BAB 4 HASIL DAN PEMBAHASAN

Transkripsi

1 BAB 4 HASIL DAN PEMBAHASAN 4.1. Spesifikasi System yang digunakan Dalam penilitian ini kami hanya menggunakan software saja yang ditunjukan sebagai IDS ( Intrusion Detection System ), yang dalam hal ini kami menggunakan aplikasi snort sebagai IDS itu sendiri Software yang Digunakan Berikut ini merupakan cara penginstallan dan pemakaian aplikasi yang kami gunakan : - SNORT Snort merupakan IDS yang Open source yang terdiri dari beberapa komponen yang saling bekerja sama. Bagi pengguna yang terbiasa dengan lingkungan Graphical User Interface (GUI) maka akan mengalami sedikit kesulitan dalam menggunakan IDS snort ini karena memang snort ini merupakan software yang masih berbasis pada command line, maka diperlukan beberapa software pihak ketiga yang memberikan GUI untuk Snort, misalnya IDScenter untuk Microsoft Windows, dan BASE yang berbasis PHP yang dapat diakses melalui web browser. Snort ini dapat diperoleh atau didownload pada situs resminya yaitu Snort ini dapat diimplementasikan dalam jaringan yang multiplatform. Berikut ini adalah cara menginstallasi Snort dan Rules Snort : 1. Dowload Snort 2. Setelah mendapatkan installer untuk snort, maka lakukan proses instalasi dengan men-duoble klik ikon pada snort tersebut. 43

2 44 3. Pilih I agree Gambar Installasi snort 1 4. Klik Next Gambar Installasi snort 2

3 45 5. Klik Next Gambar Installasi snort 3 6. Setelah completed pilih close Gambar Installasi snort 4

4 46 7. Klik close atau ok Gambar Installasi snort 5 8. Duoble klik snortrules, pilih rules Gambar Installasi snort 6

5 47 9. Block isi rules, lalu extract to rules di file snort Gambar Installasi snort Pilih preproc_rules Gambar Installasi snort 8

6 Blog lalu extract di snort file preproc_rules Gambar Installasi snort Buka command prompt Gambar Installasi snort 10

7 Pada command prompt ketik cd \snort lalu enter Gambar Konfigurasi Snort Selanjutnya ketik cd bin Gambar Konfigurasi Snort 2

8 Selanjutnya ketik snort V(upper case) 16. Selanjutnya ketik snort W Gambar Konfigurasi Snort 3 Gambar Konfigurasi Snort 4 -W disini digunakan untuk melihat interface, dari situ akan terlihat di interface mana yang mau kita pilih untuk mengaktifkan snort.

9 Kembali ke file snort lalu pilih etc, setelah itu klik kanan open with word pad 18. Find and replace ipvar jadi var Gambar Konfigurasi Snort Cari var RULE_PATH../rules Gambar Konfigurasi Snort 6 Gambar Konfigurasi Snort 7

10 Ubah../ pada var RULE_PATH dan var PREPROC_RULE_PATH menjadi seperti gambar Gambar Konfigurasi Snort Ganti var HOME_NET any jadi ip kita, dan var EXTERNAL_NET jadi!$home_net Gambar Konfigurasi Snort Pada var RULE_PATH dan Var PREPROC_RULE_PATH masukan c:\snort\ dan buatlah spasi pada var SO_RULE_PATH seperti pada gambar di bawah Gambar Konfigurasi Snort 10

11 Kali ini gantilah var WHITE_LIST_PATH dan var BLACK_LIST_PATH seperti gambar dibawah Gambar Konfigurasi Snort Pada config logdir hapuslah tanda pagar lalu tambahkan dengan c:\snort\log Gambar Konfigurasi Snort Selanjutnya pada path to dynamic preprocessor gantilah seperti gambar berikut Gambar Konfigurasi Snort Pada path to base preprocessor engine dynamicengine gantilah seperti pada gambar yang di blok Gambar Konfigurasi Snort 14 Lalu tambahkan pagar pada dynamicdetection directory di depanya Gambar Konfigurasi Snort 15

