Perancangan Sistem Keamanan Jaringan menggunakan
Intrusión Detection System ( SNORT )
Emansa Hasri Putra 1) Meldatul Jannah 2)
Prodi Teknik Telekomunikasi, Politeknik Caltex Riau, Pekanbaru 28265, email : emansa@pcr.ac.id
Prodi Teknik Telekomunikasi, Politeknik Caltex Riau, Pekanbaru, email : nda184@yahoo.com
Abstrak
Untuk mendeteksi keberadaan intruder, sebuah organisasi biasanya menggunakan firewall dalam menjaga keamanan informasi dan data, dimana firewall ini masih bersifat pasif, artinya adanya intruder akan dideteksi setelah data dan informasi dari jaringan luar masuk kedalam jaringan komputer yang bersangkutan.
Network Intrusion Detection System (SNORT) merupakan salah satu bagian terpenting dalam sistem pengamanan jaringan yang dibuat bersifat lebih aktif. Suatu Intrusion Detection System (IDS) akan memperhatikan seluruh bagian jaringan dimana dia berada dan akan mendeteksi semua paket data/intruder yang melewati suatu jaringan komputer menuju/dari jaringan komputer lainnya serta mampu menampilkan hasil deteksi tersebut, dimana snort ini terdiri atas beberapa bagian yang akan memonitoring proses pengiriman dan penerimaan data dan informasi dalam suatu jaringan.
Kata kunci : IDS, Snort, Firewall
I. PENDAHULUAN
I.1 Latar Belakang
Jaringan komputer sudah mulai memasyarakat di Indonesia dengan jumlah pemakaian yang semakin hari semakin meningkat. Di Indonesia sendiri, organisasi-organisasi baik organisasi comersial maupun non-comersial memanfaatkan jaringan komputer terutama internet untuk berkomunikasi maupun untuk berbagi informasi dan mendapatkan informasi. Pertumbuhan komunitas jaringan komputer yang semakin pesat mengakibatkan semakin besar ancaman luar yang datang dari intruder yang dapat merugikan banyak pihak, baik kerugian keuangan, moral ataupun waktu.
Firewall yang masih bersifat pasif dalam sistem keamanan jaringan sering kali belum memadai untuk mendeteksi penyusup, sehingga diperlukannya Intrusion Detection System (IDS) dengan menggunakan SNORT yang lebih aktif. Sebuah IDS akan memperhatikan seluruh segmen jaringan dimana dia berada dan akan mendeteksi semua serangan yang dapat melalui suatu jaringan komputer ke jaringan komputer lainnya .
I.2 Tujuan
1. Untuk mejaga keamanan informasi yang berada dalam suatu Jaringan.
2. Untuk mendeteksi keberadaan penyusup dalam suatu jaringan.
3. Untuk mengetahui jenis penyusup yang melewati jaringan.
II. DASAR TEORI
II.1 Pengertian Umum Intrusion Detection (SNORT)
Intrusion adalah usaha untuk masuk atau menyalahgunakan sistem yang digunakan, sedangkan Intrusion Detection merupakan proses monitoring event yang terjadi pada sistem komputer atau jaringan komputer dan melakukan analisa terhadap data tersebut untuk mengetahui adanya intruder ataupun melakukan mekanisme pengamanan.
Network Intrusion Detection System ( NIDS ) yang disebut dengan SNORT merupakan suatu aplikasi teknologi sistem keamanan jaringan yang bersifat aktif. SNORT merupakan Open Source yang tersedia di berbagai variasi Unix (termasuk Linux) dan Microsoft Windows.[2]
Sebuah NIDS akan memperhatikan seluruh segmen jaringan dimana dia berada dan akan mendeteksi semua paket atau serangan yang menuju/dari suatu jaringan komputer, baik intranet maupun internet ke/dari jaringan komputer lainnya.
NIDS biasanya digunakan bersamaan dengan firewall, hal ini untuk menjaga supaya SNORT tidak terancam dari paket intruder ataupun serangan.[2]
II.2 Penggunaan Firewall
Firewall merupakan suatu istilah yang diberikan pada sebuah komputer yang mengamankan dan mem-filter paket-paket data yang datang dari jaringan luar menuju jaringan lokal. Sebuah firewall terletak diantara komputer jaringan lokal dan jaringan luar. Firewall akan menentukan layanan-layanan apa saja pada komputer lokal yang boleh diakses oleh komputer jaringan lokal lainnya maupun komputer jaringan luar, ataupun layanan-layanan apa saja yang ada pada komputer pada jaringan luar yang diperbolehkan diakses oleh komputer jaringan lokal.[4]
II.2.1 Karakteristik Sebuah Firewall
· Seluruh hubungan/kegiatan dari dalam ke luar, harus melewati firewall. Hal ini dapat dilakukan dengan cara memblok/membatasi semua akses terhadap jaringan lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yang memungkinkan agar konfigurasi ini terwujud.
