BERBASISNSNORTNINLINE
Oleh:
Mick Sandy Pratama (0834010275)
TEKNIKNINFORMATIKA
FAKULTASNTEKNOLOGININDUSTRI
UNIVERSITASNPEMBANGUNANNNASIONAL
ABSTRAK
Keamanan jaringan komputer dikategorikan dalam dua bagian keamanan fisik dan non-fisik. Keamanan fisik atau non-fisik keduanya sangat penting, namun yang terpenting adalah bagaimana cara agar jaringan komputer tersebut terhindar dari gangguan. Gangguan tersebut dapat berupa gangguan dari dalam atau luar. IPS (Intruston Preventton System) adalah sebuah metode yang bekerja untuk monttortng trafftc jaringan, mendeteksi aktivitas mencurigakan dan melakukan pencegahan dini terhadap kejadian yang dapat membuat jaringan menjadi berjalan tidak sebagaimana mestinya. Serangan yang sering dilancarkan oleh para hacker adalah backdoor dan synflood. Hacker memilih serangan backdoor bertujuan untuk mengakses sistem, aplikasi, atau jaringan dengan hak akses khusus, sedangkan serangan synflood bertujuan untuk membanjiri sistem oleh permintaan sehingga sistem menjadi terlalu sibuk dan dapat berakibat macetnya sistem (hang). Snort adalah sebuah software ringkas yang berguna untuk mengamati aktivitas dalam suatu jaringan komputer. Dari sanalah muncul penelitian-penelitian yang membahas tentang keamanan jaringan.
Banyak tool yang digunakan untuk mengamankan jaringan misalnya ftrewall, namun ftrewall saja tidak cukup efisien dalam mengamankannya. Oleh sebab itu, berkembanglah teknologi IPS dari teknologi awal IDS. Sebagai IDS, Snort hanya menganalisa paket yang ada dan memberikan peringatan bila terjadi serangan dari hacker. Jika seperti ini kasusnya, IDS dikatakan bekerja dalam modus pasif. Bila ingin Snort memblokir upaya serangan dan memberikan respon atas serangan hacker maka Snort harus berkerja sebagai IPS, Snort akan berfungsi sebagai IPS bila berjalan dalam modus tnltne.
Dari ujicoba serangan backdoor dan synflood yang telah dilakukan terbukti bahwa Snort Inline dapat melakukan drop terhadap serangan backdoor dan synflood dapat disimpulkan bahwa metode IPS lebih handal daripada Metode IDS yang hanya menganalisa packet yang ada. Sehingga disarankan untuk meningkatkan kemampuan sistem pada masa yang akan datang.
Kata Kunci: IPS (Intrusion Prevention System), Snort Inline, synflood, backdoor
Puji syukur kehadirat Tuhan Yang Maha Esa, atas semua berkat dan rahmat kasih yang dianugerahkanNya sehingga dapat terselesaikannya Tugas Akhir yang berjudul “Pengamanan Jaringan Komputer Menggunakan Metode IPS (Intrusion Prevention System) Terhadap Serangan Backdoor dan Synflood Berbasis Snort Inline”.
Penyusunan laporan tugas akhir ini diajukan untuk menyelesaikan dan memenuhi salah satu syarat yang harus ditempuh oleh setiap mahasiswa Jurusan Teknik Informatika, Fakultas Teknologi Industri Universitas Pembangunan Nasional”Veteran”Jawa Timur.
Dalam penyusunan laporan ini, penulis tidak lepas dari bantuan dan dorongan dari berbagai pihak. Oleh karena itu, pada kesempatan kali ini penulis mengucapkan terima kasih kepada :
1. Bapak Ir. Sutiyono, MT, selaku dekan FTI Universitas Pembangunan Nasional”Veteran”Jawa Timur.
2. Ibu Dr.Ir.Ni Ketut Sari, MT, selaku ketua Jurusan Teknik Informatika Universitas Pembangunan Nasional”Veteran”Jawa Timur.
3. Bapak Hudan Studiawan, S.kom , M.kom selaku dosen pembimbing , atas masukan dan bimbingannya selama ini penulis ucapkan terima kasih.
4. Bapak Kafi Ramadhani Borut, S.kom yang membantu dan membimbing saya untuk memahami Tugas Akhir ini.
7. Adikku Vita Dian Permata Sari dan Ryan Putra Pradana yang selalu menghibur dan memberi semangat dalam penyelesaian Tugas Akhir.
8. Teman-teman angkatan 2008, yang telah banyak membantu dalam penyelesaian Tugas Akhir ini, penulis ucapkan terima kasih atas dukungan dan bantuannya.
9. Untuk seseorang yang selalu ada di hatiku Istikhomah, Amd.Keb (isty) yang selalu memberi dukungan dan motovasi dalam penyelesaian Tugas Akhir ini.
10. My Bestfriend (Rizal, Jefa, Agit, Darmawan, Dwiky, Abi, dan Adit) yang telah memberikan suport dan dorongan untuk menyelesaikan laporan ini.
Semoga Allah SWT memberikan balasan pahala atas segala amal baik yang telah diberikan dan semoga Tugas Akhir ini berguna bagi semua pihak yang memanfaatkan.
Surabaya, Mei 2012
9
2.2.2 Firewall
11
2.2.2.1 Fungsi Firewall
13
2.2.2.2 Cara Kerja Packet-Filter Firewall
17
2.2.3 IPTables
19
2.2.4 Intrusion Detection System
22
2.2.5 Intrusion Prevention System
24
2.2.5.1 Mekanisme IPS
24
2.2.5.2 Rancangan Hubungan antara Netfilter dengan Snort Inline
DAFTAR PUSTAKA
... ...
73
1.1 LatarBBelakangBB
Keamanan jaringan komputer dikategorikan dalam dua bagian, yaitu keamanan secara fisik dan juga keamanan secara non-fisik. Keamanan secara fisik merupakan keamanan yang cenderung lebih memfokuskan segala sesuatunya
berdasarkan sifat fisiknya. Dalam hal ini misalnya pengamanan komputer agar terhindar dari pencurian dengan rantai sehingga fisik komputer tersebut tetap pada
tempatnya. Kondisi ini sudah sejak lama diaplikasikan dan dikembangkan. Sedangkan keamaanan non-fisik adalah keamanan dimana suatu kondisi keamanan yang menitikberatkan pada kepentingan secara sifat. Sebagai contoh
yaitu pengamanan data, misalnya data sebuah perusahaan yang sangat penting. Keamanan fisik ataupun keamanan non-fisik kedua–duanya sangat penting
namun yang terpenting adalah bagaimana cara agar jaringan komputer tersebut terhindar dari gangguan. Gangguan tersebut dapat berupa gangguan dari dalam (internal) ataupun gangguan dari luar (eksternal). Gangguan internal merupakan
gangguan yang berasal dari lingkup dalam jaringan infrastruktur tersebut. Dalam hal ini adalah gangguan dari pihak–pihak yang telah mengetahui kondisi
sering terjadi pada jaringan eksternal, seperti web server, telnet, FTP, SSH server (Haniri, Anis, 2002).
IPS (Intruston Preventton System) adalah sebuah aplikasi yang bekerja untuk monitoring trafftc jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat
jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Serangan – serangan yang sering dilancarkan oleh para hacker antara lain backdoor dan
synfeood. Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati aktivitas dalam suatu jaringan komputer.
Maka dari itu, dalam tugas akhir ini akan dirancang sebuah pengamanan
jaringan komputer menggunakan metode IPS (Intruston Preventton System) terhadap serangan backdoor dan synfeood berbasis Snort Inline.
1.2 RumusanBMasalah
Adapun rumusan masalah yang akan dibahas dalam perancangan dan pengaplikasian keamanan jaringan komputer tersebut yaitu, pendeteksian dan pencegahan Jenis serangan - serangan hacker dalam suatu jaringan komputer
khususnya jaringan eksternal antara lain :
a. Bagaimana cara mendeteksi jenis-jenis serangan yang mungkin terjadi
dalam suatu jaringan komputer dengan metode IPS?
b. Bagaimana konfigurasi Snort untuk mendeteksi dan mencegah serangan backdoor dan synfeood (TCP-feood)?
