Penerapan SMS Alert Menggunakan Snort Pada Ubuntu
Server 16.04 Untuk Monitoring Jaringan
Artikel Ilmiah
Peneliti
Muhammad Robby Irhamny Wahyudi (672015056) Dr. Indrastanti R. Widiasari, M.T.
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Agustus 2019
6
Penerapan SMS Alert Menggunakan Snort Pada Ubuntu
Server 16.04 Untuk Monitoring Jaringan
Artikel Ilmiah
Diajukan kepada Fakultas Teknologi Informasi
untuk memperoleh Gelar Sarjana Komputer
Peneliti
Muhammad Robby Irhamny Wahyudi (672015056) Dr. Indrastanti R. Widiasari, M.T.
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Salatiga
Agustus 2019
7
Pernyataan
Artikel Ilmiah berikut ini:
Judul : Penerapan SMS Alert Menggunakan Snort Pada Ubuntu Server 16.04 Untuk Monitoring Jaringan
Pembimbing : Dr. Indrastanti R. Widiasari, M.T. adalah benar hasil karya saya:
Nama : Muhammad Robby Irhamny Wahyudi
NIM : 672015056
Saya menyatakan tidak mengambil sebagian atau seluruhnya dari hasil karya orang lain kecuali sebagaimana yang tertulis pada daftar pustaka.
Pernyataan ini dibuat dengan sebenar-benarnya sesuai dengan ketentuan yang berlaku dalam penulisan karya ilmiah.
Salatiga, 24 Agustus 2019
8
Penerapan SMS Alert Menggunakan Snort Pada Ubuntu Server
16.04 Untuk Monitoring Jaringan
1)Muhammad Robby Irhamny Wahyudi, 2)Indrastanti Ratna Widiasari Fakultas Teknologi Informasi,
Universitas Kristen Satya Wacana Jl. Diponegoro 52-60, Salatiga 50711, Indonesia
Email: 1)672015056@student.uksw.edu, 2)indrastanti@uksw.edu
Abstract
Current technological developments make network security very important. Many network devices and media create many security holes in a network. The role of the administrator is very important in terms of network security. The network is monitored as much as possible in real time, while administrators cannot supervise directly for 24 hours. These problems can be overcome by adding an IDS system using the service snort. Snort will monitor network activities carried out by the client to the server. Notifications from snort will be forwarded to the administrator via SMS gateway and sent to the administrator in the form of SMS. In this study, researchers conducted simulations of existing problems so that it would produce a system capable of detecting some network activity. The detected activity will be sent to the administrator so that the administrator can immediately handle if there are activities that could potentially interfere with the security of the network.
Keywords: Networking, IDS, Snort, SMS Gateway.
Abstrak
Perkembangan teknologi saat ini membuat keamanan jaringan menjadi sangat penting. Banyaknya perangkat dan media jaringan membuat banyak celah keamanan di dalam suatu jaringan. Peran administrator sangat penting dalam hal keamanan suatu jaringan. Jaringan sebisa mungkin dipantau secara real time, sedangkan administrator tidak bisa mengawasi secara langsung selama 24 jam. Masalah tersebut dapat diatasi dengan menambahkan suatu sistem IDS dengan menggunakan service snort. Snort akan memantau aktivitas jaringan yang dilakukan oleh client terhadap server. Notifikasi dari snort akan diteruskan ke administrator melalui SMS gateway dan dikirim ke administrator dalam bentuk SMS. Dalam penelitian ini, peneliti melakukan simulasi terhadap masalah yang ada sehingga akan menghasilkan sistem yang mampu mendeteksi beberapa aktivitas jaringan. Aktivitas yang terdeteksi akan dikirim ke administrator sehingga administrator dapat langsung menangani jika ada aktivitas yang berpotensi dapat mengganggu keamanan jaringan tersebut.
Kata Kunci: Jaringan, IDS, Snort, SMS Gateway.
1) Mahasiswa Fakultas Teknologi Informasi Jurusan Teknik Informatika, Universitas Kristen Satya Wacana
Salatiga
9
1. Latar Belakang
Ancaman teroris cyber yang menyerang 99 negara dengan teknik ransomware ternyata ikut menimpa Indonesia. Bahkan, ada ribuan alamat internet protocol (IP) yang terinfeksi [1]. Selain itu, serangan Distributed Denial of Service (DDoS) masih menjadi tren pada 2017 [2]. Oleh karena itu keamanan merupakan salah satu hal utama di dalam dunia jaringan, karena di dalam jaringan terdapat lalu lintas data yang sangat banyak dan tentunya terdapat data-data penting yang terkirim. Ada beberapa sistem operasi dan
service yang digunakan untuk membangun jaringan serta keamanannya.
Sistem keamanan firewall tidaklah cukup untuk meminimalkan terjadinya serangan terhadap suatu jaringan komputer. Banyak serangan yang terjadi pada jaringan komputer dapat diketahui setelah adanya kejadian-kejadian yang aneh pada jaringan. Para administrator jaringan tidak bisa mengetahui dengan pasti apa yang sedang terjadi, sehingga dibutuhkan waktu yang cukup lama untuk diatasi.
Keamanan sebuah server akan sulit terpantau selama 24 jam secara manual oleh administrator jaringan. Maka diperlukan suatu software penunjang keamanan jaringan yang dapat membantu kerja administrator dalam melakukan kegiatan monitoring terhadap suatu jaringan. IDS (Intrusion Detection Sistem) merupakan sebuah sistem monitoring jaringan yang berfungsi membantu administrator dalam mengamankan jaringan. IDS bisa berupa sebuah perangkat keras atau perangkat lunak. Salah satu IDS berbasis software adalah snort.
