BAB 4 HASIL DAN PEMBAHASAN

Transkripsi

1 BAB 4 HASIL DAN PEMBAHASAN 4.1 Spesifikasi Sistem Berikut ini adalah spesifikasi sistem dari perangkat yang digunakan dalam implementasi Intrusion detection system (IDS) pada jaringan di PT. Triputra Agro Persada: 1. Personal Computer (PC) PC HP dengan jenis T510 Flexible Thin Client ini akan berfungsi sebagai IDS Server. Berikut adalah spesifikasinya: Tabel 4. 1 Spesifikasi IDS Server Perangkat Processor Hard disk RAM Network Interface Tipe/Model Inter Core i3 80 GB 2 GB DDR2 Menggunakan 2 NIC 2. Switch Dalam melakukan implementasi, IDS dihubungkan ke core switch CISCO Catalyst WS-C3750X. Berikut ini adalah spesifikasi dari switch yang digunakan: 43

2 44 Tabel 4. 2 Spesifikasi Core Switch CISCO Catalyst WS-C3750X Sumber ( Dimensions ( p x l x t ) 1.75 inch x 17.5 inch x 18 inch Ports Quantityx 48 Weight 16.3 lbs Memory DRAM 256 MB Power Consumption 120 watt MTBF (Mean Time Between Failure) hours 3. Sistem operasi dan aplikasi pendukung a. Sistem operasi yang digunakan adalah CentOS 6.0 b. Snort adalah aplikasi yang digunakan untuk mengolah real-time traffic analysis serta melakukan pencatatan terhadap IP yang melewati jaringan. c. BASE (Basic Analysis and Security Engine) adalah aplikasi yang digunakan untuk menampilkan data yang telah dicatat oleh Snort dalam bentuk web-based d. Perl adalah bahasa pemrograman yang digunakan untuk menterjemahkan bahasa yang digunakan di dalam Snort e. MySQL adalah aplikasi sistem manajemen basis data yang digunakan untuk menampung data dari hasil pengolahan IDS 4.2 Implementasi IDS Pada penelitian ini dilakukan implementasi Intrusion Detection System (IDS) yang terdapat beberapa tahapan, yaitu: konfigurasi Snort, konfigurasi MySQL, konfigurasi rules Snort Konfigurasi Snort Setelah selesai melakukan instalasi seperti yang telah dijelaskan pada bab 3, perlu dilakukan konfigurasi pada Snort. Berikut adalah konfigurasinya: 1. Membuka file /etc/snort/snort.conf 2. Merubah "var RULE_PATH../rules" menjadi "var RULE_PATH /etc/snort/rules"

3 45 3. Merubah "var SO_RULE_PATH../so_rules" menjadi "var SO_RULE_PATH /etc/snort/rules" 4. Merubah "var PREPROC_RULE_PATH../preproc_rules" menjadi "var PREPROC_RULE_PATH /etc/snort/preproc_rules" 5. Membuat bagian Reputation preprocessor menjadi comment karena file whitelist belum ada dalam Snort 6. Menemukan bagian Configure output plugins dan menambahkan baris pada akhir bagian output unified2: filename Snort.log, limit Mengetik include classification.config dan reference.config di bawah include $RULE_PATH/local.rules Konfigurasi MySQL Perlu dilakukan konfigurasi pada database MySQL agar database yang berisi hasil log Snort dapat disimpan untuk pengolahan lebih lanjut. Berikut adalah konfigurasi yang dilakukan: mysql -u root -p #echo "create database Snort;" mysql -u root -p #cd /Snort_install/barnyard2-1.9 #mysql -u root -p -D Snort < schemas/create_mysql #echo "grant create, insert on root.* to mysql -u root -p mysql -u root -p #echo "grant create,insert,select,delete,update on Snort.* to mysql -u root p Konfigurasi Rules Snort Setelah melakukan instalasi dan konfigurasi Snort, langkah selanjutnya adalah melakukan konfigurasi rules. Berikut adalah konfigurasi yang dilakukan:

4 46 1. Membuka /etc/snort/rules/local.rules 2. Menambahkan rules pada local.rules alert icmp any any -> $HOME_NET any (msg: icmp test ; \ dsize:8; itype:8; sid: ;) alert udp any any -> any any (msg: test ; sid: ;) alert tcp any any -> any any (msg: test ; sid: ;) Gambar 4. 1 Konfigurasi local.rules Rules di atas digunakan untuk melakukan pengujian Snort dapat berjalan dengan baik atau tidak, karena sampai saat implementasi server (Intrusion Detection System) IDS tidak ada serangan dari luar. Hal ini disebabkan karena (Intrusion Detection System) IDS diletakkan di local network.

5 Hasil Implementasi Setelah melakukan instalasi dan konfigurasi seperti yang telah diterangkan di atas, hasil implementasi berupa data yang diperoleh saat server ditempatkan pada local network. Berikut adalah hasil implementasi Intrusion Detection System (IDS) di PT Triputra Agro Persada: Gambar 4. 2 Hasil implementasi pada BASE Pada gambar di atas, dapat dilihat informasi yang ditampilkan yaitu terdapat 1 sensor, 6 jenis peringatan unik, 3 kategori, dan total peringatan yang tercatat pada BASE. Dari gambar tersebut dijelaskan Source IP Address yang digunakan sebanyak 80, Destination IP Address yang dituju sebanyak 77, Unique IP links yang tercatat sebanyak 254, Source Ports yang dipakai sebanyak 825 terdapat 98 jenis protokol TCP dan 730 jenis protokol UDP, Destination Port yang dituju 43 terdapat 31 protokol TCP dan 12 protokol UDP. Dari hasil keseluruhan sebanyak 4% menggunakan protokol TCP, 82% menggunakan protokol UDP dan 14% menggunakan protokol ICMP. Basic Analysis and Security Engine (BASE) memiliki fitur untuk menampilkan alert yang dikelompokkan dalam beberapa kategori, yaitu:

6 48 Today s alert berfungsi untuk melihat alert yang terjadi pada hari saat kita membuka BASE. Terbagi menjadi unique, listing, source IP, dan destination IP Gambar 4. 3 Unique Today's Alert Pada gambar 4.3 dapat dilihat informasi yang ditampilkan berupa unique alert pada hari saat proses pencatatan dilakukan. Setiap SnortID (SID) dihitung sebagai 1 unique alert. Gambar diatas menerangkan bahwa pada tanggal 20 Januari 2014 hanya terjadi satu jenis serangan yaitu berupa serangan pada jaringan lokal protokol UDP yang diketahui berdasarkan SnortID Serangan pertama terjadi pada pukul 09:02:09 dan serangan terakhir terjadi pada pukul 09:03:20.

7 49 Gambar 4. 4 Listing Today's Alert Pada gambar 4.4 dapat dilihat informasi yang ditampilkan berupa semua alert yang terjadi pada hari saat proses pencatatan dilakukan. Berikut adalah keterangan dari hasil analisa listing today s alert: #0-( ) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti paket tersebut menggunakan IPv adalah PID dari paket tersebut [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort :02:09 merupakan tanggal dan waktu terjadinya pelanggaran keamanan :137 merupakan source addresss dan port yang digunakan merupakan source address dan 137 merupakan port yang digunakan. 137 merupakan port untuk netbios :137 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan 137 merupakan port yang dituju. 137 merupakan port untuk netbios. UDP merupakan jenis protokol yang digunakan

8 50 Gambar 4. 5 Source IP Today's Alert Pada gambar 4.5 dapat dilihat informasi yang ditampilkan berupa semua source IP address pada hari saat proses pencatatan dilakukan. Gambar diatas menerangkan bahwa pada tanggal 20 Januari 2014 terdapat beberapa IP Address yang melewati jaringan, menggunakan 1 buah sensor, setiap source IP address yang lewat merupakan 1 unique alert, dan dapat dilihat jumlah address yang dituju.