Dalam perancangan dan pengaplikasian pengamanan jaringan komputer
b. Mencegah serangan-serangan tersebut dengan Snort yang berjalan dalam modus tnetne
c. Menggunakan VMWare sebagai simulasi jaringan komputer terdiri dari router, Snort Inline, dan dua host untuk masing-masing serangan synfeood
dan backdoor
d. Sarana yang diserang oleh hacker adalah server yang merupakan sistem operasi nyata dalam komputer.
e. Untuk uji coba serangan dilakukan dari jaringan internal 1.4 TujuanBTugasBAkhir
Tujuan dari tugas akhir ini adalah sebagai berikut :
a. Mengerti dan memahami jenis-jenis serangan backdoor dan synfeood b. Memahami dan mampu mengaplikasikan pendeteksian dan pencegahan
serangan-serangan menggunakan metode IPS (Intruston Preventton System) dengan program Snort Inline.
1.5B ManfaatBTugasBAkhir
b. Mengamankan sebuah jaringan komputer yang berbasis cetent-server c. Mengamankan jaringan lokal maupun jaringan internet
1.6 SistematikaBPenulisan
Sistematika penulisan Tugas Akhir (TA) ini akan membantu mengarahkan penulisan laporan agar tidak menyimpang dari batasan masalah yang dijadikan sebagai acuan atau kerangka penulisan dalam mencapai tujuan penulisan laporan
Tugas Akhir (TA) sesuai dengan apa yang diharapkan. Laporan Tugas Akhir (TA) ini terbagi dalam empat bab yaitu:
masalah yang akan dibahas dalam tugas akhir (TA) ini sebagai landasan bagi pemecahan yang diusulkan.
BAB III: METODE TUGAS AKHIR
Metode tugas akhir ini berisi tentang rancangan jaringan, rancangan pendeteksian serangan-serangan, dan metode-metode yang dipakai untuk
penyelesaian tugas akhir.
BAB IV: IMPLEMENTASI SISTEM
beberapa konfigurasi-konfigurasi untuk membentuk sebuah keamanan untuk jaringan komputer serta timbal balik pengamanan dari serangan
backdoor dan synfeood.
BAB V: KESIMPULAN DAN SARAN
Berisi tentang kesimpulan yang di peroleh dari hasil pengana-lisaan data
dari bab-bab sebelumnya. Selain itu bab ini berisi tentang saran-saran yang diharapkan dapat bermanfaat dan dapat membangun serta
mengembangkan isi laporan terebut sesuai dengan tujuan penulisan Laporan Tugas Akhir (TA).
BAB VI: PENUTUP
2.1 JaringanBTomputer
Penggabungan antara teknologi komputer dan komunikasi sangat
berpengarut tertadap bentuk organisasi sistem komputer. Saat ini model
komputer tunggal yang melayani selurut tugas-tugas komputasi suatu organisasi
telat dikembangakan menjadi sekumpulan komputer yang berjumlat banyak dan
terpisat, tetapi masit saling bertubungan dalam melaksanakan tugasnya, sistem
ini disebut sebagai jaringan komputer.
Suatu jaringan global yang terbentuk dari jaringan-jaringan lokal dan
regional, disebut dengan internet. Dengan adanya teknologi internet maka
memungkinkan terjadinya komunikasi data antar komputer-komputer yang
tertubung ke jaringan tersebut. Komputer yang tersebar di selurut dunia,
memiliki jenis dan karakteristik yang tidak sama dengan tempat-tempat lain.
Untuk mengatasi masalat tersebut, maka diciptakanlat suatu standar protokol
yang disebut TCP/IP (Transfer Control Protocol/Internet Protocol) setingga
semua pengiriman data dan penerusan data di internet. Protokol TCP/IP ini
memberikan suatu IP address (alamat IP) yang unik untuk tiap komputer yang
tertubung ke internet setingga lalu lintas data di internet dapat diatur.
Berdasarkan jangkauan dan ruang lingkup jaringan komputer dibagi menjadi tiga
2.1.1B LANB(Local Area Network)
LAN adalat jaringan komputer yang saling ditubungkan dan dibatasi olet
ruang geografis yang relative kecil dan pada umumnya dibatasi ruang lingkup
pada perkantoran, sekolat dan pada umumnya tidak lebit dari 2 km2.
Pada implementasi LAN, ktusus didesain untuk:
1. Beroperasi pada wilayat geografis yang terbatas
2. Memungkinkan banyak user untuk mengakses media dengan
kecepatan tinggi
3. Menyediakan koneksi ke layanan lokal setiap saat
4. Mengtubungkan peralatan yang berdekatan.
2.1.2 MANB(Metropolitan Area Network)
Jaringan yang mencakup area lebit besar dari LAN, dan menjangkau antar
wilayat dalam satu propinsi. Setingga dalam kata lain MAN mengtubungkan
beberapa LAN menjadi suatu jaringan yang lebit besar pada area geografis yang
sama.
2.1.3 WANB(Wide Area Netwrok)
Jaringan yang ruang lingkupnya sudat terpisat olet batas geografis yang
berbeda atau dalam kata lain jaringan ini mencakup area yang luas dan mampu
menjangkau batas propinsi batkan sampai antar negara. Jaringan tersebut pada
umumnya sudat menggunakan kabel bawat laut, ataupun melalui media satelit.
Pada kategori implementasi WAN ktususnya di desain untuk:
2. Memungkinkan pengguna untuk berkomunikasi dengan user lain yang
berjautan pada saat yang sama
3. Menyediakan email, world wide web, e-commerce, dan file transfer.
2.2 TeamananBJaringan
Keamanan jaringan merupakan salat satu aspek penting dari sebuat sistem
informasi. Terdapat suatu pandangan yang menyatakan batwa masalat keamanan
komputer merupakan tanggung jawab sepenutnya administrator jaringan. Padatal
terciptanya suatu sistem keamanan jaringan perlu dukungan dari pitak pengguna
jaringan itu sendiri. Setingga perlu adanya pengenalan akan pengetatuan
keamanan.
Keamanan jaringan didefinisikan sebagai sebuat perlindungan dari
sumber daya tertadap upaya penyingkapan, modifikasi, utilisasi, pelarangan, dan
perusakan olet pitak yang tidak diijinkan. Pada umumnya terdapat parameter dari
ukuran sebuat sistem yang aman. Diantaranya seorang penyerang atau pitak yang
tidak mempunyai tak tarus membututkan banyak waktu, tenaga, dan biaya yang
besar dalam melakukan penyerangan selain itu yang perlu dipertatikan adalat
resiko yang dikeluarkan penyerang tidak sebanding dengan tasil yang diperolet.
Sistem yang aman merupakan suatu trade-off atau sebuat tarik ulur
petimbangan antara keamanan dan biaya, dimana semakin aman sebuat sistem
maka semakin tinggi biaya yang diperlukan untuk memenutinya. Setingga dapat
dikatakan batwa kebututan keamanan untuk sebuat sistem jaringan komputer
berbeda-beda, tal ini tergantung pada aplikasi yang ada di dalamnya, nilai dari
Celat keamanan sistem internet dapat disusun dalam skala klasifikasi.
Skala klasifikasi ini disebut dengan istilat skala Internet Threat Level (ITL).
Dalam tal ini, ancaman terendat digolongkan dengan ITL kelas 0, sedangkan
ancaman teringgi digolongkan degan kelas 9. Klasifikasi permasalatan keamanan
tergantung pada kerumitan perilaku ancaman pada sistem sasaran, yang dibagi ke
dalam tiga kategori utama, yaitu ancaman lokal, ancaman remote dan ancaman
dari lintas firewall (Stiawan, Deris, 2005).
2.2.1 TipeBAncaman
Tingkat ancaman dapat diukur dengan melitat faktor-faktor seperti
kegunaan sistem, keratasiaan data dalam sistem, tingkat kepentingan dari
integritas data, kepentingan untuk menjaga akses yang tidak bolet terputus, profil
pengguna dan tubungan antara sistem yang satu dengan sistem yang lain. Secara
garis besar terdapat dua tipe ancaman, yaitu (Tittel, Ed, 2004):
1. Ancaman Pasif
Pada ancaman pasif yang dijelaskan pada Gambar 2.1 penyerang
melakukan pemantauan dan atau perekaman data selama data
ditransmisikan melalui fasilitas komunikasi. Tujuan dari penyerangan ini
adalat untuk mendapatkan informasi yang sedang dikirimkan. Kategori ini
memiliki dua tipe, yaitu release of message contain dan traffic analysis.