· Hanya kegiatan yang terdaftar /dikenal yang dapat melewati/melakukan hubungan . Hal ini dapat dilakukan dengan mengatur policy (kebijakan) pada konfigurasi keamanan lokal.
· Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan. Hal ini berarti penggunaan sistem yang dapat dipercaya dan dengan sistem yang relatif aman.
II.2.2 Shorewall
Shorewall merupakan aplikasi yang digunakan untuk mengkonfigurasi netfilter yang dapat berfungsi untuk gateway dan firewall pada Linux Mandrake 9.2.
III.3 Penggunaan SNORT
Network Intrusion Detection System yang disebut dengan SNORT memiliki keunggulan dibandingkan firewall, snort memiliki kemampuannya yang bersifat lebih aktif dibandingkan firewall yang masih bersifat pasif dalam mendeteksi intruder, dimana sebelum paket-paket data dari jaringan luar masuk ke jaringan internal, maka sebelumnya SNORT yang terdapat pada PC Gateway akan mendeteksi data-data yang layak diambil dan memisahkan data-data dan IP penyusup ataupun paket-paket yang mencurigakan dalam suatu folder, dimana bisa dilihat tanggal dan jam serangan, IP address dan port sumber, IP address dan port tujuan,
II.4 Mengoperasikan Snort
Secara umum snort dapat dioperasikan dalam tiga mode, yaitu :
1. Sniffer Mode
Sniffer mode digunakan untuk melihat paket yang lewat dalam suatu jaringan. Beberapa perintahnya adalah:
./snort –v
./snort –vd
./snort –v –d
2. Packet logger mode
Packet logger mode digunakan untuk mencatat semua paket yang lewat dijaringan untuk dianalisa dikemudian hari.
Beberapa perintah yang digunakan untuk mencatat paket data yang ada adalah :
./snort –dev –l ./log
./snort –dev –l ./log -h 192.168.0.0/24
Perintah –h 192.168.10.0/24 digunakan untuk menunjukkan bahwa yang dicatat paket dari host pada network 192.168.10.0/24.
3. Intrusion Detection Mode
Mode ini berfungsi untuk mendeteksi paket data/intruder yang dilakukan melalui jaringan komputer,
Untuk melihat hasil deteksi penyusup, maka default snort hasil deteksi penyusup atau paket yang mencurigakan akan disimpan pada folder /var/log/snort.
II.5 Konfigurasi dan Perancangan PC Router Linux
PC yang difungsikan sebagai router dapat mem-forward paket IP pada network yang berbeda.
II.5.1 Perancangan PC Router
Perancangan ini didesain dengan menggunakan beberapa Personal Computer, dimana bisa digunakan satu ataupun lebih PC yang difungsikan sebagai client, tergantung pada kepentingan berapa banyaknya client yang terhubung dalam suatu LAN, kemudian dibutuhkan satu PC dengan LAN berbeda yang digunakan sebagai intruder dan sebuah PC yang digunakan sebagai PC router yang didalamnya telah terdapat pengonfigurasian Domain Name System ( DNS), Firewall dan Network Intrusion detection system (SNORT).
Gambaran blok diagramnya sebagai berikut :
Gambar 2. Blok diagram PC router
II.6 Penggunaan DNS (Domain Name System)
DNS (Domain Name System) adalah suatu metode pemberian nama komputer dengan menggunakan domain dan pemetaan nama komputer dengan IP address.
III. ANALISA
III.1 PC Router
Dengan adanya PC router, maka komputer dengan IP yang berbeda network dapat saling berhubungan, untuk meneruskan paket antar network yang berbeda maka dibutuhkan suatu teknik routing, yang mana dapat dilakukan melalui terminal konsol, yaitu dengan perintah:
[root@telkom2 root]# route add –net 192.168.10.0 netmask 255.255.255.0 gw 172.16.10.1
[root@telkom2 root]# route add –net 172.16.10.0 netmask 255.255.0.0 gw 192.168.10.1
Perintah ini berarti data yang menuju network 192.168.10.0 dengan netmask 255.255.255.0 harus melewati gateway 172.16.10.1 dan sebaliknya, hasil yang diperoleh adalah :
Hasil diatas menunjukkan ping dari IP 172.16.10.2 ke IP 192.168.10.2 dan 192.168.10.1 berhasil dilakukan (adanya replay), begitu juga sebaliknya.
