IMPLEMENTASI INTRUSION DETECTION SYSTEM UNTUK PENINGKATAN KEAMANAN JARINGAN PT TRIPUTRA AGRO PERSADA

(1)

IMPLEMENTASI INTRUSION DETECTION

SYSTEM UNTUK PENINGKATAN KEAMANAN

JARINGAN PT TRIPUTRA AGRO PERSADA

Aldo Febrian

Jurusan Teknik Informatika, School of Computer Science, Binus University Jl. Kebon Jeruk Raya No. 27, Kebon Jeruk, Jakarta Barat 11530

Telp. +62-21-53696969

[email protected]

Stefani Putri Sidarta

Telp. +62-21-53696969

[email protected]

Alvin Surya Wijaya

Telp. +62-21-53696969 [email protected]

Rudi Tjiptadi

Dosen Pembimbing, Binus University

Jl. Kebon Jeruk Raya No. 27, Kebon Jeruk, Jakarta Barat 11530 Telp. +62-21-53696969

[email protected]

ABSTRAK

Tujuan Penelitian yaitu untuk melakukan implementasi Intrusion Detection System

pada PT Triputra Agro Persada yang dapat melakukan deteksi adanya serangan di dalam

jaringan dengan cepat dan mendetil serta mengirimkan alert kepada Network Administrator.

Metode penelitian yang digunakan adalah observasi serta interview secara langsung dengan

tim Network Infrastructure PT Triputra Agro Persada tentang permasalahan yang dihadapi

oleh perusahaan. Hasil yang dicapai berupa log dan alert dari Intrusion Detection System

yang ditampilkan dalam bentuk website. Simpulan dari penelitian ini adalah Intrusion

Detection System digunakan pada jaringan PT Triputra Agro Persada yang berfungsi untuk

melakukan scanning lalu lintas jaringan, logging lalu lintas jaringan yang sesuai dengan

rules yang telah dibuat serta alerting yang dikirimkan kepada network administrator.

(2)

PENDAHULUAN

Internet sering kali disebut sebagai dunia tanpa batas untuk mendapatkan berbagai macam informasi. Beragam informasi dapat ditemukan dan siapa saja bisa mengakses informasi tersebut. Seiring perkembangan teknologi informasi, internet tidak hanya memberikan hal positif bagi kehidupan tetapi juga sebuah ancaman. Ancaman menakutkan justru datang dari dunia maya yang bisa merusak keamanan sistem komputer. Terhubung ke dunia internet sama halnya membuka pintu komputer untuk bisa diakses oleh siapa saja. Untuk itulah, komputer membutuhkan suatu benteng yang mampu melindungi komputer dari ancaman bahaya di internet. Di dunia maya, benteng tersebut memiliki nama lain yang disebut firewall.

Firewall merupakan salah satu bagian terpenting dalam sebuah jaringan. Firewall dapat mendeteksi

lalu lintas berbahaya yang mencoba untuk memasuki sistem komputer. Firewall dianggap sebagai garis pertahanan pertama dalam melindungi informasi pribadi suatu perusahaan. Namun ada beberapa hal yang tidak bisa dideteksi oleh firewall ketika paket data telah memasuki sistem. Hal itu tentu membahayakan apabila di dalam paket data tersebut terdapat virus yang dapat merusak sistem komputer suatu perusahaan.

Untuk dapat mengatasi permasalahan tersebut digunakan Intrusion Detection System (IDS) yang berguna untuk mencegah serangan yang akan masuk ke jaringan komputer. Pencegahan dilakukan dengan cara memeriksa dan mencatat semua paket data yang masuk serta mengenali setiap paket dengan sensor. Intrusion

Detection System (IDS) akan mencatat (log) semua paket data yang lewat secara mendetail. Lebih khusus, Intrusion Detection System (IDS) dapat mengirimkan alert dengan cara mengirimkan e-mail kepada network administrator.

METODE PENELITIAN

Metode yang dilakukan dalam penelitian ini terdiri dari: 1. Studi Kepustakaan

Studi kepustakaan ini terkait dengan pencarian literatur ataupun referensi yang berhubungan dengan topik yang dibahas dalam penelitian ini, sehingga penelitian yang dilakukan sesuai dengan teori yang ada.

