Gambar 2.1. Bagian IDS

Transkripsi

1 BAB II TINJAUAN PUSTAKA 2.1. Intrusion Detection System (IDS) Intrusion Detection System (IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusion (penyusupan). Intrusion Detection System (IDS) mempunyai sistem kerja yang berbedabeda yaitu signature based, anomaly based, passive IDS, reactive IDS. Kebanyakan produk IDS merupakan sistem yang bersifat pasif, hanya mendeteksi intrusion yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Beberapa vendor juga mengembangkan IDS bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti menutup beberapa port atau memblokir beberapa IP Address. Dalam melakukan tugasnya IDS (intrusion detection system) berada pada lapisan jaringan OSI (Open System Interconnection) model yang terdapat pada lapisan ketiga yaitu pada lapisan network dan sensor jaringan pasif yang secara khusus diposisikan pada choke point pada jaringan metode dari lapisan OSI. Gambar 2.1. Bagian IDS 6

2 Tipe Intrusion Detection System (IDS) Pada dasarnya terdapat tiga macam IDS (intrusion detection system), antara lain : 1. Network based Intrusion Detection System (NIDS) : IDS network - based biasanya berupa suatu mesin yang khusus dipergunakan untuk melakukan seluruh segmen dari jaringan. IDS network - based akan mengumpulkan paket - paket data yang terdapat pada jaringan dan kemudian menganalisisnya serta menentukan apakah paket - paket itu berupa suatu paket yang normal atau suatu serangan atau berupa suatu aktivitas yang mencurigakan. IDS memperoleh informasi dari paket - paket jaringan yang ada. Gambar 2.2. Network Based IDS Network based IDS menggunakan raw paket yang ada di jaringan sebagai sumber datanya dengan menggunakan network adapter sebagai alat untuk menangkap paket - paket yang akan dipantau. Network adapter berjalan pada mode prosmicuous untuk memonitor dan melakukan analisis paket - paket yang ada yang berjalan di jaringan. Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam

3 8 segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. 2. Host based Intrusion Detection System (HIDS) : IDS host - based bekerja pada host yang akan dilindungi. IDS jenis ini dapat melakukan berbagai macam tugas untuk mendeteksi serangan yang dilakukan pada host tersebut. Keunggulannya adalah pada tugas - tugas yang berhubungan dengan keamanan file. Untuk melakukan analisis terhadap paket data IDS memperoleh data informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Data host - based IDS biasanya berupa log yang dihasilkan dengan memonitor sistem file, event, dan keamanan pada operating sistem dan syslog pada lingkungan sistem operasi UNIX. Gambar 2.3. Host Based IDS 3. Distributed Intrusion Detection System (DIDS) : sekumpulan sensor IDS yang saling terhubung satu sama lain dan berfungsi sebagai remotet sensor (sensor jarak jauh) yang memberikann pelaporan pada manajemen sistem terpusat.

4 IDS Didasarkan Pada Beberapa Terminologi Pembagian jenis-jenis IDS yang ada saat sekarang ini didasarkan pada beberapa terminologi, di antaranya : 1. Arsitektur sistem. Dibedakan menurut komponen fungsional IDS (intrusion detection system), bagaimana diatur satu sama lainnya. a. Host-Target Co-Location : IDS dijalankan pada sistem yang akan dilindungi. Kelemahan sistem ini adalah jika penyusup berhasil memperoleh akses ke sistem maka penyusup dapat dengan mudah mencuri informasi dari client. b. Host-Target Separation : IDS diletakkan pada komputer yang berbeda dengan komputer yang akan dilindungi. 2. Tujuan Sistem. Ada dua bagian tujuan intrusion detection system (IDS), diantaranya adalah : a. Tanggung jawab : adalah kemampuan untuk menghubungkan suatu kegiatan dan bertanggung jawab terhadap semua yang terjadi, diantaranya adalah serangan. b. Respons : suatu kemampuan untuk mengendalikan aktivitas yang merugikan dalam suatu sistem komputer. 3. Strategi Pengendalian. Pada tahap ini IDS dibedakan berdasarkan yang dikendalikan, baik input maupun outputnya. Jenis-jenis IDS menurut terminologi ini adalah : a. Terpusat : seluruh kendalai pada IDS, baik monitoring, deteksi, dan pelaporannya dikendalikan secara terpusat. b. Terdistribusi Parsial : monitoring dan deteksi dikendalikan dari node lokal dengan hierarki pelaporan pada satu atau beberapa pusat lokasi. c. Terdistribusi Total : monitoring dan deteksi menggunakan pendekatan berbasis agen, dimana keputusan respons dibuat pada kode analisis. 4. Waktu. Waktu dalam hal ini berarti waktu antara kejadian, baik monitoring atau analisis. Jenisnya adalah : a. Interval-Based (Batch Mode) : Informasi dikumpulkan terlebih dahulu, kemudian dievaluasi menurut interval waktu yang telah ditentukan.

