33
Bab 3
Metode dan Perancangan Sistem
Pada bab ini, berisikan tentang perancangan IDS Snort dan
metode yang digunakan dalam melakukan proses investigasi
serangan. Metode yang digunakan adalah model proses forensik
(The Forensic Process Model).
Gambar 3.1 The Forensic Process Model
Berikut ini merupakan tahapan dalam The Forensic Process Model yang menjadi dasar penelitan:
1. Tahap Collection
Pada tahap ini yang dilakukan adalah mencari bukti-bukti,
pengenalan terhadap bukti-bukti penyusupan dan pengumpulan
bukti-bukti. IDS Snort digunakan untuk mendeteksi adanya aktifitas
34
log Snort dan file access log pada Squid. Pada Snort terdapat
signature atau rule yang mengekstrak ciri dari paket data yang melewati jaringan, sehingga jika ada paket data yang mencurigakan
dan sesuai dengan signature atau rule pada Snort, maka Snort engine
akan meng-capture dan mengirimkan pesan alert untuk disimpan ke dalam file log.
2. Tahap Examination
Pada tahap ini meliputi pemeriksaan dan pencarian
informasi-informasi yang tersembunyi pada file log Snort dan file access log
yang sebelumnya telah dikumpulkan pada tahap collection. File log Snort akan dipilah-pilah berdasarkan karakteristik dari sebuah
serangan. Adapun file access log akan dipilah-pilah berdasarkan elemen-elemen penyusunnya.
3. Tahap Analysis
Pada tahap ini akan terlihat hasil pemeriksaan dan penelitian
yang dilakukan pada file log Snort dan access log sebagai pembuktian adanya penyusupan. Tahap analysis ini, dapat digunakan untuk menjawab pertanyaan investigasi forensik yaitu
serangan apa yang terjadi, IP siapa yang melakukan serangan, kapan
serangan itu terjadi, dimana serangan itu terjadi.
4. Tahap Reporting
Tahapan ini meliputi penulisan laporan dari tahap awal sampai
tahap akhir dalam suatu penelitian. Dimulai dari proses
pengumpulan bukti-bukti, pemeriksaan dan analisis data yang
diperoleh dari semua penyelidikan. Dari hasil analisis bukti-bukti
35
3.1
Perencanaan Topologi Jaringan
Pada tahap ini dilakukan perancangan topologi jaringan sesuai
dengan rancangan penelitian yang akan dilakukan. Perancangan
dimulai dengan melakukan skenario penyerangan terhadap sistem
IDS yang akan dibuat. Skenario penyerangan dibagi menjadi dua,
yaitu:
1. Skenario serangan SQL Injection.
2. Skenario serangan Cross Site Scripting (XSS).
Langkah selanjutnya yaitu menentukan desain topologi
jaringan. Pada Gambar 3.2 merupakan gambar rancangan jaringan
yang akan digunakan menggunakan aplikasi Edraw Max. Perangkat jaringan yang digunakan terdiri dari sebuah PC yang akan
difungsikan sebagai Intrusion Detection System (IDS) berbasis Snort, sebuah Router Mikrotik yang digunakan untuk menghubungkan setiap segmen interface yang berbeda dan sebuah laptop pada jaringan lokal yang berfungsi sebagai attacker. Router Mikrotik ini nantinya akan dikonfigurasi port mirroring. Port mirroring
36
Gambar 3.2 Topologi Jaringan IDS
Gambar 3.2 menunjukkan desain topologi jaringan yang ada
dalam penelitian. Gambar 3.2 juga menjelaskan tentang skenario
penyerangan yang akan dilakukan dalam penelitian. Attacker akan melakukan serangan SQL Injection dan Cross Site Scripting (XSS) melalui sebuah laptop pada jaringan lokal. Selanjutnya IDS Snort
akan mendeteksi serangan tersebut sesuai dengan signature atau rule
37 3.1.1Alur Kerja IDS
Gambar 3.3 Alur Kerja IDS
Gambar 3.3 merupakan alur kerja IDS. Dimulai dari paket data
yang memasuki interface jaringan yang sudah dikonfigurasi dalam Snort. Paket data tersebut akan dibaca oleh Snort engine untuk kemudian dicocokkan dengan signature yang ada dalam rules Snort. Jika paket data tersebut sesuai dengan signature yang ada pada rules
Snort, maka Snort akan mengangap itu sebagai sebuah intruisi dan Snort akan menyimpan alert tersebut ke file log. Namun jika paket data tersebut bukan merupakan intruisi, maka paket data akan
38
3.2
Kebutuhan Sistem
Tahap selanjutnya yaitu menentukan apa saja kebutuhan yang
diperlukan untuk membangun sistem ini. Analisis kebutuhan
dilakukan untuk menganalisa apa saja yang harus diperlukan dalam
membangun sistem tersebut supaya sistem yang dibangun sesuai
dengan yang diharapkan sehingga sistem dapat memberikan layanan
terbaik dalam mendeteksi serangan pada jaringan.