9 51 Gambar 4. 6 Destination IP Today's Alert Pada gambar 4.6 dapat dilihat informasi yang ditampilkan berupa destination IP Address yang ditampilkan pada hari saat proses pencatatan dilakukan. Gambar diatas menerangkan bahwa pada tanggal 20 Januari 2014 terdapat beberapa IP Address tujuan yang terletak di dalam jaringan, menggunakan 1 buah sensor, setiap source IP address yang lewat merupakan 1 unique alert, dan dapat dilihat jumlah source address yang dituju. Last 24 Hours alerts berfungsi untuk melihat alert yang terjadi pada 24 jam terakhir. Terbagi menjadi unique, listing, source IP,dan destination IP Last 72 Hours alerts berfungsi untuk melihat alert yang terjadi pada 72 jam terakhir. Terbagi menjadi unique, listing, source IP, dan destination IP

10 52 Most recent 15 alerts berfungsi untuk melihat 15 alert yang paling sering terjadi. Terbagi menjadi any protocol, TCP, UDP, dan ICMP Gambar 4. 7 Most Recent 15 Alerts any protocol Pada gambar 4.7 dapat dilihat informasi yang ditampilkan merupakan 15 alert yang paling akhir tercatat, data yang dicatat berasal dari semua protocol. Berikut adalah keterangan dari hasil analisa most recent 15 alerts any protocol: #0-( ) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti paket tersebut menggunakan IPv adalah PID dari paket tersebut [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort :03:20 merupakan tanggal dan waktu terjadinya pelanggaran keamanan :50940 merupakan source addresss dan port yang digunakan merupakan source address dan merupakan port yang digunakan :1900 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan 1900 merupakan port yang dituju. UDP merupakan jenis protokol yang digunakan

11 53 Gambar 4. 8 Most Recent 15 Alerts TCP Pada gambar 4.8 dapat dilihat informasi yang ditampilkan merupakan 15 alert yang paling akhir tercatat, data yang dicatat berasal dari protocol TCP. Berikut adalah keterangan dari hasil analisa most recent 15 alerts : #0-(1-9340) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti paket tersebut menggunakan IPv adalah PID dari paket tersebut [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort :13:35 merupakan tanggal dan waktu terjadinya pelanggaran keamanan :8080 merupakan source addresss dan port yang digunakan merupakan source address dan 8080 merupakan port yang digunakan :50126 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan merupakan port yang dituju. TCP merupakan protokol yang digunakan

12 54 Gambar 4. 9 Most Recent 15 Alerts UDP Pada gambar 4.9 dapat dilihat informasi yang ditampilkan merupakan 15 alert yang paling akhir tercatat, data yang dicatat berasal dari protocol UDP. Berikut adalah keterangan dari hasil analisa most recent 15 alerts UDP : #0-( ) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti paket tersebut menggunakan IPv adalah PID dari paket tersebut [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort :03:20 merupakan tanggal dan waktu terjadinya pelanggaran keamanan :137 merupakan source addresss dan port yang digunakan merupakan source address dan 137 merupakan port yang digunakan :137 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan 137 merupakan port yang dituju. UDP merupakan protokol yang digunakan

13 55 Gambar Most Recent 15 Alerts ICMP Pada gambar 4.10 dapat dilihat informasi yang ditampilkan merupakan 15 alert yang paling akhir tercatat, data yang dicatat berasal dari protocol ICMP. Berikut adalah keterangan dari hasil analisa most recent 15 alerts ICMP : #0-( ) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti paket tersebut menggunakan IPv adalah PID dari paket tersebut [arachnids][local][snort]icmp L3retriever Ping merupakan jenis serangan yang terjadi. [arachnids] merupakan author yang membuat rules. [local] merupakan penanda bahwa serangan ICMP PING berasal dari local network. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort :12:52 merupakan tanggal dan waktu terjadinya pelanggaran keamanan merupakan source addresss yang digunakan merupakan destination address yang dituju ICMP merupakan protokol yang digunakan