5 10 b. Realtime (Continues) : IDS memperoleh data terus menerus dan dapat mengetahui bahwa penyerangan sedang terjadi sehingga secara cepat dapat melakukan respons terhadap penyerangan IDS Dalam Melakukan Analisa Paket Data Dilihat dari cara kerja dalam menganalisa apakah paket data dianggap sebagai penyusupan atau bukan, IDS dibagi menjadi 2 : 1. Signature based atau Misuse detection IDS ini dapat mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule IDS (berisi signature - signature paket serangan). Jika paket data mempunyai pola yang sama dengan (setidaknya) salah satu pola di database rule IDS, maka paket tersebut dianggap sebagai serangan, dan demikian juga sebaliknya, jika paket data tersebut sama sekali tidak mempunyai pola yang sama dengan pola di database rule IDS, maka paket data tersebut dianggap bukan serangan. 2. Behavior based atau anomaly based IDS ini dapat mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan - kejanggalan pada sistem, atau adanya penyimpangan - penyimpangan dari kondisi normal, sebagai contoh ada penggunaan memori yang melonjak secara terus menerus atau ada koneksi parallel dari 1 buah IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi - kondisi diatas dianggap kejanggalan yang kemudian oleh IDS jenis anomaly based dianggap sebagai serangan Fungsi IDS (Intrusion Detection System) Beberapa alasan untuk memperoleh dan menggunakan IDS (intrusion detection system) (Ariyus, 2007), diantaranya adalah : 1. Mencegah resiko keamanan yang terus meningkat, karena banyak ditemukan kegiatan ilegal yang diperbuat oleh orang-orang yang tidak bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut.

6 11 2. Mendeteksi serangan dan pelanggaran keamanan sistem jaringan yang tidak bisa dicegah oleh sistem umum pakai, seperti firewall. Sehingga banyak menyebabkan adanya lubang keamanan, seperti user yang tidak memahami sistem, sehingga jaringan dan protokol yang mereka gunakan memiliki celah dari keamanannya dan membuat kesalahan dalam konfigurasi atau dalam menggunakan system 3. Mencegah resiko keamanan yang terus meningkat, karena banyak ditemukan kegiatan ilegal yang diperbuat oleh orang - orang yang tidak bertanggung jawab. 4. Mengamankan file yang keluar dari jaringan sebagai pengendali untuk rancangan keamanan dan administrator, terutama bagi perusahaan yang besar. 5. Menyediakan informasi yang akurat terhadap ganguan secara langsung, meningkatkan diagnosis, recovery, dan mengoreksi faktor-faktor penyebab serangan Peran IDS (Intrusion Detection System) IDS (intrusion detection system) juga memiliki peran penting untuk mendapatkan arsitektur defence-in-depth (pertahanan yang mendalam) dengan melindungi akses jaringan internal, sebagai tambahan dari parameter defence. Hal - hal yang dilakukan IDS (intrusion detection system) pada jaringan internal adalah sebagai berikut: (Ariyus, 2007:34) 1. Memonitor akses database : ketika mempetimbangkan pemilihan kandidat untuk penyimpanan data, suatu perusahaan akan memilih database sebagai solusi untuk menyimpan data - data yang berharga. 2. Melindungi server : IDS (intrusion detection system) juga berfungsi untuk mendeteksi virus seperti QAZ, Worm, NAVIDAD Worm, dan versi terbaru dari ExploreZip. 3. Memonitor policy security : jika ada pelanggaran terhadap policy security maka IDS (intrusion detection system) akan memberitahu bahwa telah terjadi sesuatu yang tidak sesuai dengan aturan yang ada.