Pada tipe release of message contain, memungkinkan penyusup untuk
mendengar pesan, sedangkan tipe traffic analysis memungkinkan
penyusup untuk membaca header dari suatu paket, setingga bisa
Gambar 2.1 Ancaman pasif
2. Ancaman Aktif
Ancaman aktif yang dijelaskan pada Gambar 2.2 merupakan
pengguna gelap suatu peralatan tertubung fasilitas komunikasi untuk
mengubat transmisi data atau mengubat isyarat kendali atau
memunculkan data atau isyarat kendali palsu. Pada kategori ini terdapat
masquerade. Tipe message-stream modification memungkinan pelaku
untuk memilit, mengtapus, memodifikasi, menunda, melakukan reorder,
menduplikasi pesan asli dan memungkinkan juga untuk menambatkan
pesan-pesan palsu. Pada tipe denial of message service memungkinkan
pelaku untuk merusak atau menunda sebagian besar atau selurut pesan.
Sedangkan pada tipe masquerade memungkinkan pelaku untuk menyamar
sebagi host atau switch asli dan berkomunikasi dengan yang host yang lain
Gambar 2.2 Ancaman aktif
2.2.2 Firewall
Firewall adalat sebuat sistem atau perangkat yang mengizinkan lalu lintas
jaringan yang dianggap aman untuk melaluinya dan mencegat lalu lintas jaringan
yang tidak aman. Umumnya, sebuat firewall diterapkan dalam sebuat mesin
terdedikasi, yang berjalan pada pintu gerbang (gateway) antara jaringan lokal dan
jaringan lainnya. Firewall umumnya juga digunakan untuk mengontrol akses
tertadap siapa saja yang memiliki akses tertadap jaringan pribadi dari pitak luar
seperti yang telat dijelaskan pada Gambar 2.3.
Saat ini, istilat firewall menjadi istilat lazim yang merujuk pada sistem
yang mengatur komunikasi antar dua jaringan yang berbeda. Mengingat saat ini
banyak perusataan yang memiliki akses ke internet dan juga tentu saja jaringan
berbadan tukum di dalamnya, maka perlindungan tertadap modal digital
perusataan tersebut dari serangan para peretas, pemata-mata, ataupun pencuri data
Gambar 2.3 Letak firewall untuk sebuat jaringan
Firewall terbagi menjadi dua jenis, yakni sebagai berikut:
1. Personal Firewall
Personal Firewall didesain untuk melindungi sebuat komputer
yang tertubung ke jaringan dari akses yang tidak diketendaki.
Firewall jenis ini aktir-aktir ini berevolusi menjadi sebuat kumpulan
program yang bertujuan untuk mengamankan komputer secara total,
dengan ditambatkannya beberapa fitur pengaman tambatan semacam
perangkat proteksi tertadap virus, anti-spyware, anti-spam, dan
lainnya. Batkan beberapa produk firewall lainnya dilengkapi dengan
fungsi pendeteksian gangguan keamanan jaringan (Intrusion Detection
System).
Contot dari firewall jenis ini adalat Microsoft Windows Firewall
(yang telat terintegrasi dalam sistem operasi Windows XP Service
Pack 2, Windows Vista dan Windows Server 2003 Service Pack 1),
Symantec Norton Personal Firewall, Kerio Personal Firewall, dan
lain-lain. Personal Firewall secara umum memiliki fitur yakni Packet
2. Network Firewall
Network Firewall didesain untuk melindungi jaringan secara
keselurutan dari berbagai serangan. Umumnya dijumpai dalam dua
bentuk, yakni sebuat perangkat terdedikasi atau sebagai sebuat
perangkat lunak yang diinstalasikan dalam sebuat server. Contot dari
firewall ini adalat Microsoft Internet Security and Acceleration Server
(ISA Server), Cisco PIX, Cisco ASA, IPTables dalam sistem operasi
GNU/Linux, pf dalam keluarga sistem operasi Unix BSD, serta
SunScreen dari Sun Microsystems, Inc. yang terintegrasi dalam sistem
operasi Solaris.
Network Firewall secara umum memiliki beberapa fitur utama,
yakni apa yang dimiliki olet personal firewall (packet filter firewall
dan stateful firewall), Circuit Level Gateway, Application Level
Gateway, dan juga NAT Firewall. Network Firewall umumnya bersifat
transparan (tidak terlitat) dari pengguna dan menggunakan teknologi
routing untuk menentukan paket mana yang diizinkan, dan mana paket
yang akan ditolak.
2.2.2.1 FungsiBFirewall
Secara fundamental, firewall dapat melakukan tal-tal berikut (Stiawan,
Deris, 2005):
1. Mengatur dan mengontrol lalu lintas jaringan
Fungsi pertama yang dapat dilakukan olet firewall adalat firewall
mengakses jaringan privat atau komputer yang dilindungi olet firewall.
Firewall melakukan tal yang demikian, dengan melakukan inspeksi tertadap
paket-paket dan memantau koneksi yang sedang dibuat, lalu melakukan
penapisan (filtering) tertadap koneksi berdasarkan tasil inspeksi paket dan
koneksi tersebut.
ProsesBinspeksiBPaket
Inspeksi paket (packet inspection) merupakan proses yang dilakukan
olet firewall untuk mengtadang dan memproses data dalam sebuat paket
untuk menentukan batwa paket tersebut diizinkan atau ditolak, berdasarkan
kebijakan akses (access policy) yang diterapkan olet seorang administrator.
Sebelum menentukan keputusan apakat tendak menolak atau menerima
komunikasi dari luar, firewall tarus melakukan inspeksi tertadap setiap paket
(baik yang masuk ataupun yang keluar). Hal ini dilakukan di setiap antarmuka
dan membandingkannya dengan daftar kebijakan akses. Inspeksi paket dapat
dilakukan dengan melitat elemen-elemen berikut, ketika menentukan apakat
tendak menolak atau menerima komunikasi:
a) Alamat IP dari komputer sumber
b) Port sumber pada komputer sumber
c) Alamat IP dari komputer tujuan
d) Port tujuan data pada komputer tujuan
e) Protokol IP
f) Informasi header-header yang disimpan dalam paket
2. Koneksi dan keadaan konekasi
Agar dua host TCP/IP dapat saling berkomunikasi, maka keduanya
tarus saling membuat koneksi antara satu dengan lainnya. Koneksi ini
memiliki dua tujuan:
a) Komputer dapat menggunakan koneksi tersebut untuk mengidentifikasikan
dirinya kepada komputer lain, yang meyakinkan batwa sistem lain yang
tidak membuat koneksi tidak dapat mengirimkan data ke komputer
tersebut. Firewall juga dapat menggunakan informasi koneksi untuk
menentukan koneksi apa yang diizinkan olet kebijakan akses dan
menggunakannya untuk menentukan apakat paket data tersebut akan
diterima atau ditolak.
b) Koneksi digunakan untuk menentukan bagaimana cara dua host tersebut
akan berkomunikasi antara satu dengan yang lainnya (apakat dengan
menggunakan koneksi connection-oriented, atau connectionless).
Firewall dapat memantau informasi keadaan koneksi untuk
apakat data yang melewati firewall sedang "ditunggu" olet host yang dituju,
dan jika ya, akan mengizinkannya. Jika data yang melewati firewall tidak
cocok dengan keadaan koneksi yang didefinisikan olet tabel keadaan koneksi,
MelindungiBsumberBdayaBdalamBjaringanBprivate
Salat satu tugas firewall adalat melindungi sumber daya dari ancaman
yang mungkin datang. Proteksi ini dapat diperolet dengan menggunakan
beberapa peraturan pengaturan akses (access control), application proxy, atau
kombinasi dari semuanya untuk mencegat host yang dilindungi dapat diakses
olet host-host yang mencurigakan atau dari lalu lintas jaringan yang
mencurigakan. Meskipun demikian, firewall bukanlat satu-satunya metode
proteksi tertadap sumber daya, dan mempercayakan proteksi tertadap sumber
daya dari ancaman tertadap firewall secara eksklusif adalat salat satu
kesalatan fatal. Jika sebuat host yang menjalankan sistem operasi tertentu
yang memiliki lubang keamanan yang belum ditambal dikoneksikan ke
internet, firewall mungkin tidak dapat mencegat dieksploitasinya host tersebut
olet host-host lainnya, ktususnya jika exploit tersebut menggunakan lalu
lintas yang olet firewall telat diizinkan (dalam konfigurasinya).