Secara garis besar, snort adalah sebuah program yang memiliki tiga fungsi. Snort dapat dipakai dalam packet sniffer mode sehingga bekerja sebagai sniffer sama seperti wireshark. Snort juga dapat menyimpan setiap packet yang di-capture ke dalam media penyimpan di modus packet logger mode. Akan tetapi berbeda dengan wireshark, snort dapat dipakai sebagai komponen NIDS dengan menjalankannya pada Network Intrusion
Detection System (NIDS) mode. Pada modus yang terakhir ini, snort akan menganalisa
paket berdasarkan rule yang ada untuk mengenali adanya upaya serangan.
Berdasarkan latar belakang yang ada, maka dilakukan penelitian yang bertujuan untuk menerapkan SMS alert untuk jaringan telah dibuat menggunakan sistem operasi Ubuntu Server 16.04. Penerapan SMS alert ini bertujuan untuk memantau keamanan jaringan yang ada. Dengan diterapkannya metode ini diharapkan dapat mengatur jaringan lebih baik sehingga keamanan jaringan lebih terjamin.
2. Penelitian Terdahulu
Pada penelitian terdahulu sistem keamanan yang dibangun adalah mendeteksi serangan-serangan yang masuk pada jaringan dengan melakukan decode oleh snort
decoder terhadap sejumlah source dan lalu-lintas yang masuk pada jaringan, sehingga
seluruh paket yang masuk ke dalam jaringan dibandingkan oleh detection engine apakah sesuai dengan rules atau tidak. Apabila sesuai dengan rules maka server memberikan informasi berupa SMS alert kepada administrator jaringan bahwa telah terjadi serangan, jika tidak sesuai dengan rules maka paket dapat diteruskan masuk ke dalam jaringan. Informasi mengenai serangan yang terjadi pada jaringan dapat diketahui oleh administrator secara realtime melalui SMS gateway setiap 1 (satu) menit sekali [3].
10
Terdapat penelitian lain yang membahas monitoring jaringan berbasis SMS Gateway, dijelaskan bahwa juga menggunakan snort sebagai Intrusion Detection System (IDS) dan dijalankan pada sistem operasi Debian 7.0. Sistem terbagi menjadi 3 komponen utama yang bertugas untuk mengirimkan data dari server ke perangkat administrator melalui SMS gateway, yaitu komponen pemantauan lalu lintas paket data (snort), komponen pengumpulan data berdasarkan log dari snort (BASE), komponen pengiriman notifikasi berupa SMS ke administrator (SMS Gateway). Semua komponen tersebut saling berkaitan untuk mengirimkan data yang didapat dari hasil pemantauan lalu lintas paket yang lewat pada jaringan yang kemudian didistribusikan ke dalam database sehingga bisa diteruskan oleh SMS gateway ke handphone administrator yang bertanggung jawab terhadap server tersebut [4].
Pada penelitian yang lain, NIDS (Network intrusion Detection System) bekerja untuk mendeteksi intrusi-intrusi yang datang. Proses deteksi selesai apabila sudah sesuai dengan
rule yang sudah ditentukan oleh administrator di direktori rule berisi file konfigurasi.
Snort menganalisa setiap paket dan data pada tiap aktifitas yang terjadi di dalam jaringan dan melaporkannya jika ada potensi intrusi pada jaringan. Menyatukan snort dengan SMS
gateway dapat membuat sistem lebih responsif untuk menangani masalah-masalah
tersebut. Log alert dikirimkan ke admin lewat media SMS, jadi administrator dapat memantau jaringan tiap saat [5].
Berdasarkan tiga penelitian tersebut, maka penelitian ini memiliki beberapa perbedaan. Perbedaan mendasar yaitu penggunaan sistem operasi yang berbeda dengan penelitian sebelumnya, dan juga menghubungkan snort ke dalam sistem database untuk menyimpan notifikasi dari snort. Perbedaan lain adalah sistem monitoring yang dimaksud hanya memberi notifikasi aktivitas-aktivitas jaringan ke administrator melalui SMS.
Jaringan komputer adalah sebuah sistem yang terdiri dari dua atau lebih komputer yang saling terhubung satu sama lain melalui media transmisi atau media komunikasi sehingga dapat saling berbagi data, aplikasi maupun berbagi perangkat keras komputer [6].
Istilah jaringan komputer sendiri juga dapat diartikan sebagai kumpulan sejumlah terminal komunikasi yang terdiri dari dua komputer atau lebih yang saling terhubung. Tujuan dibangunnya jaringan komputer adalah agar informasi atau data yang dibawa pengirim (transmitter) dapat sampai kepada penerima (receiver) dengan tepat dan akurat.
Local Area Network atau yang sering disingkat dengan LAN merupakan jaringan yang
hanya mencakup wilayah kecil saja, semisal warnet, kantor, atau sekolah. Umumnya jaringan LAN luas areanya tidak jauh dari 1 km persegi. Biasanya jaringan LAN menggunakan teknologi IEEE 802.3 Ethernet yang mempunyai kecepatan transfer data sekitar 10, 100, bahkan 1000 MB/s. Selain menggunakan teknologi Ethernet, tak sedikit juga yang menggunakan teknologi nirkabel seperti Wifi untuk jaringan LAN.
Metropolitan Area Network atau MAN merupakan jaringan yang mencakup suatu kota
dengan dibekali kecepatan transfer data yang tinggi. Bisa dibilang, jaringan MAN merupakan gabungan dari beberapa jaringan LAN. Jangakauan dari jaringan MAN berkisar 10-50 km. MAN hanya memiliki satu atau dua kabel dan tidak dilengkapi dengan elemen switching yang berfungsi membuat rancangan menjadi lebih sederhana.