3.2.1Spesfikasi Sistem
Pada penelitian yang dilakukan ini, membutuhkan beberapa
aspek kebutuhan yang harus dipenuhi untuk implementasi sistem.
Kebutuhan yang utama yaitu kebutuhan dari perangkat keras dan
perangkat lunak.
a) Kebutuhan Hardware
Untuk membangun sistem yang akan diimplementasikan dalam
penelitian ini, spesifikasi perangkat keras yang dibutuhkan meliputi:
1. Dua buah laptop yang akan difungsikan sebagai attacker dan
Intrusion Detection System (IDS) berbasis Snort dengan spesifikasi sebagai berikut:
a) Laptop (IDS Snort)
Processor Intel dual Core 1.8 Ghz Ram 2GB
Hard disk 500 GB
39 Hard disk 500 GB
2. Sebuah router Mikrotik RB750 dengan konfigurasi port mirroring yang memiliki spesifikasi sebagai berikut:
Processor AR7241 400MHz RAM 32 MB
Main Storage 64 MB LAN Ports 5
Operating System RouterOS
3. Kabel UTP untuk menghubungkan perangkat jaringan.
b) Kebutuhan Software
Disamping kebutuhan terhadap hardware, terdapat pula
software yang tentunya diperlukan dalam mendukung perancangan jaringan dalam penelitian ini. Software yang diperlukan antara lain. 1. Operating System (OS)
Sistem operasi yang digunakan dalam penelitian ini adalah
Linux Ubuntu 12.04 LTS untuk IDS Snort, Windows 7 untuk
laptop penyerang dan Mikrotik RouterOS. 2. Winbox
Perangkat lunak yang digunakan untuk melakukan konfigurasi
pada mikrotik.
3. Wireshark
40
4. Edraw Max
Perangkat lunak yang akan digunakan untuk mendesain
topologi jaringan dalam penelitian ini.
3.3
Konfigurasi Sistem
Pada tahapan ini akan dilakukan alur kerja sesuai dengan
persiapan sistem yang sudah dirancang dan dipersiapkan
sebelumnya untuk kemudian akan direalisasikan dalam suatu sistem
jaringan yang nyata sesuai dengan desain yang telah dibuat.
Konfigurasi sistem ini bertujuan untuk melakukan pengecekan
apabila terdapat permasalahan dalam sistem sebelum sistem
diterapkan secara nyata.
3.3.1Konfigurasi IDS Snort
Pada tahap awal yaitu melakukan instalasi dan konfigurasi
pada mesin IDS yang akan dibuat. Tahap awal dimulai dengan
menginstal paket-paket yang dibutuhkan oleh sistem IDS. Setelah itu
dilakukan instalasi paket Snort. Selanjutnya dilakukan konfigurasi pada Snort engine. Snort engine akan dimodifikasi sesuai dengan kebutuhan dan spesifikasi jaringan yang akan dipindai oleh Snort.
Langkah selanjutnya adalah melakukan uji coba Snort engine, jika berhasil maka Snort engine siap digunakan untuk mendeteksi serangan, tetapi jika gagal kembali lagi ke proses konfigurasi Snort
engine.