Sebagai contot, jika sebuat packet-inspection firewall mengizinkan
lalu lintas HTTP ke sebuat web server yang menjalankan sebuat layanan web
yang memiliki lubang keamanan yang belum ditambal, maka seorang
pengguna dapat membuat exploit untuk masuk tanpa izin ke web server
tersebut karena memang web server yang bersangkutan memiliki lubang
keamanan yang belum ditambal. Dalam contot ini, web server tersebut
aktirnya mengakibatkan proteksi yang ditawarkan olet firewall menjadi tidak
berguna. Hal ini disebabkan olet firewall yang tidak dapat membedakan
antara request HTTP yang mencurigakan atau tidak. Apalagi, jika firewall
yang dilindungi taruslat dipelitara dengan melakukan penambalan tertadap
lubang-lubang keamanan, selain tentunya dilindungi olet firewall.
2.2.2.2 CaraBTerjaBPacket-FilterBFirewall
Pada bentuknya yang paling sedertana, sebuat firewall adalat sebuat
router atau komputer yang dilengkapi dengan dua buat NIC (Network Interface Card, kartu antarmuka jaringan) yang mampu melakukan penapisan atau
penyaringan tertadap paket-paket yang masuk. Perangkat jenis ini umumnya
disebut dengan packet-filtering router (Farunuddin, Raktmat, 2005).
Firewall jenis ini bekerja dengan cara membandingkan alamat sumber dari
paket-paket tersebut dengan kebijakan pengontrolan akses yang terdaftar dalam
Access Control List firewall, router tersebut akan mencoba memutuskan apakat
tendak meneruskan paket yang masuk tersebut ke tujuannya atau
mengtentikannya. Pada bentuk yang lebit sedertana lagi, firewall tanya
melakukan pengujian tertadap alamat IP atau nama domain yang menjadi sumber
paket dan akan menentukan apakat tendak meneruskan atau menolak paket
tersebut. Meskipun demikian, packet-filtering router tidak dapat digunakan untuk
memberikan akses (atau menolaknya) dengan menggunakan basis tak-tak yang
dimiliki olet pengguna.
Cara kerja packet filter firewall juga dapat dikonfigurasikan agar
mengtentikan beberapa jenis lalu lintas jaringan dan tentu saja mengizinkannya.
Umumnya, tal ini dilakukan dengan mengaktifkan/menonaktifkan port TCP/IP
dalam sistem firewall tersebut. Sebagai contot, port 25 yang digunakan olet
beberapa firewall untuk mengizinkan surat elektronik dari Internet masuk ke
dalam jaringan privat, sementara port lainnya seperti port 23 yang digunakan olet
Protokol Telnet dapat dinonaktifkan untuk mencegat pengguna internet untuk
mengakses layanan yang terdapat dalam jaringan privat tersebut.
Firewall juga dapat memberikan semacam pengecualian (exception) agar
beberapa aplikasi dapat melewati firewall tersebut. Dengan menggunakan
pendekatan ini, keamanan akan lebit kuat tapi memiliki kelematan yang
signifikan yakni kerumitan konfigurasi tertadap firewall: daftar Access Control
List firewall akan membesar seiring dengan banyaknya alamat IP, nama domain,
atau port yang dimasukkan ke dalamnya, selain tentunya juga exception yang
diberlakukan.
NAT (Network Address Translation) Firewall secara otomatis
menyediakan proteksi tertadap sistem yang berada di balik firewall karena NAT
Firewall tanya mengizinkan koneksi yang datang dari komputer-komputer yang
berada di balik firewall. Tujuan dari NAT adalat untuk melakukan multiplexing
tertadap lalu lintas dari jaringan internal untuk kemudian menyampaikannya
kepada jaringan yang lebit luas (MAN, WAN atau internet) seolat-olat paket
tersebut datang dari sebuat alamat IP atau beberapa alamat IP. NAT Firewall
membuat tabel dalam memori yang mengandung informasi mengenai koneksi
yang dilitat olet firewall. Tabel ini akan memetakan alamat jaringan internal ke
alamat eksternal. Kemampuan untuk menarut keselurutan jaringan di belakang
sebuat alamat IP didasarkan tertadap pemetaan tertadap port-port dalam NAT
2.2.3 IPTables
IPTables merupakan command untuk menentukan sebuat rule-rule
firewall dalam tugasnya menjaga sebuat jaringan. IPTables memiliki tiga fungsi
utama untuk menentukan arat putaran paket data. Ketiga fungsi tersebut yaitu
Packet Filtering, NAT, Packet Mangling. Paket filtering digunakan untuk
memilat dan memberikan ijin ACCEPT/DROP pada suatu paket data, sedangkan
NAT digunakan untuk mengubat alamat ip sumber atau tujuan dari suatu paket
dalam jaringan, dan untuk Packet Mangling digunakan untuk memodifikasi
paket QoS (Quality of Service). IPTables juga memiliki tiga macam daftar aturan
bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall
(firewall chain) atau sering disebut chain saja. Ketiga ctain tersebut adalat
INPUT, OUTPUT dan FORWARD (Farunuddin, Raktmat, 2005).
Gambar 2.4 Skema IPTables
Pada Gambar 2.4 tersebut dijelaskan batwa lingkaran menggambarkan
ketiga rantai atau chain. Pada saat sebuat paket sampai pada sebuat lingkaran,
maka disitulat terjadi proses penyaringan. Rantai akan memutuskan nasib paket
Tetapi jika rantai memutuskan untuk ACCEPT, maka paket akan dilewatkan
melalui diagram tersebut.
Sebuat rantai adalat aturan-aturan yang telat ditentukan. Setiap aturan
menyatakan “jika paket memiliki informasi awal (header) seperti ini, maka inilat
yang tarus dilakukan tertadap paket”. Jika aturan tersebut tidak sesuai dengan
paket, maka aturan berikutnya akan memproses paket tersebut. Apabila sampai
aturan teraktir yang ada, paket tersebut belum memenuti salat satu aturan, maka
kernel akan melitat kebijakan bawaan (default) untuk memutuskan apa yang
tarus dilakukan kepada paket tersebut. Ada dua kebijakan bawaan yaitu default
DROP dan default ACCEPT. Jalannya sebuat paket melalui diagram tersebut bisa
dicontotkan sebagai berikut:
1. Perjalanan paket yang diforward ke host yang lain:
a) Paket berada pada jaringan fisik, contot internet
b) Paket masuk ke interface jaringan, contot ett0
c) Paket masuk ke chain PREROUTING pada Mangle table. Chain
ini berfungsi untuk me-mangle (mengtaluskan) paket, seperti
merubat TOS, TTL dan lain-lain
d) Paket masuk ke chain PREROUTING pada tabel NAT. Chain ini
berfungsi utamanya untuk melakukan DNAT (Destination Network
Address Translation)
e) Paket mengalami keputusan routing, apakat akan diproses olet
host lokal atau diteruskan ke host lain
f) Paket masuk ke chain FORWARD pada tabel filter. Disinlat
g) Paket masuk ke chain POSTROUTING pada tabel NAT. Ctain ini
berfungsi utamanya untuk melakukan SNAT (Source Network
Address Translation)
t) Paket keluar menuju interface jaringan, contot ett1
i) Paket kembali berada pada jaringan fisik, contot LAN.
2. Perjalanan paket yang ditujukan bagi tost local:
a) Paket berada dalam jaringan fisik, contot internet
b) Paket masuk ke interface jaringan, contot ett0
c) Paket masuk ke chain PREROUTING pada tabel mangle
d) Paket masuk ke chain PREROUTING pada tabel NAT
e) Paket mengalami keputusan routing
f) Paket masuk ke chain INPUT pada tabel filter untuk mengalami
proses penyaringan
g) Paket akan diterima olet aplikasi lokal.
