapat dilumpuhkan oleh serangan denial of service.

Network adapter berjalan pada mode prosmicuous untuk memonitor dan melakukan analisis paket-paket yang ada yang berjalan di jaringan.

Gambar 2.4 Network-Based IDS (Ariyus, 2007)

Beberapa cara yang digunakan untuk mengenali serangan pada Network-basedIDS ini antara lain :

a. Pola data, ekpresi atau pencocokan secara bytecode.

b. Frekuensi atau pelanggaran ambang batas.

c. Korelasi yang dekat dengan sebuah event.

Network-based IDS memiliki kelebihan yang tidak dapat diberikan oleh IDS yang lain. Di bawah ini beberapa kelebihan dari Network-basedIDS :

a. Biaya yang lebih rendah. Network-based IDS memungkinkan pengawasan yang strategis pada titik akses yang kritis untuk menampilkan network traffic untuk beragam sistem yang akan diamati sehingga sistem ini tidak memerlukan perangkat lunak untuk digunakan dan diatur pada banyak host. Karena kebutuhan titik deteksi yang lebih sedikit, maka biayanya lebih rendah.

b. Deteksi serangan yang tidak terdeteksi oleh Host-based IDS. Sistem ini memeriksa semua packet header untuk mencari aktivitas yang mencurigakan. Beberapa serangan yang tidak dapat dideteksi oleh Host-based IDS adalah IPbased DoS dan Fragmented Packet (Tear Drop). Serangan tersebut dapat diidentifikasi dengan membaca header dari paket yang ada.

a. Network-based IDS sulit untuk memproses semua paket yang besar dan jaringan yang sibuk sehingga akan gagal dalam mendeteksi serangan yang terjadi jika suatu jaringan sangat sibuk (aktivitas yang tinggi). Beberapa dari vendor IDS mencoba memecahkan masalah ini dengan menerapkan IDS dalam perangkat keras, yang mana bisa mendeteksi serangan dalam lalu-lintas yang sibuk sekali.

b. Banyak keuntungan IDS tidak berlaku untuk jaringan yang menggunakan metode switch-basedyang lebih modern.

c. Network-basedIDS tidak bisa menganalisis paket yang telah dienkripsi.

secara manual untuk mencari kemungkinan host mana yang terserang.

e. Banyak dari network-based IDS mempunyai masalah bila berhadapan dengan serangan yang menggunakan paket fragmentasi. Paket seperti ini menyebabkan suatu network-based IDS menjadi tidak stabil dan crash.

intranet) ke jaringan atau komputer yang kita miliki. Sebuah NIDS biasanya digunakan bersamaan dengan firewall. Hal ini untuk menjaga supaya snort tidak terancam oleh serangan.

Respons serangan pada IDS network-based di antaranya adalah :

1. Notifikasi

a. Alarmke console

b. E-mail

c. SNMP Trap

d. Melihat sesi yang aktif

2. Logging

a. Summary Report

b. Raw Network Data

3. Respons aktif

a. TCP reset

b. Konfigurasi ulang firewall

Tabel 2.3 Perbedaan NIDS dan HIDS:

NIDS HIDS

Ruang lingkup yang luas (mengamati semua aktivitas jaringan)

Ruang lingkup yang terbatas (mengamati hanya aktivitas pada host tertentu).

Lebih mudah melakukan setup Setupyang kompleks Lebih baik untuk mendeteksi

serangan yang berasal dari luar jaringan.

Lebih baik untuk mendeteksi serangan yang berasal dari dalam jaringan.

Pendeteksian berdasarkan pada apa yang direkam dari aktivitas jaringan.

Pendeteksian berdasarkan pada single host yang diamati semua aktivitasnya.

Menguji packet header Packet headertidak diperhatikan Respons yang real time Selalu merespons setelah apa yang

terjadi. OS-independent OS-specific Mendeteksi serangan terhadap

jaringan serta payload untuk di analisis

Mendeteksi serangan local sebelum mereka memasuki jaringan.

Mendeteksi usaha dari serangan yang gagal

Menverifikasikan sukses atau gagalnya suatu serangan.

