IMPLEMENTASI INTRUSION DETECTION SYSTEM UNTUK PENINGKATAN KEAMANAN JARINGAN PT TRIPUTRA AGRO PERSADA

Transkripsi

1 IMPLEMENTASI INTRUSION DETECTION SYSTEM UNTUK PENINGKATAN KEAMANAN JARINGAN PT TRIPUTRA AGRO PERSADA Aldo Febrian Jurusan Teknik Informatika, School of Computer Science, Binus University Jl. Kebon Jeruk Raya No. 27, Kebon Jeruk, Jakarta Barat Telp Stefani Putri Sidarta Jurusan Teknik Informatika, School of Computer Science, Binus University Jl. Kebon Jeruk Raya No. 27, Kebon Jeruk, Jakarta Barat Telp Alvin Surya Wijaya Jurusan Teknik Informatika, School of Computer Science, Binus University Jl. Kebon Jeruk Raya No. 27, Kebon Jeruk, Jakarta Barat Telp Rudi Tjiptadi Dosen Pembimbing, Binus University Jl. Kebon Jeruk Raya No. 27, Kebon Jeruk, Jakarta Barat Telp ABSTRAK Tujuan Penelitian yaitu untuk melakukan implementasi Intrusion Detection System pada PT Triputra Agro Persada yang dapat melakukan deteksi adanya serangan di dalam jaringan dengan cepat dan mendetil serta mengirimkan alert kepada Network Administrator. Metode penelitian yang digunakan adalah observasi serta interview secara langsung dengan tim Network Infrastructure PT Triputra Agro Persada tentang permasalahan yang dihadapi oleh perusahaan. Hasil yang dicapai berupa log dan alert dari Intrusion Detection System yang ditampilkan dalam bentuk website. Simpulan dari penelitian ini adalah Intrusion Detection System digunakan pada jaringan PT Triputra Agro Persada yang berfungsi untuk melakukan scanning lalu lintas jaringan, logging lalu lintas jaringan yang sesuai dengan rules yang telah dibuat serta alerting yang dikirimkan kepada network administrator. Kata Kunci : Intrusion Detection System, Keamanan Jaringan, Program Snort

2 PENDAHULUAN Internet sering kali disebut sebagai dunia tanpa batas untuk mendapatkan berbagai macam informasi. Beragam informasi dapat ditemukan dan siapa saja bisa mengakses informasi tersebut. Seiring perkembangan teknologi informasi, internet tidak hanya memberikan hal positif bagi kehidupan tetapi juga sebuah ancaman. Ancaman menakutkan justru datang dari dunia maya yang bisa merusak keamanan sistem komputer. Terhubung ke dunia internet sama halnya membuka pintu komputer untuk bisa diakses oleh siapa saja. Untuk itulah, komputer membutuhkan suatu benteng yang mampu melindungi komputer dari ancaman bahaya di internet. Di dunia maya, benteng tersebut memiliki nama lain yang disebut firewall. Firewall merupakan salah satu bagian terpenting dalam sebuah jaringan. Firewall dapat mendeteksi lalu lintas berbahaya yang mencoba untuk memasuki sistem komputer. Firewall dianggap sebagai garis pertahanan pertama dalam melindungi informasi pribadi suatu perusahaan. Namun ada beberapa hal yang tidak bisa dideteksi oleh firewall ketika paket data telah memasuki sistem. Hal itu tentu membahayakan apabila di dalam paket data tersebut terdapat virus yang dapat merusak sistem komputer suatu perusahaan. Untuk dapat mengatasi permasalahan tersebut digunakan Intrusion Detection System (IDS) yang berguna untuk mencegah serangan yang akan masuk ke jaringan komputer. Pencegahan dilakukan dengan cara memeriksa dan mencatat semua paket data yang masuk serta mengenali setiap paket dengan sensor. Intrusion Detection System (IDS) akan mencatat (log) semua paket data yang lewat secara mendetail. Lebih khusus, Intrusion Detection System (IDS) dapat mengirimkan alert dengan cara mengirimkan kepada network administrator. METODE PENELITIAN Metode yang dilakukan dalam penelitian ini terdiri dari: 1. Studi Kepustakaan Studi kepustakaan ini terkait dengan pencarian literatur ataupun referensi yang berhubungan dengan topik yang dibahas dalam penelitian ini, sehingga penelitian yang dilakukan sesuai dengan teori yang ada. 2. Pencarian Fakta Dalam mencari data dan fakta yang dibutuhkan, penelitian ini menggunakan beberapa teknik, yaitu: a. Teknik Wawancara Wawancara merupakan teknik umum yang biasa dilakukan untuk mendapatkan informasi yang dibutuhkan. Wawancara adalah teknik mengumpulkan informasi dari individu yang bersangkutan dengan melakukan tatap muka secara langsung kepada narasumber. Penelitian ini melakukan wawancara kepada network infrastructure di PT Triputra Agro Persada. b. Teknik Observasi Observasi adalah teknik pencarian fakta atau informasi dengan melakukan studi, mengamati, dan menganalisis objek secara langsung. Teknik ini digunakan dalam penelitian untuk menganalisis jaringan yang sedang berjalan dan merancang topologi baru yang dibahas dalam penelitian ini. HASIL DAN BAHASAN Konfigurasi Snort Setelah selesai melakukan instalasi-instalasi software dan paket-paket pendukung Intrusion Detection System, perlu dilakukan konfigurasi pada Snort. Berikut adalah konfigurasinya: 1. Membuka file /etc/snort/snort.conf 2. Merubah "var RULE_PATH../rules" menjadi "var RULE_PATH /etc/snort/rules" 3. Merubah "var SO_RULE_PATH../so_rules" menjadi "var SO_RULE_PATH /etc/snort/rules" 4. Merubah "var PREPROC_RULE_PATH../preproc_rules" menjadi "var PREPROC_RULE_PATH /etc/snort/preproc_rules" 5. Membuat bagian Reputation preprocessor menjadi comment karena file whitelist belum ada dalam Snort 6. Menemukan bagian Configure output plugins dan menambahkan baris pada akhir bagian output unified2: filename Snort.log, limit Mengetik include classification.config dan reference.config di bawah include $RULE_PATH/local.rules