3. Perjalanan paket yang berasal dari host lokal:
a) Aplikasi lokal mengtasilkan paket data yang akan dikirimkan
melalui jaringan
b) Paket memasuki chain OUTPUT pada tabel mangle
c) Paket memasuki chain OUTPUT pada tabel NAT
d) Paket memasuki chain OUTPUT pada tabel filter
e) Paket mengalami keputusan routing, seperti ke mana paket tarus
pergi dan melalui interface mana
f) Paket masuk ke chain POSTROUTING pada tabel NAT
t) Paket berada pada jaringan fisik, contot internet.
Sintaks IPTables
iptables [-t table] command [match] [target/jump].
2.2.4B IntrusionBDetectionBSystem
Intrusion Detection System (IDS) merupakan suatu piranti lunak atau keras
yang memeriksa aktifitas jaringan yang masuk maupun yang keluar, dan
mengidentifikasi pola yang dicurgai sebagai serangan yang dapat membatayakan
sistem. IDS mengumpulkan dan menganalisa informasi dari komputer atau suatu
jaringan, dan mengidentifikasikan kemungkinan pelanggaran dari security policy,
termasuk unauthorized accsess. Pada umumnya terdapat dua tipe dari IDS,
diantaranya (Endorf, 2004):
1. Network-based IDS, mengawasi selurut segmen jaringan dimana NIDS
ditempatkan. NIDS menyadap selurut komunikasi yang ada dijaringan
tersebut, tanpa memilat-milat paket data yang lewat. Sebagai tambatan
NIDS tarus tertubung dengan span port di switch atau network tap. Span
port dan network tap berfungsi untuk menduplikasi selurut paket data
yang lewat. NIDS tarus ditempatkan pada posisi yang memungkinkan
untuk bisa memonitor selurut jaringan. Gambar 2.5 merupakan contot
Gambar 2.5 Topologi NIDS
2. Host-Based IDS tanya melindungi sistem dimana HIDS tersebut berada,
dan beroperasi tanpa memilit data yang lewat. Namun kelematannya
adalat kinerja CPU menjadi lebit tinggi dan membebani host karena
HIDS tidak memilat data yang lewat. HIDS membuka semua tambatan
informasi lokal dan mengaitkannya dengan keamanan, termasuk system
calls, modifikasi file system, dan system log. Keuntungan lain dari HIDS
adalat kemampuan untuk mengatur rule sangat baik bagi kebututan host
seperti yang dijelaskan pada Gambar 2.6.
2.2.5 IntrusionBPreventionBSystem
Intrusion Prevention System (IPS) pada dasarnya serupa dengan dengan
sistem IDS. Intrusion Detection & Prevention terdapat perbedaan utama pada
kedua system tersebut, dimana pada IPS bersifat inline pada suatu jaringan dan
ketika terjadi suatu peristiwa tertentu, system tersebut akan melakukan tindakan
sesuai dengan rule yang telat ditentukan (Endorf, 2004).
Hal ini berbeda dengan system IDS, yang tanya bersifat pasif. Intrusion
Prevention System (IPS) merupakan salat satu perangkat perlindungan keamanan
atau piranti lunak yang dapat mencegat serangan tertadap sistem jaringan
komputer. Saat ini terdapat dua teknologi IPS, yaitu:
1. Network-based Intusion Prevention System (NIPS), menyediakan
komponen proaktif yang secara efektif mengintegrasikan ke dalam bagian
keamanan jaringan. NIPS merupakan perangkat inline berada pada jalur
komunikasi data, memprosesnya, dan meneruskannya kembali.
2. Host-based Intrusion Prevention System (HIPS) merupakan sebuat
aplikasi yang berjalan pada satu komputer atau server untuk melitat
selurut lalu-lintas komunikasi dari dan menuju komputer tersebut.
2.2.5.1 MekanismeBIPS
Dalam melakukan analisis paket, terdapat beberapa anatomi dasar yang
dilakukan IPS untuk mengidentifikasikan adanya suatu penggangggu (intrusion)
maupun kejanggalan dalam aktifitas jaringan, diantaranya preprocessing,
berfungsi untuk mengelompokkan data dalam beberapa golongan ketika data telat
selanjutnya adalat analysis, dimana data yang telat tercatat akan dianalisis dan
dicocokan dengan knowledge base.
Tatap selanjutnya adalat response yaitu ketika telat diketatui batwa
terjadi intrusi maka IPS akan menanggapi dengan melakukan pencegatan
tertadap serangan yang terjadi. Tatap yang teraktir adalat refinement, yang
merupakan proses yang paling kritis dimana fine-tuning dari system IPS dapat
dilakukan, berdasarkan pada intrusi yang terdeteksi. Hal ini memberi kesempatan
untuk mengurangi tingkatan false-positive. Metode deteksi yang digunakan IPS
terbagi menjadi dua bagian, yaitu (Carter, Earl dan Jonattan Hogue, 2006):
1. Rule-Based Detection
Metode rule-based detection atau yang dikenal sebagai
signature-based detection, pattern matching dan misuse detection, sebuat paket data
akan dianalisis dan dicocokkan dengan suatu database signature. Pada
proses analisis suatu intrusi, terdapat empat tatapan.
a) Preprocessing. Langkat awal adalat proses pengumpulan data
tentang intrusion, vulnerability dan serangan-serangan yang
kemudian dikelompokan ke dalam skema klasifikasi. Skema
klaisifikasi terdiri dari content-based signatures (menguji payload
dan packet header), dan context-based signature (tanya
mengevaluasi packet header) untuk mengidentifikasikan suatu
alert.
b) Analysis, dimana data akan dibandingkan dengan knowledge base
dengan menggunakan pattern-matching analysis engine. Kemudian
c) Response, apabila cocok dengan pola serangan, analysis engine
akan mengirimkan peringatan (alert).
d) Refinement, dilakukan dengan memperbatarui signature, karena
IDS dapat berjalan optimal dengan signature terbaru
2. Anomaly Detection
lainnya adalat pada anomaly-based detection mengidentifikasikan
selurut aktifitas, baik yang diijinkan maupun tidak. Pada metodologi ini,
terdapat tiga katagori utama, diantaranya behavioral, pola traffic dan
protokol (Carter, Earl dan Jonattan Hogue, 2006).
Pada behavior analysis melitat adanya kejanggalan secara statistik,
seperti tubungan dalam suatu paket dan apa saja yang dikirimkan pada
suatu jaringan. Sedangkan pada analisis pola trafic untuk mengamati pola
yang specifik dalam lalu-lintas jaringan. Dan yang teraktir adalat
protocol analysis, dimana mengamati pelanggaran protokol jaringan atau
penyalatgunaan yang berdasarkan pada perilaku RFC. Pada model analisis
dalam konteks anomaly detection terdapat empat tatapan.
a) Preprocessing, merupakan proses pengumpulan data berdasarkan
perilaku normal pada jaringan dalam waktu tertentu. Dalam tal ini
digolongkan kedalam statistical profile dengan algoritma yang
berbeda dalam knowledge base.
b) Analysis, dimana data suatu kejadian dianalisis dengan
membandingkan isi dari profile vector dari data suatu kejadian
dengan knowledge base.
c) Response, merupakan suatu tindakan yang dilakukan berdasarkan
tasil analisis.
d) Refinement, dimana data record perlu diperbatarui. Dalam tal ini
perlu diketatui batwa profile vector history akan ditapus setelat
beberapa tari.
Berikut ini merupakan tatapan bagaimana suatu informasi atau paket data
yang dilalui olet IPS:
1. Raw Packet Capture, internal information flow dimulai dengan
menangkap paket data mentat, kemudian menyampaikannya ke komponen
berikutnya dari suatu sistem. Paket data mentat diambil melalui network
interface card (NIC) dan kemudian disimpan di memori, setingga paket
tersebut dapat diproses dan dianalisis. Pada umumnya IPS mempunyai dua
cara untuk menangkap paket data mentat. Pertama Promiscuous mode,
yaitu NIC menangkap semua paket yang melewati network media. Yang
kedua adalat Nonpromiscuous mode, yaitu NIC tanya mengambil paket
data mentat untuk alamat tertentu dan mengabaikan data yang lain.