12 54 Tambahkan pagar juga di depan preprocessor seperti pada gambar Gambar Konfigurasi Snort 16 Gambar Konfigurasi Snort Gantilah white_list menjadi white.list dan black_list menjadi black.list Lalu save Gambar Konfigurasi Snort Buka notepad ketik seperti gambar lalu save as di rules(format save all) Gambar Konfigurasi Snort 19

13 Buka notepad ketik seperti gambar lalu save as di rules(format save all) Gambar Konfigurasi Snort Buka cmd ketik snort i1 c c:\snort.conf A console T i1 disini maksudnya adalah interface ke 5, pada W tadi kan juga terlihat interfacenya. Jadi i disini untuk mengaktifkan snortnya di interface keberapa. 31. Setelah snort di exit Gambar Konfigurasi Snort Untuk menjalankan Snort gunakan command berikut Gambar Konfigurasi Snort Untuk mengaktifkan alert pada snort gunakan command berikut

14 56 Gambar Konfigurasi Snort 23 - WireShark WireShark merupakan salah satu tools atau aplikasi Network Analyzer atau penganalisa jaringan. Penganalisaan kinerja jaringan itu dapat melingkupi berbagai hal, mulai dari proses menangkap paket paket data atau informasi yang berlalu lalang dalam jaringan, sampai pada digunakan untuk sniffing ( memperoleh informasi penting seperti password , dan lainnya ). Wireshark sendiri merupakan free tools untuk Network Analyzer yang ada saat ini. Dan tampilan dari wireshark ini sendiri terbilang sangat bersahabat dengan user karena menggunakan tampilan grafis atau GUI ( Graphical User Interface ). Dan berikut ini cara menginstall wireshark : 1. Download WireShark di 2. Setelah mendapatkan istaller wireshark. Double klik icon wireshark. 3. Pilih Next saja. Gambar Install WireShark 1

15 57 4. Pilih I agree. 5. Pilih Next Gambar Install WireShark 2 Gambar Install WireShark 3

16 58 6. Pilih next 7. Pilih next Gambar Install WireShark 4 Gambar Install WireShark 5

17 59 8. Sebelum pilih Install dilihat terlebih dahulu sudah memiliki WinPcap atau belum, bila belum di checklist seperti pada gambar lalu pilih Install, bila sudah di unchecklist saja lalu install. Gambar Install WireShark 6 9. Tunggu sampai selesai, lalu pilih Next Gambar Install WireShark 7

18 Pilih Finish Gambar Install WireShark Implementasi Pada bagian ini akan dilakukan implementasi sistem yang sudah dibuat berdasarkan perancangan bab sebelumnya. Pengujian sistem dilakukan dengan melakukan beberapa serangan untuk mengetahui apakah snort sebagai IDS dapat bekerja dengan baik Metode dan Skenario Implementasi Hari Pertama Uji Coba (20 Desember 2013) Pengujian IDS pada skripsi ini dilakukan untuk menguji apakah sistem dapat berfungsi dengan baik dan juga memiliki tingkat realibility yang sesuai. Terlebih dahulu kami mencoba kemampuan snort dalam mendeteksi, terlihat seperti pada gambar berikut :

19 61 Gambar hasil capture snort dari ping google.com Gambar diatas merupakan hasil dari ping google.com, terlihat packet ICMP yang langsung terdeteksi oleh IDS. Yang terdeteksi bukan hanya packetnya saja tetapi juga IP, dan waktu pengiriman. Ini membuktikan bahwa snort sudah berfungsi sebagai IDS. Gambar hasil capture wireshark dari ping google.com Dan gambar diatas merupakan hasil screenshoot/capture dari wireshark, dari capture wireshark ini terlihat waktu yang sama dengan packet yang di deteksi oleh snort pada saat mengirim ping dan menerima packet dari google.com. Wireshark mecapture semua traffic jaringan yang sedang berjalan secara realtime, berbeda dengan snort yang hanya mendeteksi packet yang dianggap berbahaya. Berikutnya kami mencoba kemampuan snort dalam mendeteksi ping of death atau memberikan packet secara berturut turut dan terus menerus tanpa henti.