2. Pencarian Fakta

Dalam mencari data dan fakta yang dibutuhkan, penelitian ini menggunakan beberapa teknik, yaitu:

a. Teknik Wawancara

Wawancara merupakan teknik umum yang biasa dilakukan untuk mendapatkan informasi yang dibutuhkan. Wawancara adalah teknik mengumpulkan informasi dari individu yang bersangkutan dengan melakukan tatap muka secara langsung kepada narasumber. Penelitian ini melakukan wawancara kepada network infrastructure di PT Triputra Agro Persada.

b. Teknik Observasi

Observasi adalah teknik pencarian fakta atau informasi dengan melakukan studi, mengamati, dan menganalisis objek secara langsung. Teknik ini digunakan dalam penelitian untuk menganalisis jaringan yang sedang berjalan dan merancang topologi baru yang dibahas dalam penelitian ini.

HASIL DAN BAHASAN

Konfigurasi Snort

Setelah selesai melakukan instalasi-instalasi software dan paket-paket pendukung

Intrusion

Detection System, perlu dilakukan konfigurasi pada Snort. Berikut adalah konfigurasinya:

1. Membuka file /etc/Snort/Snort.conf

2. Merubah "var RULE_PATH ../rules" menjadi "var RULE_PATH /etc/Snort/rules"

3. Merubah "var SO_RULE_PATH ../so_rules" menjadi "var SO_RULE_PATH /etc/Snort/rules" 4. Merubah "var PREPROC_RULE_PATH ../preproc_rules" menjadi "var PREPROC_RULE_PATH

/etc/Snort/preproc_rules"

5. Membuat bagian “Reputation preprocessor” menjadi comment karena file whitelist belum ada dalam Snort

6. Menemukan bagian “Configure output plugins” dan menambahkan baris pada akhir bagian“output unified2: filename Snort.log, limit 128″

7. Mengetik“include classification.config” dan”reference.config” di bawah “include $RULE_PATH/local.rules”

(3)

Konfigurasi MySQL

Perlu dilakukan konfigurasi pada database MySQL agar database yang berisi hasil log Snort dapat disimpan untuk pengolahan lebih lanjut. Berikut adalah konfigurasi yang dilakukan:

#echo"SETPASSWORDFORroot@localhost=PASSWORD('tap123');"| mysql -u root -p

#echo "create database Snort;"| mysql -u root -p

#cd /Snort_install/barnyard2-1.9

#mysql -u root -p -D Snort < schemas/create_mysql

#echo "grant create, insert on root.* to Snort@localhost;" | mysql -u root -p

#echo"SETPASSWORDFORSnort@localhost=PASSWORD('tap123');" mysql -u root -p

#echo "grant create,insert,select,delete,update on Snort.* to Snort@localhost" | mysql -u root –p

Konfigurasi Rules Snort

Setelah melakukan instalasi dan konfigurasi Snort, langkah selanjutnya adalah melakukan konfigurasi

rules. Berikut adalah konfigurasi yang dilakukan:

1. Membuka /etc/Snort/rules/local.rules 2. Menambahkan rules pada local.rules

alert icmp any any -> $HOME_NET any (msg:”icmp test”; \ dsize:8; itype:8; sid:10000001;)

alert udp any any -> any any (msg:”test”; sid:10000003;) alert tcp any any -> any any (msg:”test”; sid:10000002;)

Gambar 1.1 Konfigurasi local.rules

Rules di atas digunakan untuk melakukan pengujian Snort dapat berjalan dengan baik atau tidak, karena

sampai saat implementasi server (Intrusion Detection System) IDS tidak ada serangan dari luar. Hal ini disebabkan karena (Intrusion Detection System) IDS diletakkan di local network.

Setelah melakukan instalasi dan konfigurasi program pendukung, hasil implementasi berupa data yang diperoleh saat server ditempatkan pada local network. Berikut adalah hasil implementasi Intrusion Detection System (IDS) di PT Triputra Agro Persada:

(4)

Gambar 1.2 Hasil implementasi pada BASE

Pada gambar di atas, dapat dilihat informasi yang ditampilkan yaitu terdapat 1 sensor, 6 jenis peringatan unik, 3 kategori, dan 10553 total peringatan yang tercatat pada BASE. Dari gambar tersebut dijelaskan Source IP Address yang digunakan sebanyak 80, Destination IP Address yang dituju sebanyak 77,

Unique IP links yang tercatat sebanyak 254, Source Ports yang dipakai sebanyak 825 terdapat 98 jenis protokol

TCP dan 730 jenis protokol UDP, Destination Port yang dituju 43 terdapat 31 protokol TCP dan 12 protokol UDP. Dari hasil keseluruhan sebanyak 4% menggunakan protokol TCP, 82% menggunakan protokol UDP dan 14% menggunakan protokol ICMP.