2. Filtering, merupakan suatu tindakan untuk membatasi paket yang
ditangkap menurut logika tertentu berdasarkan pada beberapa
3. Packet decoding. Paket kemudian dikirim ke serangkaian decoder yang
mendefinisikan paket pada data link layer. Paket tersebut di-decode untuk
menentukan lebit lanjut apakat paket tersebut sebuat paket IPv4, atau
IPv6, serta alamat IP sumber dan tujuan, port sumber dan tujuan dari TCP
dan UDP, dan lain..
4. Storage. Ketika setiap paket telat di-decode, biasanya disimpan ke dalam
hard disk atau ke dalam form suatu struktur data, setingga pada waktu
yang bersamaan data dibersitkan dari memori.
5. Fragment Reassembly, merupakan suatu proses yang terbilang cukup
penting meskipun paket data telat di-decode sebelumnya, karena paket
yang telat ter-fragment dapat menimbulkan masalat lain pada sistem IDS
atau IPS, dimana paket tersebut dapat digunakan untuk menyerang sistem
atau mengtindari mekanisme deteksi. Permasalatannya adalat ketika
suatu paket fragment dapat saling tumpang tindit dengan paket fragment
lainnya, dimana ketika paket tersebut dirakit kembali akan menimpa paket
yang telat dirakit sebelumnya. Selain itu ukuran paket fragment yang
tidak sesuai. Cara lainnya adalat dengan menggabungkan beberapa
fragment, setingga offset yang ditasilkan membuat program yang besar
untuk proses fragment-reassembly, yang menyebabkan host penerima
crash. Cara yang efektif dalam menangani paket fragment adalat dengan
mengulang bagian pertama dari paket tersebut, yang mana berisi informasi
dalam packet header, alamat IP sumber dan tujuan, tipe paket dan
6. Stream Reassembly, mengambil data dari TCP stream yang kemudian
disusun kembali apabila data tidak berurutan, setingga paket data yang
dikirim sama dengan yang diterima. Ketika paket data yang tiba pada
mesin IDS maupun IPS tidak berurutan, maka paket data tersebut tidak
bisa dianalisis dengan baik, setingga diperlukanlat stream reassembly.
Stream reassembly juga memfasilitasi detection of out-of-sequence
scanning methods.
7. Stateful Inspection TCP Session, digunakan untuk mengtindari situasi
dimana saat IPS menganalisis setiap paket yang menjadi bagian dari sesi
yang dimanipulasi.
8. Firewalling, pada dasarnya digunakan untuk melindungi IPS dari serangan
ketika menganalisis paket, terutama setelat menyelesaikan TCP stateful
inspection sejak penyerang dapat membuat system IPS dilumputkan.
Firewalling merupakan salat satu pilitan untuk mengintegrasikan
pertatanan IPS.
Istilat response dalam IPS mengacu pada suatu tindakan yang diambil
ketika dicurigai adanya kejanggalan aktifitas dalam jaringan maupun serangan.
Automated Response adalat suatu tanggapan secara otamatis apabila mendeteksi
adanya serangan. Akan tetapi metode ini memiliki kelematan diantaranya ketika
terjadi false positive, setingga menyebabkan proses yang berjalan untuk segera
ditentikan. Ada bebarapa cara yang digunakan. Pertama droping the connection,
dimana akan menginstruksikan firewall untuk mengtentikan selurut komunikasi
pada port. Yang kedua adalat teknik throttling, yaitu untuk mencegat
Teknik ini digunakan dengan cara menunda dalam melakukan scanning
dan ketika aktifitas meningkat maka waktu tunda akan meningkat. Sedangkan
yang ketiga adalat shunning, merupakan proses identifikasi suatu penyerang dan
akan menangkal penyerangan pada sistem jaringan akses atau servis tertentu. Tipe
yang teraktir adalat session sniping, yaitu dimana IPS akan mengaktiri serangan
dengan menggunakan paket TCP RESET untuk mengaktiri koneksi dan
mencegat serangan (Rast, Mictael. 2005).
2.2.5.2 RancanganBHubunganBantaraBNetfilterBdenganBSnortBInline
Pada sub bab ini akan dijelaskan tentang proses dan tubungan antara
IPTables dengan Snort Inline dengan bantuan Libipq supaya dapat tertubung.
Dalam IPTables memiliki tiga fungsi utama untuk menentukan arat putaran paket
data. Paket filtering digunakan untuk memilat dan memberikan ijin
ACCEPT/DROP pada suatu paket data, sedangkan NAT digunakan untuk
mengubat alamat ip sumber atau tujuan dari suatu paket dalam jaringan, dan
untuk Paket Mangling digunakan untuk memodifikasi paket QoS (Quality of
Service). IPTables juga memiliki tiga macam daftar aturan bawaan dalam tabel
penyaringan, daftar tersebut dinamakan rantai firewall atau sering disebut chain
saja. Ketiga chain tersebut adalat INPUT, OUTPUT dan FORWARD. Dalam
mendeteksi sebuat serangan, tarus memertatikan setiap chain. Jika chain tersebut
di-ACCEPT maka selurut komponen networking dari layer 3 dan 4 bisa diproses
dalam router. Begitu juga sebaliknya, jika chain tersebut di-DROP/DENY maka
Gambar 2.7 dijelaskan proses tubungan antara Netfilter dengan Snort
Inline:
Gambar 2.7 Proses tubungan netfilter tertadap Snort Inline
Perjalanan paket yang di-forward ke host yang lain. Pada awalnya paket
masuk ke interface jaringan kemudian paket masuk ke chain PREROUTING pada
Mangle table. Setelat itu paket masuk ke chain PREROUTING pada tabel NAT.
Berikutnya paket mengalami keputusan routing, apakat akan diproses olet host
pada tabel filter. Firewall melakukan queue paket dari kernel ke Snort Inline.
Kemudian Snort Inline mencocokkan rule yang tersedia apakat merupakan
sebuat serangan atau bukan, jika cocok Snort Inline akan mengirimkan pesan
DROP dan sebaliknya jika tidak cocok maka Snort Inline akan mengirimkan
pesan ACCEPT. Setelat filter selesai lalu Paket masuk ke chain POSTROUTING
pada tabel NAT. Dan aktirnya paket keluar menuju interface jaringan.
Perjalanan paket yang ditujukan bagi host local. Pada mulanya paket
masuk ke interface jaringan kemudian paket masuk ke chain PREROUTING pada
Mangle table. Setelat itu paket masuk ke chain PREROUTING pada tabel NAT.
Berikutnya paket mengalami keputusan routing. Setelat itu paket masuk ke chain
INPUT pada tabel filter. Firewall melakukan queue paket dari kernel ke Snort
Inline. Kemudian Snort Inline mencocokkan rule yang tersedia apakat merupakan
sebuat serangan atau bukan, jika cocok Snort Inline akan mengirimkan pesan
DROP dan sebaliknya jika tidak cocok maka Snort Inline akan mengirimkan
pesan ACCEPT. Dan aktirnya paket akan diterima olet aplikasi lokal.
Perjalanan paket yang berasal dari host lokal. Pada mulanya aplikasi lokal
mengtasilkan paket data yang akan dikirimkan melalui jaringan. Kemudian paket
memasuki chain OUTPUT pada tabel mangle. Setelat itu paket memasuki chain
OUTPUT pada tabel NAT. Berikutnya paket mengalami keputusan routing.
Setelat itu paket memasuki chain OUTPUT pada tabel filter. Firewall melakukan
queue paket dari kernel ke Snort Inline. Kemudian Snort Inline mencocokkan rule
yang tersedia apakat merupakan sebuat serangan atau bukan, jika cocok Snort
Inline akan mengirimkan pesan DROP dan sebaliknya jika tidak cocok maka
mengalami keputusan routing, seperti ke mana paket tarus pergi dan melalui
interface mana. Kemudian paket masuk ke chain POSTROUTING pada tabel
NAT. Dan aktirnya paket masuk menuju interface jaringan.
2.3BBBJenisBSeranganBBackdoor
Backdoor atau “pintu belakang”, merupakan salat satu usata dalam
keamanan sistem komputer, untuk mengakses sistem, aplikasi, atau jaringan,
selain dadi mekanisme yang umum digunakan (melalui proses logon atau proses
autentikasi lainnya)..
Backdoor pada awalnya dibuat olet para programer komputer sebagai
mekanisme yang dapat memperolet izin untuk akses ktusus ke dalam program.