20 62 Gambar Snort Mendeteksi ping of death Dari gambar diatas terlihat bahwa IP mengirim ICMP packet secara terus menerus ke IP IDS ( ),dan membuktikan IDS meresponse dan mendeteksi dengan cepat. Contoh packet yang dikirim juga terlihat pada wireshark berikut ini. Gambar Capture / screenshoot wireshark untuk ping of death Dari gambar tersebut terlihat bahwa wireshark tidak dapat mengcapture semua packet ping of death secepat snort. Terlihat dari packet ICMP yang trdapat pada gambar diatas yang di warnai dengan kotak merah. Hal tersebut disebabkan karena wireshark berfungsi sebagai monitoring traffic secara realtime yang artinya wireshark memngcapture semua packet yang lewat di jaringan yang ada, baik itu packet yang jelas sumbernya, ataupun packet yang berpotensi bad traffic.

21 63 Dan gambar berikut ini menunjukan jumlah packet yang terdeteksi dan jumlah alert yang di deteksi oleh snort Gambar Screenshoot alert yang berhasil terdeteksi oleh snort Dari gambar di atas teradapat alerts 42, ini dimaksudkan bahwa yang terdeksi dan berpotensi bad traffic sekitar 42 packet. Jumlah alert diatas belum dijumlahkan dengan hasil alert lain pada percobaan hari pertama ini. Gambar itu hanya menunjukan jumlah alert setelah snort di non aktifkan akan muncul data apa saja yang telah dideteksi oleh snort. Hari Kedua Uji Coba ( 7 Januari 2014 ) Di hari kedua, kami mencoba kembali kemampuan snort untuk lebih meyakinkan apakah IDS snort ini bekerja dengan baik. Uji coba yang kami lakukan pada hari kedua ini adalah menguji apakah kemampuan snort dalam menyimpan alert ke log berajalan dengan semestinya atau berjalan dengan baik. Uji coba di hari kedua bisa dilihat dari gambar berikut : Gambar log yang berhasil terdeteksi oleh snort Pada gambar di atas dapat terlihat paket yang terdeteksi oleh snort lalu di simpan di lognya. Gambar tersebut membuktikan bila snort berfungsi

22 64 sebagai packet logger mode. Di gambar diatas terlihat yang terdeteksi kembali oleh snort dan disimpan di lognya adalah ICMP packet yang di kirim oleh IP > Hari ketiga Uji Coba (23 Januari 2014) Di hari ketiga ini kami melakukan uji coba snort yang terakhir untuk membuktikan kembali yang terakhir kalinya bila snort sebagai IDS akan berjalan dengan baik di Kementrian Komunikasi dan Informatika. Berikut merupakan hasil dari Uji coba terakhir di hari ketiga ini. Gambar Hasil packet yang terdeteksi oleh snort Gambar Hasi packet ICMP yang berhasil terdeteksi oleh snort Dari gambar diatas dapat terlihat bila paket yang di deteksi oleh snort sebagai IDS hanya packet ICMP yang di kirim oleh dan diterima oleh lalu yang dikirim kembali oleh diterima sedangkan pada gambar snort telah mendeteksi packet ICMP yang berpotensi sebagai bad traffic. Packet ICMP yang berpotensi sebagai bad traffic kami tandai dengan kotak merah. Packet bad traffic ini dikirim oleh IP ke IP