11
Wide Area Network atau WAN merupakan jaringan yang jangkauannya mencakup daerah
geografis yang luas, semisal sebuah negara bahkan benua. WAN umumnya digunakan untuk menghubungkan dua atau lebih jaringan lokal sehingga pengguna dapat berkomunikasi dengan pengguna lain meskipun berada di lokasi yang berbebeda.
Keamanan jaringan komputer adalah proses untuk mencegah dan mengidentifikasi penggunaan yang tidak sah dari jaringan komputer. Langkah-langkah pencegahan membantu menghentikan pengguna yang tidak sah yang disebut “penyusup” untuk mengakses setiap bagian dari sistem jaringan komputer.
Tujuan keamanan jaringan komputer adalah untuk mengantisipasi resiko jaringan komputer berupa bentuk ancaman fisik maupun logic baik langsung ataupun tidak langsung mengganggu aktivitas yang sedang berlangsung dalam jaringan komputer.Satu hal yang perlu diingat bahwa tidak ada jaringan yang anti sadap atau tidak ada jaringan komputer yang benar-benar aman. Sifat dari jaringan adalah melakukan komunikasi. Setiap komunikasi dapat jatuh ke tangan orang lain dan disalahgunakan. Sistem keamanan membantu mengamankan jaringan tanpa menghalangi penggunaannya dan menempatkan antisipasi ketika jaringan berhasil ditembus.
Selain itu, pastikan bahwa user dalam jaringan memiliki pengetahuan yang cukup mengenai keamanan dan pastikan bahwa mereka menerima dan memahami rencana keamanan yang dibuat. Jika mereka tidak memahami hal tersebut, maka mereka akan menciptakan lubang (hole) keamanan pada jaringan. Ada dua elemen utama pembentuk keamanan jaringan. Pertama, tembok pengamanan baik secara fisik maupun maya, yang ditaruh diantara piranti dan layanan jaringan yang digunakan dan orang-orang yang akan berbuat jahat. Kedua, rencana pengamanan yang akan diimplementasikan bersama dengan user lainnya, untuk menjaga agar sistem tidak bisa ditembus dari luar.
Monitoring merupakan kegiatan yang bertujuan untuk mengawasi atau memantau tentang apa yang ingin diketahui. Monitoring memberikan informasi tentang status dari sesuatu yang ingin diketahui. Berdasarkan kegiatan monitoring yang dilakukan secara berulang didapat hasil dan tujuan tertentu. Umumnya kegiatan monitoring dilakukan untuk memeriksa suatu proses atau untuk mengevaluasi kondisi untuk melakukan suatu tindakan [8].
Monitoring jaringan merupakan kegiatan yang bertujuan untuk memantau dan mengatur sistem jaringan pada suatu wilayah tertentu yang menggunakan suatu topologi jaringan. Adanya monitoring jaringan dapat memudahkan administrator atau teknisi jaringan dalam memantau sistem yang ada di lapangan [9].
Intrusion Detection System (IDS) merupakan sebuah sistem yang dapat mendeteksi
aktivitas yang mencurigakan pada sebuah sistem atau jaringan. Jika ditemukan aktivitas yang mencurigakan pada traffic jaringan maka IDS memberikan sebuah peringatan terhadap sistem atau administrator jaringan dan melakukan analisis dan mencari bukti dari percobaan penyusupan [11].
Snort IDS merupakan IDS open source yang secara de facto menjadi standar IDS di industri. Snort dapat diunduh di situs www.snort.org. Snort dapat diimplementasikan dalam jaringan yang multi platform. Salah satu kelebihannya adalah mampu mengirimkan alert dari mesin Unix atupun Linux ke platform Microsoft Windows dengan melalui Server Messager
12
Block (SMB). Snort dapat bekerja dalam 3 mode, mode penyadap (sniffer), packet logger dan
mode network intrusion detection [12].
Snort terdiri dari beberapa komponen yang bekerja sama untuk mendeteksi serangan tertentu dan menghasilkan output salam format yang diperlukan oleh sistem pendeteksi. Snort dirancang untuk beroprasi berbasis command line dan telah diintergrasikan ke beberapa aplikasi pihak ketiga dan mendukung cross platform. Snort menganalisis semua lalu lintas jaringan untuk manyadap dan mencari beberapa jenis penyusupan dalam sebuah jaringan.
Sistem deteksi intrusi dengan snort ditempatkan dalam jaringan untuk mendeteksi adanya intrusi pada sistem yang dipantau. Oleh karenanya snort harus bisa menyadap semua data dari sistem yang dipantau, baik data yang masuk maupun data yang keluar. IDS snort dihubungkan dengan span port dari switch yang dapat menangkap lalu lintas data dari jaringan yang dipantau.
Snort merupakan IDS singlethrading yang menggunakan rules sebagai teks untuk menginstruksi, menangani dan memberi aksi terhadap event yang terdeteksi. Snort sudah berkembang menjadi IDS dan IPS yang teruji. Snort dioperasikan menggunakan command
line dan Berkeley Packet Filter (optional). Rules snort sangat mudah diimplementasikan dan
sangat ampuh untuk mendeteksi segala jenis paket yang mencurigakan. Snort memilki beberapa fitur yang bisa dimanfaatkan oleh penggunanya. Beberapa fitur yang ada di snort antara lain : dapat berjalan pada semua jenis sistem operasi, singlethread, kemampuan dalam memeriksa protokol, kemampuan dalam memeriksa kondisi, kemampuan dalam
me-reassembly paket-paket, menyediakan hasil output dam bentuk ASCII dan tersedia versi GUI
untuk hasil analisa.