14 56 Last Source Ports berfungsi untuk melihat source ports yang terakhir digunakan. Terbagi menjadi any protocol TCP, dan UDP Gambar Last Source Ports any protocol Pada gambar 4.11 dapat dilihat informasi yang ditampilkan merupakan alert yang tercatat berdasarkan last source port, data yang dicatat berasal dari protocol ICMP. Berikut adalah keterangan dari hasil analisa last source ports any protocol : #0-( ) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti paket tersebut menggunakan IPv adalah PID dari paket tersebut [arachnids][local][snort]icmp L3retriever Ping merupakan jenis serangan yang terjadi. [arachnids] merupakan author yang membuat rules. [local] merupakan penanda bahwa serangan ICMP PING berasal dari local network. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort :12:52 merupakan tanggal dan waktu terjadinya pelanggaran keamanan merupakan source addresss yang digunakan merupakan destination address yang dituju ICMP merupakan protokol yang digunakan

15 57 Gambar 4.12 Last Source Ports Any Protocol Pada gambar 4.12 dapat dilihat informasi yang ditampilkan berupa semua source ports terakhir pada hari saat proses pencatatan dilakukan. Gambar diatas menerangkan terdapat beberapa port yang digunakan disusun berdasarkan waktu terakhir port tersebut digunakan. Protokol yang digunakan termasuk TCP, UDP dan ICMP.

16 58 Last Destination Ports berfungsi untuk melihat destination ports yang dituju terakhir. Terbagi menjadi any protocol TCP, dan UDP Gambar Last Destination Ports any protocol Pada gambar 4.13 dapat dilihat informasi yang ditampilkan berupa semua destination ports terakhir pada hari saat proses pencatatan dilakukan. Gambar diatas menerangkan terdapat beberapa port yang digunakan disusun berdasarkan waktu terakhir port tersebut digunakan. Protokol yang digunakan termasuk TCP, UDP dan ICMP.

17 59 Gambar Last Destination Ports TCP Pada gambar 4.14 dapat dilihat informasi yang ditampilkan berupa semua destination ports terakhir pada hari saat proses pencatatan dilakukan. Gambar diatas menerangkan terdapat beberapa port yang digunakan disusun berdasarkan waktu terakhir port tersebut digunakan. Protokol yang digunakan merupakan protokol TCP.

18 60 Gambar Last Destination Ports UDP Pada gambar 4.15 dapat dilihat informasi yang ditampilkan berupa semua destination ports terakhir pada hari saat proses pencatatan dilakukan. Gambar diatas menerangkan terdapat beberapa port yang digunakan disusun berdasarkan waktu terakhir port tersebut digunakan. Protokol yang digunakan adalah protokol UDP.

19 61 Most Frequent Source Ports berfungsi untuk melihat source port yang paling sering digunakan. Terbagi menjadi any protocol TCP, dan UDP Gambar Most Frequent Source Ports any protocol Pada gambar 4.16 dapat dilihat informasi yang ditampilkan berupa semua source ports yang paling sering digunakan selama Intrusion Detection System (IDS) dijalankan. Gambar diatas menerangkan terdapat beberapa port yang digunakan disusun berdasarkan frekuensi port digunakan. Protokol yang digunakan termasuk TCP, UDP dan ICMP.

20 62 Gambar Most Frequent Source Ports TCP Pada gambar 4.17 dapat dilihat informasi yang ditampilkan berupa semua source ports yang paling sering digunakan selama Intrusion Detection System (IDS) dijalankan. Gambar diatas menerangkan terdapat beberapa port yang digunakan disusun berdasarkan frekuensi port digunakan. Protokol yang digunakan adalah protokol TCP.