Hal ini digunakan untuk memperbaiki kode di dalam program yang dibuat ketika
sebuat crash akibat bug terjadi. Contot beberapa backdoor yang cukup terkenal
di antaranya ResoilFTP,Tixanbot,Litebot, dan Remote Connection. Semua
program tersebut mengizinkan program mengakses komputer secara remote.
SHTPPD adalat salat satu contot backdoor. Program yang bernama
SHTPPD ini sangat mudat digunakan. Prinsip kerjanya adalat akan membuka
port 443 (SSL) pada komputer korban. Batkan, tal ini tidak terdeteksi olet
antivirus maupun firewall.
HTTPRat adalat salat satu backdoor yang memanfaatkan protokol HTTP.
Olet karena protokol ini umum digunakan setingga diizinkan pengaksesannya.
2.4 JenisBSeranganBSYN flooding attack
SYN flooding attack adalat istilat teknologi informasi dalam batasa
Inggris yang mengacu kepada salat satu jenis serangan Denial-of-service yang
menggunakan paket-paket SYN.
Paket-paket SYN adalat salat satu jenis paket dalam protokol
Transmission Control Protocol yang dapat digunakan untuk membuat koneksi
antara dua host dan dikirimkan olet host yang tendak membuat koneksi, sebagai
langkat pertama pembuatan koneksi dalam proses "TCP Three-way Handshake".
Dalam sebuat serangan SYN Flooding, penyerang akan mengirimkan
paket-paket SYN ke dalam port-port yang sedang berada dalam keadaan "Listening"
yang berada dalam host target. Normalnya, paket-paket SYN yang dikirimkan
berisi alamat sumber yang menunjukkan sistem aktual, tetapi paket-paket SYN
dalam serangan ini didesain sedemikian rupa, setingga paket-paket tersebut
memiliki alamat sumber yang tidak menunjukkan sistem aktual.
Ketika target menerima paket SYN yang telat dimodifikasi tersebut,
target akan merespons dengan sebuat paket SYN/ACK yang ditujukan kepada
alamat yang tercantum di dalam SYN Packet yang ia terima (yang berarti sistem
tersebut tidak ada secara aktual), dan kemudian akan menunggu paket
Acknowledgment (ACK) sebagai balasan untuk melengkapi proses pembuatan
koneksi. Tetapi, karena alamat sumber dalam paket SYN yang dikirimkan olet
penyerang tidaklat valid, paket ACK tidak akan pernat datang ke target, dan port
yang menjadi target serangan akan menunggu tingga waktu pembuatan koneksi
timed-out. Jika sebuat port yang listening tersebut menerima banyak paket-paket
dengan jumlat paket SYN yang ia dapat menampungnya di dalam buffer yang
dialokasikan olet sistem operasi.
Jumlat percobaan pembuatan koneksi TCP yang dapat ditampung olet
sebuat host di dalam buffer memang berbeda-beda antara satu platform dengan
platform lainnya, tapi jumlatnya tidak lebit dari ratusan koneksi saja. Dengan
mengirimkan banyak paket SYN ke sebuat port yang berada dalam keadaan
listening yang berada dalam host target, buffer koneksi yang dialokasikan olet
sistem penerima dapat mengalami "kepenutan" dan target pun menjadi tidak
dapat merespons koneksi yang datang tingga paket SYN yang sebelumnya
mengalami timed-out atau buffer memiliki ruang tampung yang lebit banyak.
Beberapa sistem operasi batkan dapat mengalami hang ketika buffer koneksi
terlalu penut dan tarus di-restart. Baik restart ulang sistem operasi atau buffer
yang dipenuti dengan paket SYN yang tidak jelas datangnya dari mana tersebut
mengakibatkan pengguna yang valid dalam sebuat jaringan menjadi tidak dapat
mengakses layanan-layanan dalam jaringan. Sistem server di mana pengguna
tendak mengakses pun menolak request akses dari pengguna.
Ada beberapa cara yang dapat dilakukan untuk mencegat dan mengurangi
efek dari SYN Flooding yakni sebagai berikut:
1. Meningkatkan ukuran buffer koneksi TCP untuk meningkatkan jumlat
percobaan pembuatan koneksi yang dapat dilakukan secara simultan. Hal
ini memang menjadi solusi sementara, karena penyerang juga mungkin
meningkatkan ukuran paket SYN yang ia kirimkan untuk memenuti
2. Mengurangi nilai waktu kapan sebuat percobaan pembuatan koneksi TCP
menjadi timed-out. Hal ini juga menjadi solusi sementara, apalagi jika
jaringan di mana sistem berada sangat sibuk atau lambat
3. Mengimplementasikan penapisan paket yang masuk ke dalam router,
setingga memblokir semua serangan yang menggunakan alamat palsu.
Hal ini juga menjadi solusi sementara, karena tidak semua ISP
mengimplementasikan fitur seperti ini.
Memantau firewall dan mengonfigurasikannya untuk memblokir serangan
SYN flood ketika tal tersebut terjadi. Pendekatan ini merupakan pendekatan yang
sering dilakukan olet banyak organisasi, apalagi jika ditambat dengan Intrusion
Prevention System (IPS), meski tal ini membututkan kejelian dari seorang
administrator jaringan untuk memantau catatan (log) dari IPS dan firewall yang ia
atur. Batkan, dengan kedua perangkat tersebut, klien-klien yang valid dapat
ditolaknya karena konfigurasi yang tidak benar (Stiawan, Deris, 2005).
2.5 SnortBIDSB(Intrusion Detection System)
Snort IDS merupakan IDS open source yang secara defacto menjadi
standar IDS (Intrusion Detection System) di industri. Snort merupakan salat satu
software untuk mendeteksi instruksi pada system, mampu menganalisa secara
real time traffic dan logging IP, mampu menganalisa port dan mendeteksi segala
Macam intrusion atau serangan dari luar seperti Buffter overflows, stealth scan,
CGI attacks, SMP probes, OS fingerprinting. Secara default Snort memiliki 3 tal
yang terpenting, yaitu (Rafiudin, Ratmat, 2010):
Contot: tcpdump, iptraf, dll
2. Paket Logger
Berguna dalam Paket Traffic
3. NIDS (Network Intrusion Detection System)
Deteksi Intrusi pada network.
Komponen – komponen Snort IDS (Intrusion Detection System) meliputi:
a. Rule Snort
Rule Snort merupakan database yang berisi pola – pola
serangan berupa signature jenis – jenis serangan. Rule Snort IDS
(Intrusion Detection System) tarus selalu ter-update secara rutin agar
ketika ada suatu teknik serangan yang baru, serangan tersebut dapat
terdeteksi. Rule Snort dapat di download pada website www.snort.org
b. Snort Engine
Snort Engine merupakan program yang berjalan sebagai
daemon proses yang selalu bekerja untuk membaca paket data dan
kemudian membadingkan dengan rule Snort.
c. Alert
Alert merupakan catatan serangan pada deteksi penyusupan.
Jika Snort engine mendeteksi paket data yang lewat sebagai sebuat
serangan, maka Snort engine akam mengirimkan alert berupa log file.
Kemudian alert tersebut akan tersimpan di dalam database. Hubungan
ketiga komponen Snort IDS (Intrusion Detection System) tersebut dapat
Gambar 2.8 Sistem kerja Snort IDS
2.6 AplikasiBPendukungBSnort
Berikut ini adalat aplikasi – aplikasi pendukung Snort antara lain:
1. BASE (Basic Analysis and Security Engine)
BASE merupakan alat analisis dan pelaporan pada Snort melalui web
browser. BASE bukan merupakan aplikasi secara utut, melainkan sekumpulan
skrip PHP yang bekerja sama kemudian mengumpulkan data Snort dari database,
mengaturnya dalam bentuk yang sedertana pada web browser dan secara rutin
memperbatarui talaman tersebut (Rafiudin, Ratmat, 2010).
Instalasi paket BASE merupakan langkat teraktir dalam pembangunan
sistem ini. BASE akan membaca database yang ditulis olet Snort, maka BASE
tarus dikonfigurasikan dengan database Snort. Karena BASE merupakan
program web-based, maka aplikasi ini ditanam adalam direktori /var/www/. Pada
Gambar 2.9 Tampilan BASE
2. MySql
MySql adalat seuatu program database yang digunakan dalam sistem ini
untuk mencatat keperluan database. MySql bersifat open source yang artinya
dapat digunakan siapa saja dengan gratis tanpa perlu membayar untuk dapat
menggunakannya. Karena sifatnya yang open source inilat maka MySql menjadi
populer dan banyak digunakan (Nugroto, Bunafit, 2010).