7 Keuntungan dan Kekurangan IDS Berikut ini beberapa keuntungan dari penerapan IDS pada sistem jaringan komputer : 1. Secara efektif mendeteksi aktifitas penyusupan, penyerangan atau tindak pelanggaran lainnya yang mengacam aset atau sumber daya sistem jaringan. 2. IDS membuat administrator diinformasikan tentang status keamanan dan secara berkesinambungan mengamati traffic dari sistem jaringan komputer dan secara rinci menginformasikan setiap event yang berhubungan dengan aspek keamanan. 3. IDS menyediakan informasi akurat terhadap gangguan secara langsung, meningkatkan diagnosis, pemulihan, mengoreksi sejumlah faktor penyebab intursi atau serangan 4. Sejumlah file log yang berisi catatan aktifitas kinerja IDS adalah bagian penting dari forensik komputer yang dapat digunakan sebagai sumber informasi untuk proses penelusuran aktivitas serangan yang terjadi, analisis dan audit kinerja sensor IDS serta sebagai barang bukti untuk tindakan hukum. Ada pula kekurangan yang terdapat pada penerapan sensor IDS, sebagai berikut : 1. Rentang waktu antara pengembangan teknik penyerangan atau intrusi dan pembuatan signature, memungkinkan penyerang untuk mengeksploitasi IDS yang tidak mengenali jenis serangan spesifik. Karena signature tidak dapat dibuat tanpa mempelajari traffic serangan. 2. False Negative adalah serangan sesungguhnya yang tidak terdeteksi maka tidak ada peringatan atau notification mengenai peristiwa ini. 3. False Positive adalah kesalahan IDS dalam mendeteksi traffic network normal sebagai suatu serangan. Jika terjadi dalam jumlah besar berkemungkinan menutupi kejadian intrusi sesungguhnya.

8 Snort IDS SNORT adalah open source yang berbasis jaringan sistem deteksi intrusi (NIDS) yang memiliki kemampuan untuk melakukan analisis lalu lintas secara real - time dan paket logging pada jaringan Internet Protocol (IP). Snort melakukan analisis protokol, mencari konten, dan pencocokan konten. Program ini juga dapat digunakan untuk mendeteksi probe atau serangan. Snort sudah di download lebih dari 3 juta orang. Hal ini menandakan bahwa snort merupakan suatu intrusion Detection System yang dipakai banyak orang di dunia. Snort bisa di operasikan dengan tiga mode (Ariyus, 2007) yaitu: 1. Paket sniffer : Untuk melihat paket yang lewat di jaringan. 2. Paket logger : Untuk mencatat semua paket yang lewat di jaringan 3. Network Intrusion Detection System (NIDS.) : deteksi penyusupan pada netwaork : pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan computer. Cara kerja Snort adalah dengan menggunakan deteksi signature pada lalu lintas jaringan mencocokkan lalu lintas jaringan dengan daftar signature serangan yang disebut Snort rules. Jika aksi atau paket yang melintasi jaringan itu sesuai dengan rules, maka Snort engine akan menganggapnya sebagai intrusi dan dicatat pada log kemudian disimpan di database Komponen komponen Snort Snort memiliki komponen yang bekerja saling berhubungan satu dengan yang lainnya seperti berikut ini. (Ariyus, 2007:146) : 1. Rule Snort. Merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Rule Snort IDS ini, harus di update secara rutin agar, ketika ada suatu teknik serangan yang baru Snort bisa mendeteksi karena jenis atau pola serangan tersebut sudah ada pada rule snort. 2. Snort Engine. Merupakan program yang berjalan sebagai proses yang selalu bekerja untuk membaca paket data dan kemudian membandingkannya dengan rule Snort.