21 63 Gambar Most Frequent Source Ports UDP Pada gambar 4.18 dapat dilihat informasi yang ditampilkan berupa semua source ports yang paling sering digunakan selama Intrusion Detection System (IDS) dijalankan. Gambar diatas menerangkan terdapat beberapa port yang digunakan disusun berdasarkan frekuensi port digunakan. Protokol yang digunakan adalah protokol UDP.

22 64 Most Frequent Destination Ports berfungsi untuk melihat destination port yang paling sering dituju. Terbagi menjadi any protocol TCP, dan UDP Gambar Most Frequent Destination Ports any protocol Pada gambar 4.19 dapat dilihat informasi yang ditampilkan berupa semua destination ports yang paling sering digunakan selama Intrusion Detection System (IDS) dijalankan. Gambar diatas menerangkan terdapat beberapa port yang digunakan disusun berdasarkan frekuensi port digunakan. Protokol yang digunakan termasuk TCP, UDP dan ICMP.

23 65 Gambar Most Frequent Destination Ports TCP Pada gambar 4.20 dapat dilihat informasi yang ditampilkan berupa semua destination ports yang paling sering digunakan selama Intrusion Detection System (IDS) dijalankan. Gambar diatas menerangkan terdapat beberapa port yang digunakan disusun berdasarkan frekuensi port digunakan. Protokol yang digunakan adalah protokol TCP.

24 66 Gambar Most Frequent Destination Ports UDP Pada gambar 4.21 dapat dilihat informasi yang ditampilkan berupa semua destination ports yang paling sering digunakan selama Intrusion Detection System (IDS) dijalankan. Gambar diatas menerangkan terdapat beberapa port yang digunakan disusun berdasarkan frekuensi port digunakan. Protokol yang digunakan adalah protokol UDP.

25 67 Most frequent 15 Addresses berfungsi untuk melihat 15 alamat asal dan tujuan pengiriman paket. Terbagi menjadi source dan destination Gambar Most frequent 15 Addresses source Pada gambar 4.22 dapat dilihat informasi yang ditampilkan berupa semua 15 source address yang paling sering digunakan selama Intrusion Detection System (IDS) dijalankan. Gambar diatas menerangkan terdapat beberapa source address yang melewati jaringan disusun berdasarkan frekuensi address yang digunakan.

26 68 Gambar Most frequent 15 Addresses destination Pada gambar 4.23 dapat dilihat informasi yang ditampilkan berupa semua 15 destination address yang paling sering digunakan selama Intrusion Detection System (IDS) dijalankan. Gambar diatas menerangkan terdapat beberapa destination address yang melewati jaringan disusun berdasarkan frekuensi address yang digunakan.

27 69 Most recent 15 Unique Alerts berfungsi untuk melihat 15 jenis unique alert terbaru Gambar Most Recent 15 Unique Alerts Pada gambar 4.24 dapat dilihat informasi yang ditampilkan berupa 15 unique alert yang paling banyak terjadi selama Intrusion Detection System (IDS) dijalankan. Setiap SnortID (SID) dihitung sebagai 1 unique alert. Gambar diatas menerangkan terjadi enam jenis serangan yaitu berupa serangan pada jaringan lokal. Protokol yang digunakan adalah protokol TCP, UDP dan ICMP. Hal ini dapat diketahui dengan melakukan analisa dari SID yang ada.

28 70 Most frequent 5 Unique Alerts berfungsi untuk melihat 5 jenis unique alert yang paling sering terjadi Gambar Most Frequent 5 Unique Alerts Pada gambar 4.25 dapat dilihat informasi yang ditampilkan berupa 5 unique alert yang paling banyak terjadi selama Intrusion Detection System (IDS) dijalankan. Setiap SnortID (SID) dihitung sebagai 1 unique alert. Gambar diatas menerangkan terjadi lima jenis serangan yang paling banyak terjadi yaitu berupa serangan pada jaringan lokal. Protokol yang digunakan adalah protokol TCP, UDP dan ICMP. Hal ini dapat diketahui dengan melakukan analisa dari SID yang ada.