Basic Analysis and Security Engine (BASE) memiliki fitur untuk menampilkan alert yang

dikelompokkan dalam beberapa kategori, yaitu:

Gambar 1.3 Graph Alert Data (Alert and Time)

Pada gambar 1.3 dapat dilihat informasi yang ditampilkan berupa grafik yang menerangkan perbandingan antara alert dan waktu. Hasil alert akan ditampilkan dalam presentase dan waktu akan dicatat dalam kurun hari. Pada gambar tersebut dapat dilihat bahwa serangan terjadi paling banyak pada tanggal 13 Januari 2014 sebanyak 84,6%.

(5)

Gambar 1.4 Alert Detection Time Table

Pada gambar 1.4 dapat dilihat informasi yang ditampilkan berupa tabel yang menerangkan perbandingan antara alert dan waktu. Hasil alert akan ditampilkan dalam jumlah satuan dan waktu akan dicatat dalam kurun hari. Pada gambar tersebut dapat dilihat bahwa serangan terjadi paling banyak pada tanggal 13 Januari 2014 sebanyak 9427 serangan.

Gambar 1.5 Alert Log TCP

Pada gambar 1.5, terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address,

port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah

keterangan dari hasil analisa alert log TCP:

• #0-(1-9340) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti menggunakan IPv4 9340 adalah PID dari paket tersebut

(6)

• [Snort] Snort Alert [1:10000002:0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. Snort Alert merupakan jenis serangan yang terjadi. [1:10000002:0] merupakan SnortID (SID), 1 menerangkan jenis sensor yang berjalan, 10000002 menerangkan jenis ID serangan yang telah diatur pada snort rules dan 0 merupakan jumlah revisi pada

snort rules.

• 2014-01-13 06:13:35 merupakan tanggal dan waktu terjadinya pelanggaran keamanan

• 10.20.1.254:8080 merupakan source addresss dan port yang digunakan. 10.20.1.254 merupakan source

address dan 8080 merupakan port yang digunakan. 8080 merupakan port untuk https.

• 10.20.6.67:50126 merupakan destination address dan port yang digunakan. 10.20.6.67 merupakan

destination address yang dituju dan 50126 merupakan port yang dituju. 50126 merupakan port private

perusahaan

• TCP merupakan jenis protokol yang digunakan

Gambar 1.6 Alert Log UDP

keterangan dari hasil analisa alert log UDP:

• #0-(1-10427) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti menggunakan IPv4 10427 merupakan PID dari paket tersebut

snort rules.

• 2014-01-13 06:18:18 merupakan tanggal dan waktu terjadinya pelanggaran keamanan

address dan 137 merupakan port yang digunakan. 137 merupakan port untuk netbios.

destination address yang dituju dan 137 merupakan port yang dituju.

(7)

Gambar 1.7 Alert Log ICMP

keterangan dari hasil analisa alert log ICMP:

• #0-(1-10576) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti paket tersebut menggunakan IPv4 10576 adalah PID dari paket tersebut

• [arachnids][local][Snort] ICMP PING Windows merupakan jenis serangan yang terjadi. [arachnids] merupakan author yang membuat rules. [local] merupakan penanda bahwa serangan ICMP PING berasal dari local network. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. • 2014-01-13 09:33:28 merupakan tanggal dan waktu terjadinya pelanggaran keamanan

• 10.20.3.140 merupakan source addresss yang digunakan. • 10.20.6.53 merupakan destination address yang digunakan • ICMP merupakan jenis protokol yang digunakan

Basic Analysis and Security Engine (BASE) juga dapat mengirimkan alert kepada network administrator

dalam bentuk e-mail. Berikut adalah contoh e-mail yang dikirimkan pada network administrator:

Gambar 1.8 Snort Alert TCP

Pada gambar 1.8 merupakan snort alert berupa e-mail yang dikirimkan kepada network administrator. Dalam alert tersebut terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa e-mail alert TCP:

• 2013-02-17 merupakan tanggal terjadinya serangan

• 17:57:55 merupakan jam terjadinya serangan, diterangkan sampai pada satuan detik. • 9340 merupakan PID (Process ID) yang sedang berjalan

• [Snort] Snort Alert [1:10000002:0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. Snort Alert merupakan jenis serangan yang terjadi. [1:10000002:0] merupakan SnortID (SID), 1 menerangkan jenis sensor yang berjalan, 10000002

(8)

menerangkan jenis ID serangan yang telah diatur pada snort rules dan 0 merupakan jumlah revisi pada

snort rules.

address dan 8080 merupakan port yang digunakan. 8080 merupakan port untuk https.

destination address yang dituju dan 50126 merupakan port yang dituju. 50126 merupakan port private

perusahaan

• TCP merupakan jenis protokol yang digunakan

Gambar 1.9 Snort Alert UDP

Pada gambar 1.9 merupakan snort alert berupa e-mail yang dikirimkan kepada network administrator. Dalam alert tersebut terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa e-mail alert UDP:

snort rules.

address dan 137 merupakan port yang digunakan. 137 merupakan port untuk netbios.

destination address yang dituju dan 137 merupakan port yang dituju.