23 65 Jadi dari pecobaan di hari ketiga ini snort sebagai IDS masih berjalan dengan baik dan mampu mendeteksi jaringan di Kementrian Komunikasi dan Informatika. Dari ketiga hari percobaan yang kami lakukan di Kementrian Komunikasi dan Informatika, snort sebagai IDS mampu mendeteksi intruder atau penyusup yang masuk ke di dalam Jaringan Kementrian Komunikasi dan Informatika, dan berikut jumlah alert yang dideteksi oleh snort sebagai IDS: Tabel 4.1 Jumlah Alert Terhadap Jaringan Waktu Percobaan Jumlah Alert Hari Pertama 1432 Hari Kedua 1678 Hari Ketiga 1295 Jumlah Alert Hari Pertama Hari Kedua Hari Ketiga Jumlah Alert Gambar Diagram Jumlah Alert Terhadap Jaringan Pada gambar dan table di atas maka dapat menunjukan perbandingan Antara jumlah alert terhadap serangan setiap harinya. Untuk hari pertama jumlah alert yang terdata yaitu 1432 alert, untuk hari kedua jumlah alert yang terdata yaitu 1678 alert dan untuk hari ketiga jumlah alert yang terdata yaitu 1295 alert.

24 66 Rule Yang Di Implementasikan Dari hasil implementasi diatas kami mengelompokan kembali rule mana yang digunakan dan serangan yang terdeteksi oleh snort yang dapat dilihat sebagai berikut : dos.rule Berikut ini merupakan Test dari dos.rules Gambar Screen Shoot DoS attack Dari gambar diatas kami kelompokan termasuk DoS attack karena sesuai dengan rule sebgai berikut : alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"dos Microsoft IP Options denial of service"; sid:10127; gid:3; rev:2; classtype: attempted-dos; reference: url, technet.microsoft.com/enus/security/bulletin/ms06-032; reference: cve, ; metadata: engine shared, soid ;) bad-traffic.rules Berikut merupakan test dari potensial bad traffic : Gambar Potensial Bad Traffic attack

25 67 Gambar diatas kami kelompokan pada rule bad-traffic karena sesuai dengan rule bad-traffic.rule sebagai berikut : alert udp $HOME_NET 67 -> $HOME_NET 68 (msg:"bad-traffic invalid dhcp offer denial of service attempt"; sid:13450; gid:3; rev:4; classtype:attempted-dos; reference:cve, ; reference:url,technet.microsoft.com/en-us/security/bulletin/ms08-004; metadata: engine shared, soid ;) 4.3. Evaluasi Mendasar dari identifikasi masalah dan kebutuhan user, kami melakukan evaluasi sebagai berikut : - Untuk mendeteksi serangan yang terjadi di jaringan Kementrian Komunikasi dan Informatika kami melakukan uji coba penggunaan IDS snort. Dan dari uji coba tersebut kinerja IDS snort yang kami rancang dapat mendeteksi serangan yang datang dari dalam ataupun dari luar jaringan yang terdapat di Kementrian Kominfo dan mencatatnya dalam log. - Tingkat Keamanan pada LAN di Kominfo setelah pemasangan IDS snort ini mengalami beberapa perubahan, ini disebabkan karena adanya IDS, keamanannya menjadi bertambah dua kali lebih baik dari sebelumnya yang hanya menggunakan firewall, atau pengamanan awal. Dari perancangan dan Implementasi yang kami lakukan, kami berhasil mengatasi kebutuhan user yang dalam hal ini adalah Kementrian Komunikasi dan Informatika, tentang snort sebagai IDS yang bekerja dengan baik dalam mendeteksi serangan dari dalam maupun luar jaringan. Dan IDS yang kami rancang juga mampu melihat darimana asal serangan terjadi dan tujuannya. Dari Implementasi diatas juga teruji bagaimana IDS mampu memberikan peringatan atau pengamanan ganda dari serangan, sebelum serangan itu menyentuh firewall. Untuk membaca packet apa saja yang dikirim dan di terima oleh IDS, kami menggunakan wireshark. Dengan wireshark ini lah kami mampu menganalisa tentang packet packet yang diterima oleh IDS.

26 68