29 71 Basic Analysis and Security Engine (BASE) juga dapat melakukan search, menampilkan graph alert data, dan menampilkan graph alert detection time. Gambar Graph Alert Data (Alert and Time) Pada gambar 4.26 dapat dilihat informasi yang ditampilkan berupa grafik yang menerangkan perbandingan antara alert dan waktu. Hasil alert akan ditampilkan dalam presentase dan waktu akan dicatat dalam kurun hari. Pada gambar tersebut dapat dilihat bahwa serangan terjadi paling banyak pada tanggal 13 Januari 2014 sebanyak 84,6%.

30 72 Gambar Alert Detection Time Table Pada gambar 4.27 dapat dilihat informasi yang ditampilkan berupa tabel yang menerangkan perbandingan antara alert dan waktu. Hasil alert akan ditampilkan dalam jumlah satuan dan waktu akan dicatat dalam kurun hari. Pada gambar tersebut dapat dilihat bahwa serangan terjadi paling banyak pada tanggal 13 Januari 2014 sebanyak 9427 serangan. Basic Analysis and Security Engine (BASE) dapat memperlihatkan log dari alert yang dibuat oleh Snort.

31 73 Gambar Alert Log TCP (1) Gambar Alert Log TCP (2) Pada gambar 4.29, terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert log TCP: #0-(1-9340) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti menggunakan IPv adalah PID dari paket tersebut [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. Snort Alert merupakan jenis serangan yang terjadi. [1: :0] merupakan SnortID (SID), 1 menerangkan jenis sensor yang berjalan, menerangkan jenis ID serangan yang telah diatur pada snort rules dan 0 merupakan jumlah revisi pada snort rules :13:35 merupakan tanggal dan waktu terjadinya pelanggaran keamanan

32 :8080 merupakan source addresss dan port yang digunakan merupakan source address dan 8080 merupakan port yang digunakan merupakan port untuk https :50126 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan merupakan port yang dituju merupakan port private perusahaan TCP merupakan jenis protokol yang digunakan Gambar Alert Log UDP (1) Gambar Alert Log UDP (2) Pada gambar 4.31, terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang

33 75 dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert log UDP: #0-( ) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti menggunakan IPv merupakan PID dari paket tersebut [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. Snort Alert merupakan jenis serangan yang terjadi. [1: :0] merupakan SnortID (SID), 1 menerangkan jenis sensor yang berjalan, menerangkan jenis ID serangan yang telah diatur pada snort rules dan 0 merupakan jumlah revisi pada snort rules :18:18 merupakan tanggal dan waktu terjadinya pelanggaran keamanan :137 merupakan source addresss dan port yang digunakan merupakan source address dan 137 merupakan port yang digunakan. 137 merupakan port untuk netbios :137 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan 137 merupakan port yang dituju. UDP merupakan jenis protokol yang digunakan

34 76 Gambar Alert Log ICMP (1) Gambar Alert Log ICMP (2) Pada gambar 4.33, terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert log ICMP: #0-( ) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti paket tersebut menggunakan IPv adalah PID dari paket tersebut [arachnids][local][snort] ICMP PING Windows merupakan jenis serangan yang terjadi. [arachnids] merupakan author yang membuat rules. [local] merupakan penanda bahwa serangan ICMP PING berasal dari local network. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort :33:28 merupakan tanggal dan waktu terjadinya pelanggaran keamanan merupakan source addresss yang digunakan merupakan destination address yang digunakan ICMP merupakan jenis protokol yang digunakan