Sumber (Ariyus, 2007)

2.12.1.3 Distrubusi Intrusion Detection System

pada waktu tertentu atau upload secara terus-menerus ke managemen stationNIDS.

Pendistribusian IDS menggunakan lebih dari satu NIDS pada suatu jaringan komputer, sehingga lebih mudah untuk mendeteksi semua jaringan. Hal ini sangat membantu jika tejadi traffic pada lalu-lintas jaringan tersebut.

Gambar 2.5 Distribusi Intrusion Detection System (Ariyus : 2007)

Gabungan dari kedua teknologi tersebut meningkatkan resistantsi jaringan terhadap serangan dan penyalagunaan, meningkatkan pelaksanaan kebijakan keamanan dan kelebihan dalam fleksibilitas ketersebaran sistem.

Beberapa fitur yang diharapkan pada generasi lanjut IDS antara lain :

1. Integrasi antara network-based IDS dan Host-basedIDS

2. Manajemen konsol yang generic untuk semua produk.

3. Integrasi basisdata event.

4. Integrasi system report.

5. Kemampuan menghubungkan event dengan serangan.

6. Integrasi dengan on-line help untuk respons insiden.

Proses dasar dari IDS, baik pada NIDS atau HIDS, adalah mengumpulkan data, melakukan pre-proses, dan mengklasifikasikan data tersebut. Dengan analisis statistic suatu aktivitas yang tidak normal akan bisa dilihat, sehingga IDS bisa mencocokkan dengan data dan pola yang sudah ada. Jika pola yang ada cocok dengan keadaan yang tidak normal maka akan dikirim respons tentang aktivitas tersebut.

2.12.1.5 Skema Analisis IDS

IDS melakukan analisis terhadap data dan mengidentifikasi aktivitas yang anomalous (ganjil) pada ruang lingkup jaringan dan host. Analisis real time merupakan analisis suatu paket yang akan masuk ke jaringan. Dengan kata lain paket masih dalam lalu-lintas jaringan internet atau jaringan lokal.

Pada dasarnya tujuan dari analisis yang dilakukan IDS adalah untuk meningkatkan keamanan pada sistem. Tujuan yang bisa dilakukan IDS adalah:

2. Menentukan kekurangan dari jaringan dengan mendeteksi aktivitas khusus.

3. Merekam aktivitas yang tidak sah untuk digunakan untuk keperluan forensik atau criminal prosecution (tuntutan pidanan) dari serangan penyusup.

4. Bertindak sebagai penghalang aktivitas malicious code.

5. Meningkatkan tanggung jawab dengan menghubungkan aktivitas dari individu dari sistem yang lain.

2.13 Snort

Snort bisa dioperasikan dengan empat mode (Roesch, 2009) :

a. Sniffer Mode: Snort membaca trafficatau paket-paket yang berada di dalam sistem jaringan dan menampilkan ke layar console.

b. Packet Logger Mode: Snort membaca traffic dan melakukan logging

(pencatatan dan penyimpanan) aktivitas sensor.

c. Network Intrusion Detection Mode : Snort membaca dan

menganalisis trafficmenggunakan ruleset/signaturesuntuk mendeteksi aktivitas intrusi dan melakukan loggingaktivitas sensor.

d. Inline Mode : Snort membaca, menganalisis traffic, logging dan

berinteraksi dengan firewalluntuk membloktrafficintrusi memicu.

2.13.1 Fitur-Fitur Snort

Berikut ini adalah beberapa fitur snort (Kohlenberg) :

a. Merupakan program IDS/IPS berbasis signature open-source yang menyediakan fungsionalitas yang terdapat pada NIDS komersil.

c. Membutuhkan resource yang relatif kecil dan mendukung berbagai platform sistem operasi, baik terbuka (Linux/Unix) atau komersial (MacOS, Windows).

d. Merupakan program modular dimana komponennya terdiri dari plugin yang memiliki fungsi yang spesifik. Hal ini membuat snort, mudah dikelola, mudah dimodifikasi, dan mudah dikembangkan.

e. Mempermudah proses analisis sistem jaringan, mencakup pengujian yang lebih mendetail pada konten serangan (NIDS), live traffic sampling terhadap traffic yang diamati (packet sniffer), serta data-data dari event jaringan masa lampau (packet logger).