9 14 3. Alert. Merupakan catatan serangan pada deteksi penyusupan, jika snort engine menyatakan paket data yang lewat sebagai serangan, maka snort engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa, alert dapat disimpan di dalam database. 4. Preprocessors. Merupakan suatu saringan yang mengidentifikasi berbagai hal yang harus diperiksa seperti Snort Engine. Preprocessors berfungsi mengambil paket yang berpotensi membahayakan, kemudian dikirim ke Snort engine untuk dikenali polanya. 5. Output Plug - ins : suatu modul yang mengatur format dari keluaran untuk alert dan file logs yang bisa diakses dengan berbagai cara, seperti console, extern files, database, dan sebagainya Fitur fitur Snort Menurut Wardhani (2007) Snort memiliki fitur - fitur dan kemudahan dalam melakukan pendekesiaan suatu serangan. Fitur - fitur tersebut adalah sebagai berikut : 1. Bersifat Opensource, karena itu maka penggunaannya betul - betul gratis, Snort merupakan pilihan yang sangat baik sebagai NIDS ringan yang cost - effective dalam suatu organisasi yang kecil jika organisasi tersebut tidak mampu menggunakan NIDS commercial yang harganya paling sedikit ribuan dolar US. Dari sisi harga, jelas tidak ada NIDS lain yang mampu mengalahkan Snort. 2. Karena Snort bersifat opensource, maka penggunaannya betul - betul bebas sehingga dapat diterapkan dalam lingkungan apa saja. Kode sumbernya pun bisa didapatkan sehingga Snort bisa secara bebas dimodifikasi sendiri sesuai keperluan. Selain itu, karena Snort merupakan software yang bebas, maka telah terbentuk suatu komunitas Snort yang membantu memberikan berbagai macam dukungan untuk penggunaan, pengembangan, penyempurnaan, dan perawatan software Snort itu. 3. Snort memiliki bahasa pembuatan rules yang relatif mudah dipelajari dan fleksibel. Ini berarti bahwa pengguna dengan mudah dan cepat membuat

10 15 berbagai rules baru untuk mendeteksi tipe-tipe serangan yang baru. Selain itu, berbagai rule khusus dapat dibuat untuk segala macam situasi. 4. Snort sudah memiliki sebuah database untuk berbagai macam rules, dan database ini secara aktif terus dikembangkan oleh komunitas Snort sehingga tipe-tipe serangan yang baru dapat dicatat 5. Snort merupakan software yang ringkas dan padat, sehingga tidak memakan banyak resources tetapi cukup canggih dan fleksibel untuk digunakan sebagai salah satu bagian dari NIDS yang terpadu (Integrated NIDS). selain itu, snort bersifat lighweight, maka penerapannya juga mudah dan cepat. 6. Snort dapat melakukan logging langsung ke sistem database (MySQL). 7. Snort sebagai NIDS dapat menyembunyikan dirinya dalam jaringan computer sehingga keberadaannya tidak bisa terdeteksi oleh komputer mana pun. Ini disebut sebagai stealth mode Snort Rules Snort Rules merupakan database yang berisi pola-pola serangan berupa signature jenis-jenis serangan. Snort Rules IDS ini, harus diupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Sebagai contoh rule pada Snort sebagai berikut : alert tcp $EXTERNAL NET alert tcp $EXTERNAL NET any -> $HTTP SERVERS $HTTP PORTS (msg:"web-iis unicode directory traversal attempt"; flow:to server, established; content: /..%c0%af../"; nocase; classtype:web-applicationattack; reference:cve, CVE ; sid:981; rev:6;). Rule di atas terdiri dari 2 bagian: header dan option. Bagian alert tcp $EXTERNAL NET any - $HTTP SERVERS $HTTP PORTS adalah header dan selebihnya merupakan option. Dari rule-rule seperti di ataslah IDS Snort menghukumi apakah sebuah paket data dianggap sebagai penyusupan / serangan atau bukan, paket data dibandingkan dengan rule IDS, jika terdapat dalam rule, maka paket data tersebut dianggap sebagai penyusupan / serangan dan demikian juga sebaliknya jika tidak ada dalam rule maka dianggap bukan penyusupan /