35 77 Basic Analysis and Security Engine (BASE) juga dapat mengirimkan alert kepada network administrator dalam bentuk . Berikut adalah contoh yang dikirimkan pada network administrator: Gambar Snort Alert TCP Pada gambar 4.34 merupakan snort alert berupa yang dikirimkan kepada network administrator. Dalam alert tersebut terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert TCP: merupakan tanggal terjadinya serangan 17:57:55 merupakan jam terjadinya serangan, diterangkan sampai pada satuan detik merupakan PID (Process ID) yang sedang berjalan [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. Snort Alert merupakan jenis serangan yang terjadi. [1: :0] merupakan SnortID (SID), 1 menerangkan jenis sensor yang berjalan, menerangkan jenis ID serangan yang telah diatur pada snort rules dan 0 merupakan jumlah revisi pada snort rules :8080 merupakan source addresss dan port yang digunakan merupakan source address dan 8080 merupakan port yang digunakan merupakan port untuk https :50126 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan merupakan port yang dituju merupakan port private perusahaan TCP merupakan jenis protokol yang digunakan

36 78 Gambar Snort Alert UDP Pada gambar 4.34 merupakan snort alert berupa yang dikirimkan kepada network administrator. Dalam alert tersebut terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert UDP: merupakan tanggal terjadinya serangan 17:57:38 merupakan jam terjadinya serangan, diterangkan sampai pada satuan detik merupakan PID (Process ID) yang sedang berjalan [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. Snort Alert merupakan jenis serangan yang terjadi. [1: :0] merupakan SnortID (SID), 1 menerangkan jenis sensor yang berjalan, menerangkan jenis ID serangan yang telah diatur pada snort rules dan 0 merupakan jumlah revisi pada snort rules :137 merupakan source addresss dan port yang digunakan merupakan source address dan 137 merupakan port yang digunakan. 137 merupakan port untuk netbios :137 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan 137 merupakan port yang dituju. UDP merupakan jenis protokol yang digunakan

37 79 Gambar Snort Alert ICMP Pada gambar 4.34 merupakan snort alert berupa yang dikirimkan kepada network administrator. Dalam alert tersebut terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert ICMP: merupakan tanggal terjadinya serangan 17:57:23 merupakan jam terjadinya serangan, diterangkan sampai pada satuan detik merupakan PID (Process ID) yang sedang berjalan [arachnids][local][snort] ICMP PING Windows merupakan jenis serangan yang terjadi. [arachnids] merupakan author yang membuat rules. [local] merupakan penanda bahwa serangan ICMP PING berasal dari local network. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort merupakan source addresss yang digunakan merupakan destination address yang digunakan ICMP merupakan jenis protokol yang digunakan 4.4 Evaluasi Berdasarkan hasil implementasi Intrusion Detection System (IDS) pada PT Triputra Agro Persada, ditemukan contoh kasus dalam jaringan PT Triputra Agro Persada. Berikut adalah beberapa contoh kasus: o Pada jaringan PT Triputra Agro Persada, port 137 yang merupakan port untuk netbios masih terbuka. Network administrator mengambil keputusan untuk menutup port 137 karena menyebabkan traffic jaringan padat dan di PT Triputra Agro Persada tidak diperlukan adanya netbios.

38 80 o Ditemukan perintah Ping yang dijalankan oleh user pada jaringan PT Triputra Agro Persada kepada user lainnya di dalam jaringan o Akses dari port HTTPS (internet) yang akan mengakses ke dalam jaringan PT Triputra Agro Persada Berikut adalah hasil evaluasi: Intrusion Detection System (IDS) menghasilkan log yang digunakan oleh network administrator dalam membantu pengambilan keputusan terkait keamanan jaringan Intrusion Detection System (IDS) digunakan oleh network administrator dalam membantu mencegah terjadinya pelanggaran keamanan jaringan Sebelum diterapkan Intrusion Detection System (IDS) network administrator tidak mengetahui adanya port 137 yang ternyata tidak dibutuhkan masih terbuka Setelah diketahui bahwa port tersebut tidak digunakan dan menyebabkan traffic menjadi padat, network administrator menutup port tersebut Network Administrator dapat melihat user dari dalam jaringan yang melakukan perintah ping kepada user lainnya Network Administrator mengetahui adanya koneksi dari luar (internet) yang akan memasuki jaringan PT Triputra Agro Persada