3 Konfigurasi MySQL Perlu dilakukan konfigurasi pada database MySQL agar database yang berisi hasil log Snort dapat disimpan untuk pengolahan lebih lanjut. Berikut adalah konfigurasi yang dilakukan: mysql -u root -p #echo "create database Snort;" mysql -u root -p #cd /Snort_install/barnyard2-1.9 #mysql -u root -p -D Snort < schemas/create_mysql #echo "grant create, insert on root.* to mysql -u root -p mysql -u root -p #echo "grant create,insert,select,delete,update on Snort.* to mysql -u root p Konfigurasi Rules Snort Setelah melakukan instalasi dan konfigurasi Snort, langkah selanjutnya adalah melakukan konfigurasi rules. Berikut adalah konfigurasi yang dilakukan: 1. Membuka /etc/snort/rules/local.rules 2. Menambahkan rules pada local.rules alert icmp any any -> $HOME_NET any (msg: icmp test ; \ dsize:8; itype:8; sid: ;) alert udp any any -> any any (msg: test ; sid: ;) alert tcp any any -> any any (msg: test ; sid: ;) Gambar 1.1 Konfigurasi local.rules Rules di atas digunakan untuk melakukan pengujian Snort dapat berjalan dengan baik atau tidak, karena sampai saat implementasi server (Intrusion Detection System) IDS tidak ada serangan dari luar. Hal ini disebabkan karena (Intrusion Detection System) IDS diletakkan di local network. Setelah melakukan instalasi dan konfigurasi program pendukung, hasil implementasi berupa data yang diperoleh saat server ditempatkan pada local network. Berikut adalah hasil implementasi Intrusion Detection System (IDS) di PT Triputra Agro Persada:

4 Gambar 1.2 Hasil implementasi pada BASE Pada gambar di atas, dapat dilihat informasi yang ditampilkan yaitu terdapat 1 sensor, 6 jenis peringatan unik, 3 kategori, dan total peringatan yang tercatat pada BASE. Dari gambar tersebut dijelaskan Source IP Address yang digunakan sebanyak 80, Destination IP Address yang dituju sebanyak 77, Unique IP links yang tercatat sebanyak 254, Source Ports yang dipakai sebanyak 825 terdapat 98 jenis protokol TCP dan 730 jenis protokol UDP, Destination Port yang dituju 43 terdapat 31 protokol TCP dan 12 protokol UDP. Dari hasil keseluruhan sebanyak 4% menggunakan protokol TCP, 82% menggunakan protokol UDP dan 14% menggunakan protokol ICMP. Basic Analysis and Security Engine (BASE) memiliki fitur untuk menampilkan alert yang dikelompokkan dalam beberapa kategori, yaitu: Gambar 1.3 Graph Alert Data (Alert and Time) Pada gambar 1.3 dapat dilihat informasi yang ditampilkan berupa grafik yang menerangkan perbandingan antara alert dan waktu. Hasil alert akan ditampilkan dalam presentase dan waktu akan dicatat dalam kurun hari. Pada gambar tersebut dapat dilihat bahwa serangan terjadi paling banyak pada tanggal 13 Januari 2014 sebanyak 84,6%.