2.13.2 Komponen Snort

Snort mempunyai enam komponen dasar yang bekerja saling berhubungan satu dengan yang lain seperti berikut ini (Ariyus, 2007) :

2. Preprocessors : Merupakan suatu jaringan yang mengindentifikasi berbagai hal yang harus diperiksa seperti Detection Engine. Pada dasarnya preprocessors berfungsi mengambil paket yang mempunyai potensi yang berbahaya yang kemudian dikirim ke detection engine untuk dikenali polanya.

3. Global Section : Mengizinkan untuk mapping file untuk IIS Unicode, Configure alert untuk proxy server dengan proxy_alert (jika menggunakan proxy server) atau konfigurasi deteksi lalu-lintas HTTP pada nonauthorized port dengan menggunakan detect_anomalous_traffic.

4. Server Section : Mengizinkan untuk setting HTTP server

profiles yang berbeda untuk beberapa server yang berbeda. Konfigurasi tipe serangan dan menormalisasikan berdasarkan server yang ada.

6. Detection Engine : Menggunakan detection plugins, jika ditemukan paket yang cocok maka snort akan menginisialisasi paket tersebut sebagai suatu serangan.

59 3.1 Metode Pengumpulan Data

Menurut Nazir (2005) metode pengumpulan data tidak lain dari suatu proses pengadaan data primer untuk keperluan penelitian. Pengumpulan data merupakan langkah yang amat penting dalam metode ilmiah, karena pada umumnya data yang dikumpulkan digunakan untuk menguji hipotesis yang telah dirumuskan. Data yang dikumpulkan harus cukup valid untuk digunakan.

Pengumpulan data adalah prosedur yang sistematis dan standar untuk memperoleh data yang diperlukan. Metode yang digunakan penulis dalam penulisan penelitian dibagi menjadi dua, yaitu metode pengumpulan data dan metode pengembangan sistem.

Berikut penjelasan kedua metode tersebut :

3.1.1 Studi Lapangan/Observasi

3.1.2 Studi Pustaka atau literature

Metode pengumpulan data melalui buku atau browsing internet yang dijadikan sebagai acuan analisa penelitian yang dilakukan. Dalam proses pencarian dan perolehan data penulis mendapat referensi dari perpustakaan dan secara online melalui internet. Referensi tersebut sebagai acuan untuk membuat landasan teori. Dan referensi-referensi apa saja yang digunakan oleh penulis dapat dilihat pada Daftar Pustaka.

Studi literatur yang penulis gunakan sebagai referensi yaitu : Tabel 3.1 Studi Literatur

No. JUDUL PENULIS TAHUN PEMBAHASAN

1. Pengembangan

Intrusion Detection System dan Active

Response Pada

Transparent Single-Homed Bastion Host

Http Proxy Server Firewall Sebagai Keamanan Sistem Proxy Rachmat Hidayat Al-Anshar

2. Perancangan dan implementasi Intrusion Detection System Pada Jaringan Nirkabel BINUS University. Abraham Nethanel Setiawan Junior, Agus Harianto, Alexander.

2009 Merancang IDS menggunakan Snort dengan tampilan

antarmuka berbasiskan web dan implementasi sistem untuk memantau aktifitas para pengguna HotSpot BINUS University. Penelitian ini berisi analisa gangguan pada jaringan nirkabel BINUS, usulan solusi keamanan pada jaringan, proses dan cara kerja sistem IDS yang dibuat dengan basis web, serta evaluasi penerapan sistem IDS pada jaringan. 3. INTRUSION DETECTION DAN REPORTING SYSTEM BERBASIS MOBILE AGENT P. Tri Riska Ferawati Widiasrini

2006 Penekanan skirpsi ini terarah pada intrusion detection and reporting system (IDRS) berbasis mobile agent (MA) yang bisa diterapkan pada setiap platform sistem operasi di setiap konfigurasi jaringan