Pada mesin IDS ini juga dilengkapi dengan Squid access log
41
paket-paket lain yang dibutuhkan. Setelah itu konfigurasi file pada
squid.conf sesuai dengan kondisi jaringan yang ada dalam penelitian.
3.3.2Konfigurasi Dasar Router Mikrotik
Untuk membangun jaringan IDS Snort, akan dilakukan
konfigurasi pada router Mikrotik. Router Mikrotik RB750 mempunyai lima buah interfacelist, yang mana lima buah interface
tersebut mampu berdiri sendiri dengan membentuk lima segment network yang berbeda. Sesuai topologi yang dibuat dalam penelitian, tiga buah interface Mikrotik akan dibutuhkan, pertama menuju modem ADSL (internet), kedua menuju IDS Snort, dan yang ketiga menuju interface jaringan lokal. Selanjutnya akan dilakukan penandaan pada interface dengan mengganti nama default ketiga
interface agar mudah dikenali.
Gambar 3.4 Interface List
Pada Gambar 3.4 terlihat pengaturan nama interface dimana hanya tiga buah interface Mikrotik saja yang akan digunakan. Pemberian nama interface ini memiliki penjelasan sebagai berikut: Interface 1 dengan nama ether1-toINT yang berarti interface
42
Interface 2 dengan nama ether2-toSnort yang berarti interface
tersebut menuju ke IDS Snort.
Interface 3 dengan nama ether3-toLAN yang berarti interface
tersebut menuju ke jaringan lokal.
Setelah pemberian nama pada setiap interface selesai, selanjutnya dilakukan pemberian IP jaringan dengan segmen
berbeda pada setiap interface sesuai dengan fungsi masing-masing.
Gambar 3.5 Address List
Pada Gambar 3.5 merupakan konfigurasi pemberian IP
address sesuai dengan fungsi masing-masing dari setiap interface
yang berbeda. Interface ether1-toINT mempunyai IP address
192.168.1.100/24 karena mengikuti network dari modem speedy
menuju ke jaringan public. Interface ether2-toSnort yang menuju IDS Snort memiliki IP 192.168.2.1/24. Sedangkan jaringan lokal
yang diwakili ether3-toLokal dengan IP address 192.168.0.1/24. Selanjutnya konfigurasi default gateway dengan IP address
192.168.1.1 yang merupakan segment network pada modem ISP
speedy yang terhubung pada interface ether1-toINT Mikrotik. Konfigurasi dapat dilihat pada Gambar 3.6 baris pertama. Pada
43
Gambar 3.6 Route List
Konfigurasi firewall NAT dilakukan agar semua segmen
interface pada jaringan dapat mengakses internet. Konfigurasi tersebut dapat dilihat pada Gambar 3.7.
Gambar 3.7 Konfigurasi NAT
Pada gambar 3.7 baris pertama dan kedua menjelaskan
konfigurasi dari firewall NAT menggunakan mode masquerade
dengan ether1-toINT sebagai gateway menuju internet. Artinya semua paket data yang berasal dari source address 192.168.2.2 dan 192.168.0.0/24 dapat mengkases internet. Selanjutnya pada baris
44
(redirect) semua trafik HTTP yang menuju internet ke Squid Proxy
dengan IP address 192.168.2.2 melalui port 3128.
Hal terakhir yang dilakukan adalah konfigurasi port mirroring
pada Mikrotik. Konfigurasi port mirroring ini berfungsi untuk melakukan sniffing trafik dalam jaringan yaitu dengan melakukan
copy trafik dari interface asli (Mirror-Source) kemudian mengarahkan trafik tersebut ke port lain (Mirror-Target).
Gambar 3.8 Konfigurasi Port Mirroring
Pada Gambar 3.8 dapat dilihat konfigurasi port mirroring.
Semua trafik dari ether3-to-LAN akan di-mirrorkan ke ether2-to-Snort, dimana ether2-to-Snort sudah terhubung dan terpasang alat
![[Modul Konsep Jaringan] Bab 7 Koneksi Dua Jaringan dengan Router Linux](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACH5BAEAAAAALAAAAAABAAEAAAICRAEAOw==)