III.2 Pengonfigurasian DNS
Aplikasi server dns yang digunakan pada TA ini adalah BIND (Barkeley Internet Name Domain).
Pada forward master zone dilakukan pemberian nama terhadap IP yang digunakan dan pada reverse master zone yang akan diterjemahkan kembali IP DNS sesuai nama DNS yang diberikan.
Untuk melihat hasil konfigurasi dns, dapat dites dengan melakukan ping dari terminal konsole / dos promt ataupun dengan melakukan browsing dari internet explorer.
III.3 Pengonfigurasian Firewall
Shorewall dapat dikonfigurasi melalui webmin atau editor vi pada terminal konsol dengan memberikan kebijakan tertentu, misalnya menentukan zone-zone mana yang digunakan, aturan yang berlaku dan port-port mana saja yang bisa dilalui.
Pengonfigurasian shorewall pada terminal console dilakukan pada empat bagian, yaitu konfigurasi zone, policy, interfaces dan rules pada shorewall
Contoh hasil dari shorewall status adalah:
Jun 13
artinya, pada saat dilakukan pengetesan, dari jaringan lokal menuju komputer dijaringan firewall diberikan kebijakan accept, artinya semua paket dari jaringan lokal ke komputer dijaringan firewall dapat dilewatkan melewati Ethernet0 dengan IP sumber 192.168.10.1 dan IP tujuan 192.168.10.255, protocol yang digunakan adalah udp dengan port sumber dan port tujuan adalah 520.
Jun 13
Data ini menunjukkan terdapat ethernet lain yang dilewati oleh paket, yaitu ethernet 1, adapun kebijakan yang diterima dari komputer jaringan local ke komputer dijaringan firewall adalah accept dengan IP sumber 172.16.10.1 dan IP tujuan 172.16.255.255, dimana protocol yang digunakan adalah udp dengan port sumber dan port tujuan adalah 520.
Udp 17 176 src=192.168.10.2 dst=192.168.10.1 sport=1050 dport=53 src=192.168.10.1 dst=192.168.10.2 sport=53 dport=1050 [ASSURED] use=1
Data diatas berarti dengan melewati protokol udp IP sumber 192.168.10.2 dengan port sumber 1050 melakukan akses ke port tujuan 53 (port dns) dengan IP 192.168.10.1 dan sebaliknya, sehingga terdapat keterangan assured yang berarti ada tindakan timbal balik/kepercayaan antara ip dan port sumber dengan ip dan port tujuan.
udp 17 28 src=192.168.10.1 dst=192.5.5.241 sport=32768 dport=53 [UNREPLIED] src=192.5.5.241 dst=192.168.10.1 sport=53 dport=32768 use=2
Data ini memberikan keterangan unreplied yang berarti tidak adanya tindakan balasan dari IP tujuan, dimana melalui protokol udp, IP sumber 192.168.10.1 melakukan kontak dengan IP tujuan 192.5.5.241 dengan port tujuan 32768 dan port sumber 53.
III.4 Pengonfigurasian SNORT
Hal pertama yang dilakukan dalam mengkonfigurasi snort adalah mengaktifkan development pada saat menginstall Sistem Operasi Linux Mandrake agar pada saat penginstalan snort dapat dilakukan compiler source code snort yang digunakan, kemudian dilakukan penginstalan Library untuk Capture Packet (Libpcap) yang software-nya telah ada pada distro Linux Mandrake 8 keatas, termasuk pada Linux Mandrake 9.2, Selanjutnya menginstalisasi source Snort pada PC yang digunakan sebagai PC router, dimana hasil installasinya dapat dilihat pada direktori /etc/snort atau dapat ditampilkan dengan menggunakan perintah rpm yaitu:
[root@telkom2 root ]# rpm –qa |grep snort
Untuk memulai snort digunakan perintah: /etc/rc.d/init.d/snortd start
Pada Tahap Sniffer Mode, ketika dilakukan perintah ./snort –v , dihasilkan output sebagai berikut :
[root@telkom2 sbin]# snort -v
Running in packet dump mode
09/11-11:23:44.570351 192.168.10.2:1032 -> 192.168.10.1:53
UDP TTL:128 TOS:0x0 ID:878 IpLen:20 DgmLen:72
Len: 44
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
Hasil ini menunjukkan bahwa protocol yang digunakan adalah Internet Protokol (IP) dan User Datagram Protocol (UDP). Kalimat pertama berisi header IP, dimana terdapat informasi:
192.168.10.2 = IP address sumber paket