SMS Gateway adalah sebuah perangkat lunak yang menggunakan bantuan komputer dan memanfaatkan teknologi seluler yang diintegrasikan guna mendistribusikan pesan-pesan sistem informasi melalui media SMS. SMS Gateway dapat menyebarkan pesan ke ratusan nomor secara otomatis dan cepat yang langsung terhubung dengan database nomor-nomor ponsel saja tanpa harus mengetik ratusan nomor dan pesan di ponsel anda karena semua nomor diambil secara otomatis dari database tersebut. Selain itu, dengan adanya SMS
Gateway anda dapat mengustomisasi pesan-pesan yang ingin dikirim [12].
Fitur-fitur standar SMS Gateway, yaitu komunikasi SMS interaktif dua arah, SMS info on
demand, SMS service settings, SMS Automatic Registration, polling SMS, pengiriman SMS Broadcast, pengiriman SMS ke Call Group, pengiriman SMS terjadwal, personalisasi SMS,
antarmuka aplikasi berbasis web, buku alamat dan call group, manajemen pengguna, sistem
security access, serta sistem parameter.
SMS Gateway juga bisa dikatakan sebagai jembatan antara suatu sistem komputer dan SMS Center (SMSC). Sistem komputer digunakan secara umum untuk menunjukkan suatu
database server. Server digunakan untuk menunjuk host atau server dimana data berada. Gateway dapat menerima data dari content server dan mengirimkan ke SMSC untuk
diteruskan sebagai pesan SMS ke telepon cellular, data yang dikirim dapat berupa jawaban atau respon terhadap teks SMS yang diterima oleh gateway.
SMS Gateway merupakan pintu gerbang dari penyebaran informasi dengan menggunakan SMS. Dengan menggunakan SMS Gateway dapat menyebarkan pesan ke banyak nomor secara otomatis dan cepat serta langsung terhubung dengan database nomor-nomor ponsel saja tanpa harus mengetik ratusan nomor dan pesan pada ponsel. Selain itu juga dapat mengolah pesan-pesan yang dikirim dengan menggunakan program tambahan yang dapat
13
dibuat sendiri, pengiriman pesan dapat lebih fleksibel dalam mengirim berita, karena biasanya pesan yang dikirim berbeda-beda untuk masing-masing penerimanya.
SMS Gateway memanfaatkan modem untuk server pengiriman SMS. Sistem ini memanfaatkan jaringan operator seluler untuk pegiriman SMS, service gammu sebagai
software SMS gateway dan database mysql yang diintegrasikan dengan database.
Cara kerja SMS Gateway pada dasarnya hampir sama dengan mengirim SMS melalui
handphone pada umumnya. Hanya saja bedanya adalah perangkat pengirimannya bukan lagi handphone tetapi modem GSM. Modem dikendalikan oleh komputer menggunakan aplikasi
SMS Gateway seperti gammu. 3. Metodologi Penelitian
Tahapan penelitian yang digunakan dalam Penerapan SMS Alert Menggunakan Snort Pada Ubuntu Server 16.04 Untuk Monitoring Jaringan dapat dilihat pada Gambar 1.
Tahap-tahap dalam tahapan penelitian pada Gambar 1, dijelaskan sebagai berikut:
Tahap Identifikasi Masalah : Pada tahap ini dilakukan identifikasi terkait masalah yang ada
dan kondisi yang ada saat ini, yaitu hal-hal yang berhubungan dengan jaringan dan keamanannya yang ada saat ini. Tahap Perancangan Sistem : Setelah mengetahui dan mendapatkan data yang dibutuhkan, langkah selanjutnya adalah merancang sistem yang dibuat. Pada tahap ini digunakan aplikasi Virtual Box untuk merancang sekaligus melakukan simulasi terhadap sistem jaringan dan sistem keamanan yang dibuat. Tahap Penerapan
Sistem : Pada tahap ini dilakukan penerapan sistem dan konfigurasi yang telah dirancang
sebelumya pada perangkat yang sesungguhya. Tahap Pengujian Sistem : Merupakan tahap terakhir, yaitu menguji sistem yang telah dibuat dan melihat hasilnya apakah sudah sesuai dengan tujuan utama dari penelitian ini.
Pada tahap identifikasi masalah dilakukan identifikasi terhadap masalah yang ada. Identifikasi dilakukan terhadap suatu server yang belum terdapat sistem IDS di dalam sistemnya. Pada kondisi tersebut suatu server tidak bisa terpantau secara berkala dikarenakan belum ada sistem yang memantau lalu lintas data pada server tersebut sehingga sangat rentan diretas oleh beberapa pihak tertentu. Mengingat pentingnya sebuah server pada suatu jaringan
Gambar 1 Tahapan Penelitian Identifikasi Masalah
Perancangan Sistem
Penerapan Sistem
Pengujian Sistem
14
maka dibutuhkan suatu sistem untuk memantau jaringan yang terhubung dengan server tersebut. Dengan adanya sistem pemantau diharapkan keamanan suatu jaringan dan server lebih bisa terjamin keamanannya.
Pada tahapan ini dilakukan perancangan topologi jaringan yang diterapkan. Pada Gambar 2 merupakan topologi jaringan yang terdiri dari satu buah komputer sebagai server, dua buah
laptop sebagai client/attacker, satu buah modem GSM sebagai pengirim SMS alert dari
komputer server, satu buah handphone sebagai penerima SMS dari server dan satu buah HUB sebagai media pembagi jalur dari satu server ke beberapa client serta tiga buah kabel LAN untuk menghubungkan antara komputer dengan switch.
Gambar 2. Topologi Jaringan
Dengan melihat topologi pada Gambar 2, dapat dijelaskan bahwa cara kerjanya adalah ketika semua sudah terhubung dengan baik dan benar, kemudian salah satu laptop melakukan serangan ke komputer server. Dengan adanya serangan tersebut IDS (snort) pada komputer mendeteksi serangan tersebut. Snort mendeteksi jenis serangan tersebut sesuai rules yang sudah dibuat pada konfigurasi snort.