• UDP merupakan jenis protokol yang digunakan

Gambar 1.10 Snort Alert ICMP

Pada gambar 1.10 merupakan snort alert berupa e-mail yang dikirimkan kepada network administrator. Dalam alert tersebut terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa e-mail alert ICMP:

(9)

• [arachnids][local][Snort] ICMP PING Windows merupakan jenis serangan yang terjadi. [arachnids] merupakan author yang membuat rules. [local] merupakan penanda bahwa serangan ICMP PING berasal dari local network. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. • 10.20.3.140 merupakan source addresss yang digunakan.

• 10.20.6.53 merupakan destination address yang digunakan • ICMP merupakan jenis protokol yang digunakan

SIMPULAN DAN SARAN

Simpulan

Berdasarkan hasil evaluasi implementasi Intrusion Detection System (IDS) pada PT Triputra Agro Persada, dapat ditarik beberapa kesimpulan sebagai berikut:

• Implementasi Intrusion Detection System (IDS) telah berjalan dengan baik dalam mengamati lalu lintas paket data dengan memberikan informasi semua paket yang lewat di setiap protokol yang ada di jaringan PT Triputra Agro Persada

• Informasi paket yang masuk dan keluar dari setiap port (TCP dan UDP) dicatat, sehingga memudahkan pengguna untuk mengetahui port mana saja yang traffic nya terlalu tinggi dan tidak dibutuhkan

• Setiap paket yang lewat dan memiliki pola yang sama dengan rules yang ada akan dianggap sebagai serangan dan ditampilkan pada BASE

• Rules dari Intrusion Detection System (IDS) dapat dibuat sesuai dengan kebutuhan dan keinginan

dari pengguna

• Pengguna dapat dengan mudah mengakses Intrusion Detection System (IDS) dengan membuka melalui website menggunakan Basic Analysis and Security Engine (BASE)

• Intrusion Detection System (IDS) berjalan secara penuh (24jam sehari) pada jaringan dan tidak

mengganggu kinerja dari sistem lainnya.

Saran

Berdasarkan hasil evaluasi implementasi Intrusion Detection System (IDS), ada beberapa saran yang diharapkan dapat berguna dalam meningkatkan keamanan jaringan di PT Triputra Agro Persada. Saran-saran yang dapat disampaikan antara lain:

• Pada saat melakukan instalasi Intrusion Detection System (IDS) harus membuat dokumentasi, agar jika dikemudian hari terjadi suatu error dan mengharuskan untuk melakukan instalasi ulang menjadi tidak sulit

• Pengguna harus mengetahui detail rules yang telah ada atau rules yang akan dibuat untuk mengurangi jumlah alert yang bersifat false positive

REFERENSI

Comer, D.E. (2004) Computer Network's and Internets with Internet Applications. 4th Edition. New Jersey: Pearson

Endorf, C., Schultz, E., dan Mellander, J. (2004). Intrusion Detection & Prevention. 1st Edition. California: McGraw-Hill/Osborne

Fadia, A. (2006). The Unoffical Guide to Ethical Hacking. 2nd Edition. Boston: Thomson Course Technology PTR

Maiwald, E. (2004). Fundamentals of Network Security. 1st Edition. California: McGraw Hill Maiwald, E. (2004). Network Security A Beginner's Guide. 2nd Edition. California: McGraw Hill Scott,C., Wolfe, P., dan Hayes, B. (2004). Snort for Dummies. 1st Edition. Indiana: Wiley Publishing.

(10)

RIWAYAT PENULIS

Aldo Febrian lahir di Jakarta pada 25 Februari 1992. Dia menamatkan pendidikan S1 di Binus University

dalam bidang Teknik Informatika peminatan jaringan komputer.

Stefani Putri Sidarta lahir di Palembang pada 28 November 1992. Dia menamatkan pendidikan S1 di Binus

University dalam bidang Teknik Informatika peminatan jaringan komputer.

Alvin Surya Wijaya lahir di Semarang pada 7 Juni 1992. Dia menamatkan pendidikan S1 di Binus University