192.168.10.1 = IP address tujuan
1032 = Port sumber
53 = Port tujuan
Kalimat kedua berisi protocol UDP, informasi lainnya adalah :
UDP = Memberiathukan bahwa ia adalah protocol UDP
TTL:128 = Time To Live nya 128, sehingga paket maksimal melalui 128 router
ID = Nomor/Identitas
IpLen = Panjang byte protocol IP 20 byte
DgmLen = Panjang byte seluruh paket 72 byte
Sedangkan ketika diketik perintah snort –vd dihasilkan output:
[root@telkom2 sbin]# snort -vd
Running in packet dump mode
09/11-11:27:42.125544 192.168.10.2:1159 -> 192.168.10.1:82
TCP TTL:128 TOS:0x0 ID:1408 IpLen:20 DgmLen:48 DF
******S* Seq: 0x3EE29A66 Ack: 0x0 Win: 0xFAF0 TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
09/11-11:27:42.125717 192.168.10.1:82 -> 192.168.10.2:1159
TCP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:40 DF
***A*R** Seq: 0x0 Ack: 0x3EE29A67 Win: 0x0 TcpLen: 20
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
Sama seperti sebelumnya, baris pertama dari hasil yang diperoleh adalah informasi dari Internet Protokol (IP),
Kalimat kedua berisi informasi umum dari paket yang dikirim yang merupakan gabungan informasi milik protocol IP dan TCP, informasi lainnya adalah :
Kalimat selanjutnya merupakan informasi dari Transmission Control Protokol (TCP), dimana:
******S* Seq: 0x3EE29A66 Ack: 0x0 Win: 0xFAF0 TcpLen: 28
TCP Options (4) => MSS: 1460 NOP NOP SackOK
Kalimat ini menunjukkan state atau kondisi sambungan dari jenis paket yang dikirim, seperti:
*A**= Menunjukkan paket acknowledge
*S**= Menunjukkan paket sinkronisasi hubungan
*A**S**= Menunjukkan paket acknow-ledge sinkronisasi hubungan
Seq (Sequence Number) menunjukkan nomor urut paket data yang dikirim, sedangkan Ack (Acknowledge) menunjukkan nomor paket mana yang sudah diterima dengan baik.
[root@telkom2 sbin]# snort –v -d
Running in packet dump mode
10/08-11:18:22.942996 0.0.0.0:68 -> 255.255.255.255:67
UDP TTL:128 TOS:0x0 ID:11744 IpLen:20 DgmLen:338
Len: 310
00 00 00 00 00 00 00 63 82 53 63 ...... ......c.Sc
35 01 04 AD C7 27 32 04 93 7B 5 ..=...P...'2..{
28 0C 07 65 72 77 69 6E 73 (d6..{(...erwins
6E 7 69 6E 73 6E 2E 3C 08 nQ....erwinsn.<.
4D 53 2E 30 37 0B 01 0F 03 06 2C 2E MSFT 5.07.....,.
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
Untuk perintah snort –v –d ini didapatkan hasil dimana terdapat informasi tambahan berupa informasi-informasi lain mengenai paket yang lewat, antara lain berupa nama komputer yang digunakan ataupun kegiatan yang sedang dilakukan, misalnya sedang browsing atau melakukan port scanning yang dianggap sebagai suatu akses terhadap jaringan.
Untuk Packet Logger Mode yang merupakan perintah agar output tersimpan pada direktori default yaitu /var/log/snort digunakan perintah :
./snort –dev –l /var/log/snort –h 192.168.10.0/24
Sehingga pada direktori /var/log/snort, kita dapat melihat IP-IP yang lewat pada saat itu dan port yang digunakan.
Contohnya adalah:
172.16.10.100/ 192.168.10.2/ 192.168.10.77/
snort.log.1126453702 tcpdump.log.1118085046
tcpdump.log.1117079254 tcpdump.log.1118245923
PACKET_NONIP
Alert , tcpdump.log.1117890513
ARP, tcpdump.log.1118071682
Untuk Intrusion detection Mode terdapat beberapa perintah yang digunakan untuk mengaktifkan snort untuk melakukan pendeteksian penyusup yaitu :
./snort –dev –l /var/log/snort-h 192.168.10.0/24 –c snort.conf
./snort –d –h 192.168.10.0/24 –l /var/log/snort –c snort.conf.
Ciri khas yang terdapat pada perintah mendeteksi penyusup ini adalah -c snort.conf, sehingga ketika perintah ini dilakukan, maka akan muncul tampilan dari hasil konfigurasi yang telah dilakukan, dimana terlihat adanya perrnyataan berikut :
Stateful inspection = active , artinya snort diaktifkan untuk melakukan inspeksi atau melakukan pemeriksaan terhadap setiap paket yang lewat.