Berdasarkan identifikasi snort, gammu meneruskan pesan serangan dari snort ke
handphone melalui konfigurasi yang telah dibuat pada service gammu. Modem GSM sebagai
salah satu perangkat keras yang digunakan untuk mengirimkan pesan yang diteruskan oleh gammu agar bisa terkirim ke handphone.
Setelah ditentukan alur perancangan sistem seperti yang telah dijelaskan dalam flowchart, maka langkah selanjutnya yang dilakukan adalah merealisasikan sistem yang dibangun suatu topologi fisik jaringan dan diimplementasikan, agar sesuai dengan rencana, maka diuraikan beberapa software dan hardware yang digunakan.
Untuk software dan sistem operasi yang digunakan adalah Ubuntu Server 16.04 dengan menerapkan beberapa konfigurasi penunjang selain konfigurasi snort dan SMS gateway.
Windows 7 dan Windows 10 digunakan sebagai sistem operasi pada komputer client. Wireshark dan Command Prompt sebagai salah satu aplikasi yang digunakan untuk pengujian
kepada server. Sedangkan untuk hardware yang digunakan adalah komputer dekstop yang digunakan sebagai server. Dua buah laptop yang berfungsi sebagai client untuk melakukan pengujian aktivitas jaringan kepada server. Modem GSM digunakan sebagai media pengirim notifikasi dari komputer server ke handphone administrator. Handphone sebagai media penerima notifikasi dari server. HUB dan kabel LAN sebagai media penghubung antara komputer server dan laptop client.
15
1.sudo apt install -y gcc libpcre3-dev zlib1g-dev libluajit-5.1-dev libpcap-dev openssl libssl-dev libnghttp2-dev libdumbnet-dev bison flex libdnet
2.wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz 3../configure && make && sudo make install
4.wget https://www.snort.org/downloads/snort/snort-2.9.13.tar.gz 5../configure --enable-sourcefire && make && sudo make install 6.sudo ldconfig
7.sudo ln -s /usr/local/bin/snort /usr/sbin/snort
8.sudo useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort 9.sudo mkdir -p /etc/snort/rules
10.sudo chmod -R 5775 /etc/snort
11.sudo chown -R snort:snort /etc/snort
12.sudo touch /etc/snort/rules/white_list.rules
13.wget https://www.snort.org/rules/snortrules-snapshot-29120.tar.gz?oinkcode – O ~/registered.tar.gz
14.sudo nano /etc/snort/snort.conf 15.ipvar HOME_NET 192.168.56.1/32 16.ipvar EXTERNAL_NET !$HOME_NET 17.var RULE_PATH /etc/snort/rules 18.var SO_RULE_PATH /etc/snort/so_rules 19.var WHITE_LIST_PATH /etc/snort/rules 20.var BLACK_LIST_PATH /etc/snort/rules
21.output unified2: filename snort.log, limit 128 22.include $RULE_PATH/local.rules
23.sudo snort -T -c /etc/snort/snort.conf 24.sudo nano /etc/snort/rules/local.rules
25.alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:001;)
26.alert tcp any any -> $HOME_NET 21 (msg:”FTP test”; sid:10000001; rev:001;) 27.alert tcp any any -> $HOME_NET 80 (msg:”TELNET test”; sid:10000001;
rev:001;)
28.alert tcp any any -> $HOME_NET 22 (msg:”SSH test”; sid:10000001; rev:001;) 29.sudo systemctl start snort
Sebelum melakukan simulasi, terlebih dahulu membangun server yang akan digunakan. Selain service yang digunakan untuk monitoring jaringan dan SMS alert, perlu juga dilakukan konfigurasi penunjangnya. Beberapa service yang dikonfigurasi adalah : DNS
Server, Web Server, FTP, Samba, SSH, Telnet dan Mail Server.
Konfigurasi snort dibutuhkan untuk menangkap aktivitas-aktivitas jaringan yang sedang dilakukan. Pada Gambar 2, dapat dilihat bahwa server terhubung langsung ke internet melalui modem dan ke laptop client melalui HUB. Snort memonitoring serangan-serangan yang dilakukan salah satu laptop client. Konfigurasi snort dituliskan di dalam kode program yang tertera.
Kode Program 1 Konfigurasi Snort
Pada Kode Program 1, merupakan konfigurasi untuk menginstall beberapa paket yang dibutuhkan untuk menunjang kinerja dan installasi snort dan membuat direktori untuk menampung paket-paket yang dibutuhkan snort. Selanjutnya merupakan proses download dan installasi paket DAQ, DAQ merupakan Data Aquition Library untuk paket I/O. Pada snort DAQ digunakan untuk mengaktifkan semua fitur snort. Selain itu DAQ juga berfungsi untuk mengubah snort dari mode IDS menjadi IPS dengan menjalankan snort pada mode
inline menggunakan data acquisition (DAQ).
Setelah konfigurasi DAQ kemudian download dan install snort. Proses download mengambil direktori langsung dari website snort dengan cara memasukkan url dari snort. Setelah itu unzip snort yang telah didownload pada direktori yang telah dibuat. Masuk ke direktori snort dan install snort yang telah didownload.
16
1. apt-get install gammu gammu-smsd
2. dmesg | grep tty
3. sudo gammu-config 4. port = /dev/ttyUSB0 5. connection = at115200 6. synchronizetime = yes 7. logfile = /var/log/gammulog 8. logformat = textall 9. use_locking = yes
10. sudo nano /etc/gammu-smsdrc
11. PIN = '' 12. service = sql 13. driver = native_mysql 14. DeliveryReport = sms 15. logfile = /var/log/smsdlog 16. user = root 17. password = root 18. pc = localhost 19. database = snort 20. inboxpath = /var/spool/gammu/inbox/ 21. outboxpath = /var/spool/gammu/outbox/ 22. sentsmspath = /var/spool/gammu/sent/ 23. errorsmspath = /var/spool/gammu/error/
24. sudo mkdir /var/www/sms/config
25. port = /dev/ttyUSB0
26. connection = at115200
27. nano var/www/sms/config/koneksi.php
Jika snort dan DAQ telah terinstall, kemudian konfigurasi snort ke dalan nids mode. Buat username pada snort. Konfigurasi direktori yang dibutuhkan untuk menunjang kinerja snort. Direktori ini berfungsi untuk menyimpan rules dan log snort.