11 16 serangan. Setelah menginstal Snort engine dan rulesnya, maka langkah selanjutnya adalah mengkonfigurasi Snort engine. Snort engine dimodifikasi sesuai kebutuhan dan spesifikasi jaringan yang akan dipindai oleh Snort. Cara kerja Snort rules adalah Rules dibaca ke dalam struktur atau rantai data internal kemudian dicocokkan dengan paket yang ada. Jika paket sesuai dengan rules yang ada, tindakan akan diambil, jika tidak paket akan dibuang. Tindakan yang diambil dapat berupa logging paket atau mengaktifkan alert Flowchart Snort Flowchart membahas lebih dalam mengenai cara kerja snort. Network traffic yang berisi paket data, akan diambil oleh Snort decoder. Snort decoder mendecode paket ke dalam data struktur snort untuk dianalisis. Kemudian paket data diteruskan ke preprocessor untuk dilihat paket header-nya dan informasi didalamnya. Kemudian paket data diteruskan menuju detection engine. Dengan menggunakan rule, detection engine membandingkan antara paket data dan rule dan memutuskan apakah paket data bisa lewat atau akan di drop. Output engine memberikan hasil dari detection engine dalam format terpisah seperti log file dan database. Berdasarkan hasil dari detection engine, snort bisa mengambil tindakan lebih lanjut untuk merespon paket tersebut. Gambar 2.4. Flowchart Snort

12 BASE (Basic Analysis Security Engine) BASE adalah sebuah interface web untuk melakukan analisis dari intrusi yang snort telah deteksi pada jaringan. (Orebaugh, 2008:217) BASE ditulis oleh kevin johnson adalah program analisis sistem jaringan berbasis PHP yang mencari dan memproses database dari security event yang dihasilkan oleh berbagai program monitoring jaringan, firewall, atau sensor IDS. Berikut ini adalah beberapa kelebihan dari BASE yaitu : 1. Program berbasis web yang memungkinkan implementasi antar platform. 2. Log - log yang sulit untuk dibaca akan menjadi mudah untuk dibaca. 3. Data - data dapat dicari sesuai dengan kriteria tertentu. 4. Open source yang merupakan perintis antarmuka GUI untuk snort dan paling banyak digunakan oleh pengguna IDS. BASE merupakan rekomendasi dari Snort.org sendiri. 5. Multi language, antarmuka memilki beberapa bahasa selain bahasa Inggris dan layanan peringatan yang real time. 6. Dapat diimplementasikan pada IDS manapun selain snort. Gambar 2.5. BASE (Basic Analysis Security Engine) Berikut ini adalah beberapa Fitur yang ada pada BASE (Basic Analysis Security Engine) : 1. Ditulis dalam bahasa PHP 2. Menganalisa log intrusi 3. Mendisplay informasi database dalam bentuk web