Contot perintat dalam MySql antara lain
show database show table
Contot tipe data yang ada dala MySql antara lain:
a) VARCHAR ( ) : Tipe data string dengan lebar bervariasi yang dapat
memiliki panjang antara 0 tingga 255 karakter
b) TINYTEXT : Tipe data string dengan panjang maksimum 255
karakter.
c) TEXT : Tipe data string dengan panjang maksimum 65565 karakter.
d) INT ( ) : Integer yang berukuran normal, jangkauan unsigned adalat 0
tingga 4294967295
3.1BRancanganBJaringanBKomputerB
Adapun rancangan jaringan komputer yang akan diuraikan dalam Gambar 3.1:
Gambar 3.1 Rancangan jaringan komputer
Rancangan jaringan Gambar 3.1 merupakan rancangan LAN. Letak Snort IPS
dan firewall berada setelat router. Snort diletakkan setelat router karena pintu
masuk dan keluar antara jaringan WAN (internet) dan LAN, supaya Snort IPS
dapat menyaring semua akses keluar dan masuk ketika host mengakses internet
server merupakan operating system windows nyata. Dan untuk PC Router, Snort
IPS, admin, tost, dan tost1 menggunakan mesin virtual.
3.2BSpe3ifika3iBKebutuhanBSi3tem
Untuk membangun sebuat NIPS, dalam tugas aktir ini digunakan aplikasi
open-source Snort yang akan di-install di Ubuntu 1...4. Pada dasarnya Snort
merupakan sebuat IDS, setingga tanya memerlukan Libpcap yang merupakan
suatu packet capture library dan juga memerlukan PCRE (Perl Compatible
Berikut ini adalat daftar piranti lunak yang dibututkan dalam pemasangan
Snort Inline:
1. Linux Ubuntu Server 1...4 Lucid Lynx
9. Base-1.4.5 1.. MySql
11. Adodb 516a
12.VMWare-workstation-7.1.3-324285.
Berikut ini adalat daftar piranti keras yang dibututkan dalam pemasangan
Snort Inline:
1. Processor Intel Core i3 2. Memori RAM 2 Gb
3. Hard disk 25. Gb.
4. VMWare-workstation terdiri dari 5 mesin virtual antara lain:
- Hard disk 8 Gb
3.3 Perancangan
3.3.1 FlowchartBSnort
Adapun rancangan flowchart Snort yang akan diuraikan dalam Gambar 3.2:
Gambar 3.2 Flowchart Snort
Flowchart Gambar 3.2 membatas lebit dalam mengenai cara kerja Snort.
decoder men-decode paket ke dalam data struktur Snort untuk dianalisis.
Kemudian paket data diteruskan ke preprocessor untuk dilitat paket header-nya
dan informasi di dalamnya. Kemudian paket data diteruskan menuju detection
engine. Dengan menggunakan rule, detection engine membandingkan antara
paket data dan rule dan memutuskan apakat paket data bisa lewat atau akan
di-drop. Dan berdasarkan tasil dari detection engine dan mengeluarkan output
engine, Snort bisa mengambil tindakan lebit lanjut untuk merespon paket
tersebut. Kemudian Snort memberikan tasil dari detection engine dalam format
terpisat seperti log file atau database..
3.3.2 FlowchartBAlurBMetodeBIPS
Adapun rancangan flowchart alur metode IPS yang akan diuraikan dalam Gambar
Gambar 3.3 Flowchart alur metode IPS
Flowchart yang ditunjukkan pada Gambar 3.3 merupakan gambaran
bagaimana proses kerja IPS secara keselurutan. Mulanya, paket akan di-capture
lalu dideteksi berdasarkan rule yang tersedia. Kemudian apabila tidak terdeteksi
maka proses beraktir, sedangkan apabila terdeteksi, maka Snort IPS akan
melakukan drop dan membuat alert.
3.4 RancanganBUjiBCobaBSerangan
Serangan backdor menggunakan tools : Nikto-2.1.4
Serangan synflood menggunakan tools : Hping3
Gambar 3.4 dijelaskan sebuat system flow pendeteksian dan drop serangan
backdoor:
Gambar 3.4 System flow pendeteksian dan drop serangan backdoor.
Hacker melakukan serangan backdoor ke server. Sebelum ke server tarus
melalui Snort Inline terlebit datulu. Kemudian Snort Inline mendeteksi serangan
tersebut. Snort Inline membaca rule-rule yang dimilikinya untuk mendeteksi
serangan backdoor. Lalu firewall akan melakukan drop serangan backdoor.
Setelat itu Snort Inline membuat alert untuk dibaca olet admin.
3.6 System flowBPendetek3ianBdanBDropBSeranganBSynflood
Gambar 3.5 dijelaskan sebuat system flow pendeteksian dan drop tertadap
Gambar 3.5 System flow pendeteksian dan drop serangan synflood.
Hacker melakukan serangan synflood ke server. Sebelum ke server tarus
melalui Snort Inline terlebit datulu. Kemudian Snort Inline mendeteksi serangan
tersebut. Snort Inline membaca rule-rule yang dimilikinya untuk mendeteksi
serangan synflood. Lalu firewall akan melakukan drop serangan synflood. Setelat
Pada bab implementasi akan dijelaskan tentang langkah-langkah membuat
Intruston Preventton System dan melakukan konfigurasi. 4.1 KonfigurasiBVMWare
Dalam tugas akhir ini menggunakan 5 mesin virtual antara lain: a) PC Router
b) Snort IPS c) Admin d) Host e) Host1
Pada Gambar 4.1 dapat dijelaskan bahwa 5 vtrtual mesin telah ter-tnstall dan proses tnstall dapat dilihat pada bagian lampiran A.
Setelah semua vtrtual mesin ter-tnstall, langkah berikutnya adalah menggabungkan semua vtrtual mesin dalam suatu jaringan dengan cara membuat
team. Langkah-langkah pembuatan team pada VMWare dapat dilihat pada bagian lampiran B. Pada Gambar 4.2 dijelaskan sebuah team telah dibuat.
Gambar 4.2 Team VMWare
Langkah berikutnya yaitu melakukan konfigurasi LAN supaya semua vtrtual
Gambar 4.3 Konfigurasi LAN dalam team VMWare
Setelah semua langkah selesai maka semua vtrtual mesin telah terhubung dalam suatu jaringan. Pada PC router mempunyai dua LAN card, untuk LAN card
pertama NAT dan yang kedua LAN 1 supaya terhubung dengan LAN card Snort IPS. Sedangkan pada Snort IPS juga mempunyai dua LAN card yang pertama LAN 1 dan yang kedua LAN 2 karena pada Snort IPS ada brtdge untuk host, host1, dan admin. Pada host, host1, dan admin hanya mempunyai satu LAN card
yang terhubung pada Snort IPS supaya semua aktivitas tersaring oleh Snort IPS.
4.2 InstalasiBdanBKonfigurasiBSnort
Sebelum mulai proses instalasi Snort terlebih dahulu tnstall peket pendukung menggunakan apt antara lain:
Karena Snort IPS membutuhkan libnet untuk melengkapi paketnya dan paket tersebut tidak ada di reposttory, maka dapat diunduh secara manual.
# wget http://
http://code.google.com/p/ips-builder/downloads/detail?name=libnet-1.0.2a.tar.gz&can=2&q
Paket Snort dapat diunduh langsung melalui sttus resminya www.snort.org. Snort rules dapat diunduh dengan perintah sebagai berikut:
# cd /usr/src/
Download paket Snort dan rules yang akan digunakan dengan cara seperti berikut:
# wget http://www.snort.org/dl/current/snort-2.8.0.1.tar.gz
# wget http://snort.org/pub-bin/downloads.cgi/Download/ vrt_pr/snortrules-pr-2.4.tar.gz
Setelah mengunduh paket selesai,kemudian ekstrak paket tersebut. Konfigurasi dan kompilasi dilakukan terhadap source code paket. Agar Snort berjalan dalam modus tnltne maka ditambahkan enabled tnltne.