Kemudian konfigurasi untuk merubah hak akses beberapa direktori snort yang telah dibuat agar bisa diakses oleh user. Selain untuk merubah hak akses diubah juga owner beberapa direktori tadi dengan menggunakan perintah chown. Buat beberapa file untuk menampung beberapa rules dari snort, diantaranya adalah white_list.rules, black_list.rules dan local.rules. Salin konfigurasi snort.conf dari direktori snort-2.9.12 ke direktori /etc/snort dan file yang berekstensi .map ke direktori /etc/snort.
Setelah itu download local rules untuk mengatur rules-rules yang digunakan pada snort. Pada konfigurasi terdapat dua jenis rules, yaitu local rules dan community rules. Pada tahap ini digunakan local rules, kemudian unzip file rules yang telah diunduh. Atur alamat IP yang dimonitoring dengan alamat IP 192.168.56.1/32.
Atur output log dari service snort. Dituliskan di dalam konfigurasi tersebut nama file-nya yaitu snort.log dan konfigurasi lanjutan rules yang dibuat pada snort. Hapus tanda pagar pada bagian output unified2 untuk mengaktifkan rules pada baris tersebut. Kemudian validasi snort yang telah dikonfigurasi, pastikan tidak ada yang error. Pada beberapa alert tersebut dibuat untuk berbeda-beda jenis serangan seperti : port 21 untuk FTP, port 80 untuk telnet dan web server dan port 22 untuk SSH. Setelah semua konfigurasi selesai aktifkan snort dengan perintah sudo systemctl start snort.
Gammu diperlukan untuk menunjang kerja snort. Setelah snort menangkap aktivitas-aktivitas jaringan yang sedang terjadi, selanjutnya diproses oleh gammu agar dapat terhubung ke handphone. Selain service gammu dibutuhkan juga modem untuk mengirim pesan dari komputer server ke handphone.
Kode Program 2 Konfigurasi Gammu
17 1. <?php 2. class koneksi{ 3. public function_construct(){ 4. $host = "localhost"; 5. $username = "root"; 6. $password = "root"; 7. $database = "snort";
8. $connect = mysql_connect ($host,$username,$password); 9. if($connect){
10. $select_db = mysql_select_db($database); 11. if($select_db){
12. echo "terhubung";} 13. else {
14. echo "tidak ada database";}} 15. else{
16. echo "tidak terhubung ke server";}} 17. public functin tampil_ip(){
18. $query = mysql_query("select inet_ntoa(ip_src) as aipi from acid_event group by timestamp");
19. while ($hasil = mysql_fetch_array($query)){ 20. echo $hasil['aipi'];}}}
21. $koneksi = new koneksi(); 22. ?>
Pada Kode Program 2, berfungsi untuk meginstall gammu. Setelah modem dengan komputer server terhubung secara fisik, tunggu hingga modem terdeteksi dan terhubung dengan baik ke server. Konfigurasi modem agar dapat digunakan untuk mengirim SMS. Pada kolom port tuliskan nomor port USB yang sesuai dengan modem yang telah terhubung dan pada bagian connection sampai use_locking sesuaikan dengan keadaan modem yang dipakai. Konfigurasi gammu pada file gammu-smsdrc. Setelah masuk ke dalam konfigurasi file tersebut atur sesuai kebutuhan. Pada bagian port pastikan port yang dituliskan sesuai dengan
port fisik yang dipakai. Username dan password sesuaikan dengan username dan password database yang dipakai snort di dalam server. Untuk bagian PC diisi dengan localhost dan
bagian database diisi sesuai dengan database yang dipakai oleh snort. Kode Program 3 Koneksi Database
Kode Program 3, merupakan file php yang dimasukkan ke dalam server yang berfungsi untuk membuat koneksi ke database snort. Konfigurasi username, password dan
databse yang digunakan oleh snort. Dengan menggunakan koneksi.php tersebut, sistem snort
terhubung ke database yang ada di komputer sever. Terdapat juga pengaturan jika koneksi berhasil ataupun gagal.