13 18 4. Mengenerate graph dan alert berdasarkan sensor, waktu rule dan protocol 5. Mendisplay summary log dari semua alert dan link untuk graph 6. Dapat diatur berdasarkan kategori grup alert, false positif dan 2.4 DOS (Denial Of Services) Denial of service (DoS) adalah sebuah metode serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber daya (resource) sebuah peralatan jaringan komputer sehingga layanan jaringan komputer menjadi terganggu. Serangan ini bertujuan untuk mencegah pengguna mendapatkan layanan dari sistem. Denial of Service (DOS) dapat menghambat kerja sebuah layanan (servis) atau mematikannya, sehingga user yang berhak atau berkepentingan tidak dapat menggunakan layanan tersebut. Denial of Service merupakan serangan yang sulit diatasi, hal ini disebabkan oleh resiko layanan publik dimana admin akan berada pada kondisi yang membingungkan antara layanan dan kenyamanan terhadap keamanan. Seperti yang kita tahu, keyamanan berbanding terbalik dengan keamanan. Maka resiko yang mungkin timbul selalu mengikuti hukum ini. Gambar 2.6. Serangan DOS (Denial Of Services) Serangan DOS ini telah ada pada tahun Target - target serangan DOS biasanya adalah server - server ISP, Internet Banking, E-commerce, Web perusahaan, dan pemerintah. Denial of Service dikategorikan sebagai serangan SYN (SYN attack) karena menggunakan packet SYN (synchronization) pada

14 19 waktu melakukan 3-way handshake untuk membentuk suatu hubungan berbasis TCP/IP. Proses yang terjadi dalam 3-way handshake adalah sebagai berikut : 1. Client mengirimkan sebuah paket SYN ke server atau host fungsinya untuk membentuk hubungan TCP/IP antara client dan host. 2. Host menjawab dengan mengirimkan sebuah paket SYN/ACK (Synchronization / Acknowledgement) kembali ke client. 3. Client menjawab dengan mengirimkan sebuah paket ACK kembali ke host. Dengan demikian, hubungan TCP/IP antara client dan host terbentuk dan transfer data bisa dimulai. Dalam Denial of Service, komputer penyerang yang bertindak sebagai client mengirim sebuah paket SYN yang telah direkayasa ke suatu server yang akan diserang. Paket SYN yang telah direkayasa ini berisikan alamat asal (source address) dan nomor port asal (source port number) yang sama dengan alamat tujuan (destination address) dan nomor port tujuan (destination port number). Pada waktu host mengirimkan paket SYN/ACK kembali ke client, maka terjadi suatu infinite loop karena sebetulnya host mengirimkan paket SYN/ACK tersebut ke dirinya sendiri. Host atau server yang belum terproteksi biasanya akan crash oleh serangan ini. Gambar 2.7. Proses 3-way handshake Serangan DoS dapat dilakukan dengan mengirimkan query sebanyak mungkin hingga target tidak bisa lagi menanganinya sehingga target lumpuh. Cara

15 20 lain melakukan serangan DoS adalah dengan mengirimkan data rusak atau data yang tidak mampu di tangani oleh server target sehingga server tersebut menjadi hang (tidak bisa berfungsi sebagaimana mestinya dan perlu di restart ulang). Dalam sebuah serangan Denial of Service, penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut : 1. Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding. 2. Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding. 3. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server. Tujuan serangan ini adalah membuat server shutdown, reboot, crash, not responding. Jadi serangan ini menghasilkan kerusakan yang sifatnya persisten artinya kondisi DoS akan tetap terjadi walaupun attacker sudah berhenti menyerang, server baru normal kembali setelah di-restart/reboot. Beberapa contoh Serangan DoS adalah : 1. Ping of Death : ping ini di gunakan untuk memeriksa utility ping untuk mengetahui ip dan jenis host yang di gunakan. ping ini sering kita jumpai di CMD pada Os windows. serangan ini sudah tidak terlalu ampuh karena proses yang cukup lama dan website - website juga melakukan update secara berkala. 2. Buffer Overflow mengirimkan data yang melebihi kapasitas system, misalnya paket ICMP yang berukuran sangat besar.