Scan Alert = active, menunjukkan bahwa setiap terdapat alert, maka secara langsung dapat dilakukan scanning terhadap alert tersebut.
Data ini juga menampilkan port-port yang dilewati oleh paket serta informasi lainnya mengenai kondisi jaringan dan konfigurasi snort yang telah dibuat.
Adapun perintah agar snort diaktifkan untuk pengiriman alert, maka dapat diberikan perintah berikut :
./snort –c snort.conf –l /var/log/snort –s –h 192.168.10.0/24
Dimana alert akan dikirim ke direktori default snort yaitu /var/log/snort.
III.5 Hasil pada PC Intruder
Intruder dimaksudkan sebagai PC dimana didalamnya diinstall suatu aplikasi yang disebut dengan Netcat. Netcat memiliki kemampuan untuk melihat port-port apa saja yang terbuka atau open, baik pada PC nya sendiri ataupun PC lain yang terhubung dengan jaringannya.
Untuk melihat perintah apa saja yang bisa digunakan dalam mengoperasikan netcat, dilakukan dengan mengetikkan perintah nc –h, sedangkan untuk melihat port-port yang open dapat dilihat dengan menggunakan perintah nc –v –z (nama komputer/IP address) (nomor port), contohnya nc –v –z 192.168.10.1 10-140, contoh tampilannya sebagai berikut :
Port scanning yang dilakukan oleh netcat dianggap suatu akses yang tidak dikenal pada jaringan yang telah di-setting snort, sehingga setiap kali port scanning dilakukan, maka itu dianggap sebagai suatu virus, ini terlihat pada tampilan hasil snort, dimana ketika dilakukan port scanning, snort langsung mendeteksi dan mengetahui adanya virus dimana tampilan snort ketika dilakukan port scanning tersebut adalah:
00 BD 01 00 00 01 00 00 00 00 00 00 0F 75 70 64 .............upd
61 74 65 6B 65 65 70 61 6C 69 76 65 06 6D 63 61 atekeepalive.mca
66 65 65 03 63 6F 6D 00 00 01 00 01 fee.com..... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
Intrusion Detection System memiliki karakteristik dan metode yang berbeda-beda dalam melakukan monitoring dan analisis terhadap deteksi penyusupan, dimana Snort merupakan salah satu metode pendeteksi yang terfokus pada jaringan/network yang digunakan.
Adapun nilai guna dari network IDS (Snort) ini adalah sebagai Prevention dan Detection, dengan adanya firewall, maka akses yang tidak terotorisasi dari dan ke jaringan internal dapat dicegah dengan melakukan penutupan port-port tertentu ataupun pemilihan IP-IP atau situs yang bisa melewati jaringan tersebut. Sedangkan besarnya traffic yang melewati jaringan akan dideteksi oleh snort sebagai suatu akses terhadap jaringannya. IDS akan menginspeksi aktifitas masuk dan keluar jaringan dan mengidentifikasi pola-pola mencurigakan pada traffic jaringan yang mengindikasikannya sebagai suatu serangan terhadap suatu sistem atau jaringan.
IV. Kesimpulan
1. Sistem keamanan jaringan menggunakan firewall dilakukan dengan menutup port-port dan menentukan IP-IP atau situs tertentu yang bisa melewati suatu jaringan komputer.
2. Shorewall pada tugas akhir ini akan memblok semua paket yang berasal ataupun menuju jaringan luar dari jaringan lokal kecuali port 53 (port DNS).
3. Dengan menggunakan Snort seseorang bisa mengetahui jenis, tangggal dan protokol yang digunakan oleh setiap paket yang lewat dijaringan ataupun oleh sebuah intruder yang melewati suatu jaringan komputer.
4. Tiga metode penting dalam mengoperasikan snort adalah sniffer mode, paket logger mode dan intrusion detection mode, yang akan melakukan proses pendeteksian dan penyimpanan data hasil deteksi.
5. Netcat merupakan salah satu software yang digunakan untuk masuk ke jaringan komputer lain dengan melakukan port scanning terlebih dahulu.
V. DAFTAR PUSTAKA
[1] Hasri Putra, Emansa, Komunikasi
Data, Politeknik Caltex Riau, 2004
[3] http://www.ilmukomputer/firewall/
[4] Neotek, vol. II –No.11, Agustus 2002
[5] Rusmanto, Panduan menguasai
Mandrake 9.2, Dian Rakyat, 2002
posted by Ardra at 2:24 PM
0 Comments:
Post a Comment
<< Home