18 1. <?php 2. class sms { 3. public function_sendsms($data){ 4. $DestinationNumber= $data['DestinationNumber']; 5. $TextDecoded = $data['TextDecoded']; 6. $timestamp = $data['timestamp'];
7. $query_sendsms = mysql_query("insert into outbox (DestinationNumber, TextDecoded) values ('$DestinationNumber','$TextDecoded')");
8. if ($query_sendsms){
9. $this->_hapusCIDEvent($timestamp);}} 10. public function_hapusCIDEvent($timestamp){
11. $query = mysql_query("update acid_event set status='processed' where timestamp='$timestamp'");}}
12. $query = mysql_query("select timestamp, inet_ntoa(ip_src) as ip_src, inet_ntoa(ip_dest) as ip_dest, sig_name, timestamp
13. from acid_event where status='unprocessed' and ip_src !='0.0.0.0' group by timestamp order by timestamp desc");
14. while($hasil = mysql_fetch_array($query));
15. $query = mysql_query("select timestamp, inet_ntoa(ip_src) as
ip_src,inet_ntoa(ip_dest) as ip_dest, sig_name, timestamp from acid_event where status='unprocessed' and ip_src !='0.0.0.0' group by timestamp order by
timestamp desc"); 16. if (mysql_num_rows($query2)==null) 17. ?> 1. else{$hasil = mysql_fetch_array($query2); 2. $timestamp = $hasil['timestamp']; 3. $ip_src = $hasil['ip_src']; 4. $ip_dest = $hasil['ip_dest']; 5. $sig_name = $hasil['sig_name']; 6. $sms = new sms();
7. $TextDecoded = $ip_src. 'melakukan : '.$sig_name. 'kepada : '.$ip_dest. 'pada jam '.$timestamp;$date = array
('DestinationNumber'=>'081328744166','TextDecoded'=>$TextDecoded,'timestamp' =>$timestamp,);
8. $sms->__sendsms($data);}
9. $query = mysql_query("select * from sendintems order by SendingDateTime desc");
10. while($hasil = mysql_fecth_array($query)); 11. ?>
Kode Program 4 Server SMS Alert
Pada Kode Program 4, merupakan file php yang digunakan untuk menampung konfigurasi server SMS yang dipakai oleh gammu. Beberapa pengaturan yang masuk dalam konfigurasi tersebut adalah pengaturan entitas nomor tujuan, isi dari SMS dan catatan waktu. Selain mengatur beberapa konfigurasi SMS tersebut, file php ini juga berfungsi untuk mengatur beberapa data dari server yang dikirim. Dengan adanya konfigurasi tersebut notifikasi yang muncul sesuai dengan konfigurasi yang telah dibuat pada file php.
Kode Program 5 Notifikasi SMS
Kode Program 5 merupakan konfigurasi file php yang digunakan untuk mengirim SMS ke handphone. File php mengatur format SMS yang dikirim dan mengatur nomor tujuan. Terdapat pengaturan nomor tujuan untuk mengirim notifikasi. Selain itu juga berfungsi untuk membuat format SMS yang dikirim ke handphone, seperti alamat IP client melakukan jenis akses ke server pada waktu tertentu. Kode Program 5 masih berhubungan dengan Kode Program 4 untuk pengaturan pengiriman SMS ke handphone.
Pada bagian client/attacker menggunakan dua buah laptop yang berfungsi sebagai client atau juga bisa sebagai penyerang (attacker). Salah satu proses simulasi penyerangan adalah menggunakan aplikasi wireshark yang terinstall pada laptop client. Setelah komputer client
19
dan server terhubung secara langsung menggunakan media kabel LAN, kemudian konfigurasi alamat IP pada laptop client agar satu kelas dengan alamat IP komputer server.
Penggunaan handphone hanya sebagai penerima SMS alert atau pemberitahuan serangan yang dilakukan terhadap server yang terhubung dengan handphone. Komunikasi antara komputer server dan handphone merupakan komunikasi satu arah, jadi handphone hanya menerima notifikasi dari komputer server.
4. Hasil dan Pembahasan
Pengujian yang pertama adalah melakukan ping server menggunakan command
prompt pada komputer client. Pada Gambar 3, proses ping dilakukan oleh komputer client dengan alamat ip 192.168.56.9/24 ke alamat IP server 192.168.56.1/24.
Gambar 3. Ping Test Koneksi Server
Berdasarkan rules yang telah dibuat pada snort, proses ping server pada Gambar 3, terdeteksi oleh snort sebagai notifikasi “ICMP Test” karena protokol yang terdeteksi oleh snort merupakan jenis protokol ICMP. Ketika ada serangan masuk ke komputer server, snort mendeteksi serangan tersebut berdasarkan rules yang telah dibuat. Pesan dari snort diteruskan ke gammu sebagai penyedia layanan SMS gateway. Berdasarkan kongifurasi yang telah dibuat pada gammu, notifikasi tersebut dikirimkan ke handphone melalui media modem GSM. Berdasarkan notifikasi tersebut administrator jaringan menerima notifikasi SMS dari komputer server bahwa terjadi serangan, sehingga administrator lebih mudah menangani serangan tersebut. Pada gambar 3 merupakan hasil notifikasi SMS yang dikirim dari komputer server dengan jenis serangan ICMP test.
Gambar 4. Notifikasi ICMP
Pengujian selanjutnya adalah port scanning menggunakan wireshark. Pengujian ini dilakukan dengan cara melakukan penyerangan oleh komputer client dengan alamat IP 192.168.56.9/24 dengan alamat IP tujuan yaitu IP komputer server 192.168.56.1/24. Pada bagian interface menggunakan Ethernet karena koneksi yang digunakan menggunakan
20
port Ethernet atau menggunakan kabel LAN. Pada Gambar 5, merupakan aplikasi wireshark yang sedang melakukan scanning ke server.
Gambar 5. Port Scanning Dengan Wireshark
Berdasarkan serangan tersebut ditangkap oleh snort bahwa terdapat serangan dari alamat ip 192.168.56.9 dengan jenis serangan TCP attack. Setelah terdeteksi snort, notifikasi diteruskan ke gammu service sesuai dengan jenis serangan tersebut. Kemudian pesan tersebut diolah di gammu menggukanan rules yang telah dikonfigurasi. Setelah proses pada gammu selesai notifikasi dikirimkan ke handphone melalui modem GSM. Pada Gambar 6, merupakan notifikasi yang masuk ke handphone dari serangan TCP
attack.
Gambar 6. Notifikasi TCP
Pada Gambar 7, dilakukan pengujian dengan membuka web server dengan domain www.tugasakhir.com dari komputer client dengan alamat IP 192.168.56.9/24. Web server ini sebelumnya sudah diinstall dan dikonfigurasi terlebih dahulu di komputer server. Selain dilakukan konfigurasi pada service web server, konfigurasi service dns server juga diperlukan agar akses ke web server lebih mudah dengan menggunakan domain yang telah ditentukan, yaitu www.tugasakhir.com.