16 21 3. ICMP Flooding : Mengirimkan paket ICMP secara berlebihan dan mengakibatkan mesin crash dan tidak dapat melayani request TCP/IP. 4. Udp Flood : serangan yang membuat admin merasa terkejut karena serangan ini korban mendapatkan servernya yang terkena hang pada serangan ini. penyerang juga selalu menyembunyikan identitasnya agar sulit di lacak. 5. Syn Flooding : serangan ini mencari kelemahan dalam sistem protocol. serangan ini dengan mengirimkan Syn kepada komputer target sehingga korban terus menerima paket - paket data yang tidak di inginkan. 6. Smurf Attack : Serangan yang memanfaatkan pihak ke tiga di mana si hacker menargetkan kepada si korban melalui daemon-daemon dari tools flooder Karakteristik Serangan DoS (Denial Of Services) DoS attack ditandai oleh usaha attacker untuk mencegah legitimate user dari penggunaan resource yang diinginkan. Cara DoS attack : 1. Mencoba untuk membanjiri (flood) network, dengan demikian mencegah lalu lintas yang legitimate pada network. 2. Mencoba mengganggu koneksi antara dua mesin, dengan demikian mencegah suatu akses layanan. 3. Mencoba untuk mencegah individu tertentu dari mengakses layanan. 4. Mencoba untuk mengganggu layanan sistem yang spesifik atau layanan itu sendiri. 2.5 IP-Tables Ip-tables adalah suatu tools dalam sistem operasi linux yang berfungsi sebagai alat untuk melakukan filter (penyaringan) terhadap (trafic) lalulintas data. Secara sederhana digambarkan sebagai pengatur lalulintas data. IP-Tables merupakan firewall bawaan Linux. Ip-tables mampu melakukan filtering dari layer transport sampai layer physical. Dengan iptables inilah kita akan mengatur semua lalulintas dalam komputer kita, baik yang masuk ke komputer, keluar dari komputer, ataupun traffic yang sekedar melewati komputer kita. Membahas

17 22 prinsip dasar firewall iptables, mengelola akses internet berdasarkan alamat IP, port aplikasi dan MAC address. Firewall IP Tables packet filtering memiliki tiga aturan (policy), yaitu : 1. Input. Mengatur paket data yang memasuki firewall dari arah intranet maupun internet. kita bisa mengelola komputer mana saja yang bisa mengakses firewall. misal: hanya komputer IP yang bisa SSH ke firewall dan yang lain tidak boleh. 2. Output. Mengatur paket data yang keluar dari firewall ke arah intranet maupun internet. Biasanya output tidak diset,karena bisa membatasi kemampuan firewall itu sendiri. 3. Forward. Mengatur paket data yang melintasi firewall dari arah internet ke intranet maupun sebaliknya. Policy forward paling banyak dipakai saat ini untuk mengatur koneksi internet berdasarkan port, mac address dan alamat IP Parameter IP-Tables Selain aturan (policy) firewall iptables juga mempunyai parameter yang disebut dengan target, yaitu status yang menentukkan koneksi di iptables diizinkan lewat atau tidak. Status Target ada tiga macam yaitu : 1. Accept. Akses diterima dan diizinkan melewati firewall. 2. Reject. Akses ditolak, koneksi dari komputer klien yang melewati firewall langsung terputus, biasanya terdapat pesan Connection Refused. Target reject tidak menghabiskan bandwidth internet karena akses langsung ditolak, hal ini berbeda dengan drop.