21
Gambar 7. Akses ke Web Server
Pada saat komputer client mengakses web server, port yang digunakan adalah port 80.
Web server terbuka dan snort mendeteksi aktivitas tersebut berdasarkan rules yang telah
dibuat merupakan jenis aktivitas telnet test. Pada snort muncul notifikasi telnet test dan diteruskan ke gammu menggunakan konfigurasi yang telah dibuat. Pada Gambar 8, merupakan hasil notifikasi ke handphone dari komputer server.
Gambar 8. Notifikasi Telnet
Dengan hasil pada Gambar 8, dapat diketahui bahwa pengiriman SMS alert dari komputer server ke komputer client telah berhasil. Dapat dikatakan bahwa cara kerja sistem yang berjalan adalah ketika ada serangan dari client ke server, snort menagkap dan mengidentifikasi jenis serangan sesuai dengan rules yang telah dikonfigurasi. Kemudian setelah diproses oleh snort dilanjutkan oleh service gammu yang telah dikonfigurasi. Di dalam gammu terdapat koneksi antara software dan hardware (modem) yang berfungsi sebagai media pengirim SMS dari server ke handphone.
Digunakan pula beberapa file php sebagai penghubung antara snort dan database di dalam server. File php juga mengatur format SMS yang dikirim serta beberapa pengaturan lainya seperti nomor tujuan yang berkaitan dengan SMS Gateway. Dengan digunakanya SMS Alert ini jaringan lebih mudah diawasi oleh administrator bahkan dari jarak jauh sekalipun.
5. Kesimpulan
Berdasarkan pembahasan pada penelitian yang telah dilakukan, maka dapat disimpulkan bahwa penggunakan snort dalam hal keamanan jaringan cukup efektif membantu. Snort berperan aktif dalam memonitoring jaringan sehingga memudahkan administrator jaringan dalam menjaga keamanan jaringan yang telah dibuat. Dengan adanya
22
SMS Gateway sebagai service penunjang dari kerja snort lebih membantu administrator jaringan untuk memantau jaringan dari jarak jauh dan kapan saja tanpa harus terhubung ke jaringan melalui laptop/komputer.
6. Saran
Adapun saran yang dapat diberikan diantaranya adalah untuk penelitian selanjutnya adalah dapat dikembangkanya media untuk mengirim notifikasinya, seperti telegram ataupun
whatsapp. Dengan dikembangkanya media kirim tersebut diharapkan dapat mengurangi biaya
pembangunan jaringan dari yang sebelumnya harus menggunakan modem GSM sehingga dapat menggunakan satu modem saja untuk koneksi ke internet.
7. Daftar Pustaka
[1] A. R. Noor, (2017, Mei 13), Indonesia Diserang Teroris Siber, Ribuan IP Terinfeksi, [Online], Available : https://inet.detik.com/security/d-3499886/indonesia-diserang-teroris-siber-ribuan-ip-terinfeksi
[2] A. Meodia, (2017, Des. 30), Kasus Serangan Siber Terheboh 2017, [Online], Available : https://www.antaranews.com/berita/674301/kasus-serangan-siber-terheboh-2017
[3] A. F. Mutaqin, "Rancang Bangun Sistem Monitoring Keamanan Jaringan Prodi Teknik Informatika Melalui SMS," Jurnal Sistem dan Teknologi Informasi Jurusan
Teknik Elektro Fakultas Teknik Universitas Tanjungpura," Vol.1, No.1, Pp. 98-103.
2016.
[4] A. Aziz and A. B. Kurnia "Monitoring Serangan Pada Jaringan Komputer
Menggunakan Snort Berbasis SMS Gateway," Politeknik Negeri Jakarta, Vol.14, No.2, Pp. 119-129, 2015.
[5] D. Wijanarko, "Sistem Keamanan Jaringan Komputer Menggunakan Snort," Jurnal
Teknologi Informasi dan Terapan Politeknik Negeri Jember, Vol.2, No.1, Pp.
171-176, 2015.
[6] TentangKomputer. (2016, Desember 28), Pegertian, Fungsi dan Jenis Jaringan Komputer, [Online], Available :
http://www.tentangkomputer.com/jaringan/pengertian-fungsi-dan-jenis-jaringan-komputer-lengkap/
[7] MateriPendidikan.Info, (2017, September 13), Sistem Keamanan Jaringan : Pengertian, Elemen, Manfaat dan Aspek-aspeknya, [Online], Available : MateriPendidikan.Info: https://www.materipendidikan.info/2017/09/sistem-keamanan-jaringan-pengertian.html.
[8] R. Agustina, M. Z. Yusuf, I. Purnnama and M. N. Anwar, "Monitoring Jaringan Menggunakan Mikrotik OS dan The Dude," Jurnal Teknologi, Vol.6, No.2, Pp. 124-130, 2013.
23
[9] R. Rinaldo, "Implementasi Sistem Monitoring Jaringan Menggunakan Mikrotik Router OS di Universitas Islam Batik Surakarta," Jurnal Emitor, Vol.16, No.2, Pp. 05-12, 2016.
[10] M. Jannah, "Implementasi Intrusion System (IDS) Snort pada Laboratorium Jaringan Komputer," Jurnal Universitas Gunadarma, Vol.6, No.5, Pp. 01-04, 2012.
[11] Harjono and A. P. Wicaksono, "Sistem Deteksi Intrusi dengan Snort," Jurnal
Informatika, Vol.3, No,1, Pp. 31-34, 2014.
[12] Herwin and F. Zoromi, "Pemanfaatan Teknologi Gammu dalam Sistem SMS Gateway Markaz Islam Bangkinang," Jurnal Sains dan Teknologi Informasi, Vol.1, No.2, Pp. 47-54, 2012.