18 23 3. Drop. Akses diterima tetapi paket data langsung dibuang oleh kernel, sehingga pengguna tidak mengetahui kalau koneksinya dibatasi oleh firewall, pengguna melihat seakan - akan server yang dihubungi mengalami permasalahan teknis. Pada koneksi internet yang sibuk dengan trafik tinggi target drop sebaiknya jangan digunakan. 2.6 Tinjauan Studi Dalam pelaksanaan penelitian ini digunakan beberapa tinjauan studi yang akan digunakan untuk mendukung pelaksanaan penelitian yang dilakukan. Beberapa tinjauan studi yang diambil adalah : 1. Oleh Regina Riyantika (2013), dengan judul Analisis Kinerja Sistem Pengamanan Jaringan Dengan Menggunakan Snort IDS dan Ip-Tables di Area Laboratorium RDNM (Research and Development Network Management) PT. TELKOM R&D Center. Dari Institut Teknologi Nasional Bandung. Pada penelitian ini penulis akan membangun sebuah perancangan sistem keamanan jaringan komputer dengan menggunakan Snort Intrusion Detection System dan Ip-tables untuk mendeteksi dan mencegah serangan penyusup (intruder). Jenis serangan yang digunakan yaitu Port Scanning. Pada penelitian ini penulis melakukan analisis sisi performance pada sistem kinerja server yaitu membandingkan nilai atau kinerja dari proses memory, processor, swap dan traffic pada jaringan sebelum terjadi serangan dan sesudah terjadi serangan. 2. Oleh I Gusti Ngurah Arya Sucipta (2012), dengan judul Analisis Kinerja Anomaly-Based Intrusion Detection System (IDS) Dalam Mendeteksi Serangan DOS (Denial Of Services) Pada Jaringan Komputer dari Universitas Udayana. Dalam penelitian ini, penulis berfokus terhadap pendeteksian serangan DoS traffic Flooding dengan menggunakan Anomaly-based. Pada penelitian ini penulis melakukan analisis tingkat deteksi serangan dari Anomaly-Based IDS dengan melakukan pengukuran

19 24 akurasi serangan dengan menggunakkan informasi Baseline Anomalybased IDS dari 3 kali proses pembentukan baseline yang dilakukan. 3. Oleh Agita Syaimi Putri Utami (2013), dengan judul Perancangan dan Analisis Kinerja Sistem Pencegahan Penyusupan Jaringan Menggunakan Snort IDS dan Honeyd dari Institut Teknologi Nasional Bandung. Dalam penelitian ini, penulis melakukan pencegahan penyusupan menggunakan Snort IDS dan Honeyd. Snort IDS ini bekerja dengan cara mendeteksi serangan yang telah dilakukan oleh penyusup (intruder). Setelah serangan berhasil terdeteksi, maka serangan tersebut akan dibelokkan ke server palsu (Honeyd). Akibat dari serangan penyusup adalah terjadinya gangguan pada sisi sistem kinerja server. Jenis serangan yang digunakan dalam perancangan ini adalah Port Scanning, dengan parameter yang diujikan kinerja CPU dan Memory Dari ketiga tinjauan studi yang digunakan sebagai pendukung dalam penelitian ini tentunya terdapat perbedaan dari ketiga tinjauan tersebut dengan penelitian yang akan dilakukan. Dimana pada tinjauan studi yang pertama yang berjudul Analisis Kinerja Sistem Pengamanan Jaringan Dengan Menggunakan Snort IDS dan Ip-Tables di Area Laboratorium RDNM (Research and Development Network Management) PT. TELKOM R&D Center. Perbedaan yang penulis lakukan, dalam melakukan penyerangan menggunakan jenis serangan ICMP Flooding dengan parameter yang diteliti bagaimana IP-Tables Otomatis yang berintegrasi dengan Snort IDS. Untuk tinjauan studi kedua yang berjudul Analisis Kinerja Anomaly-Based Intrusion Detection System (IDS) Dalam Mendeteksi Serangan DOS (Denial Of Services) Pada Jaringan Komputer. Perbedaan yang penulis lakukan dalam melakukan penyerangan menggunakan jenis serangan ICMP Flooding dengan menggunakan cara kerja pendeteksian signature base IDS Untuk tinjauan studi ketiga yang berjudul Perancangan dan Analisis Kinerja Sistem Pencegahan Penyusupan Jaringan Menggunakan Snort IDS dan Honeyd perbedaan yang penulisan lakukan, dalam melakukan penyerangan

20 25 menggunakaan jenis serangan ICMP Flooding dengan pencegahan menggunakan IP-Tables. Parameter yang diteliti bagaimana IP-Tables Otomatis yang berintegrasi dengan Snort IDS.