5 Gambar 1.4 Alert Detection Time Table Pada gambar 1.4 dapat dilihat informasi yang ditampilkan berupa tabel yang menerangkan perbandingan antara alert dan waktu. Hasil alert akan ditampilkan dalam jumlah satuan dan waktu akan dicatat dalam kurun hari. Pada gambar tersebut dapat dilihat bahwa serangan terjadi paling banyak pada tanggal 13 Januari 2014 sebanyak 9427 serangan. Gambar 1.5 Alert Log TCP Pada gambar 1.5, terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert log TCP: #0-(1-9340) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti menggunakan IPv adalah PID dari paket tersebut

6 [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. Snort Alert merupakan jenis serangan yang terjadi. [1: :0] merupakan SnortID (SID), 1 menerangkan jenis sensor yang berjalan, menerangkan jenis ID serangan yang telah diatur pada snort rules dan 0 merupakan jumlah revisi pada snort rules :13:35 merupakan tanggal dan waktu terjadinya pelanggaran keamanan :8080 merupakan source addresss dan port yang digunakan merupakan source address dan 8080 merupakan port yang digunakan merupakan port untuk https :50126 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan merupakan port yang dituju merupakan port private perusahaan TCP merupakan jenis protokol yang digunakan Gambar 1.6 Alert Log UDP Pada gambar 1.6, terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert log UDP: #0-( ) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti menggunakan IPv merupakan PID dari paket tersebut [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. Snort Alert merupakan jenis serangan yang terjadi. [1: :0] merupakan SnortID (SID), 1 menerangkan jenis sensor yang berjalan, menerangkan jenis ID serangan yang telah diatur pada snort rules dan 0 merupakan jumlah revisi pada snort rules :18:18 merupakan tanggal dan waktu terjadinya pelanggaran keamanan :137 merupakan source addresss dan port yang digunakan merupakan source address dan 137 merupakan port yang digunakan. 137 merupakan port untuk netbios :137 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan 137 merupakan port yang dituju. UDP merupakan jenis protokol yang digunakan

7 Gambar 1.7 Alert Log ICMP Pada gambar 1.7, terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert log ICMP: #0-( ) merupakan ID penanda dalam log. #0 selanjutnya akan ditulis secara ascending untuk menandakan banyak log yang telah tercatat. 1 berarti paket tersebut menggunakan IPv adalah PID dari paket tersebut [arachnids][local][snort] ICMP PING Windows merupakan jenis serangan yang terjadi. [arachnids] merupakan author yang membuat rules. [local] merupakan penanda bahwa serangan ICMP PING berasal dari local network. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort :33:28 merupakan tanggal dan waktu terjadinya pelanggaran keamanan merupakan source addresss yang digunakan merupakan destination address yang digunakan ICMP merupakan jenis protokol yang digunakan Basic Analysis and Security Engine (BASE) juga dapat mengirimkan alert kepada network administrator dalam bentuk . Berikut adalah contoh yang dikirimkan pada network administrator: Gambar 1.8 Snort Alert TCP Pada gambar 1.8 merupakan snort alert berupa yang dikirimkan kepada network administrator. Dalam alert tersebut terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert TCP: merupakan tanggal terjadinya serangan 17:57:55 merupakan jam terjadinya serangan, diterangkan sampai pada satuan detik merupakan PID (Process ID) yang sedang berjalan [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. Snort Alert merupakan jenis serangan yang terjadi. [1: :0] merupakan SnortID (SID), 1 menerangkan jenis sensor yang berjalan,

8 menerangkan jenis ID serangan yang telah diatur pada snort rules dan 0 merupakan jumlah revisi pada snort rules :8080 merupakan source addresss dan port yang digunakan merupakan source address dan 8080 merupakan port yang digunakan merupakan port untuk https :50126 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan merupakan port yang dituju merupakan port private perusahaan TCP merupakan jenis protokol yang digunakan Gambar 1.9 Snort Alert UDP Pada gambar 1.9 merupakan snort alert berupa yang dikirimkan kepada network administrator. Dalam alert tersebut terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert UDP: merupakan tanggal terjadinya serangan 17:57:38 merupakan jam terjadinya serangan, diterangkan sampai pada satuan detik merupakan PID (Process ID) yang sedang berjalan [Snort] Snort Alert [1: :0] merupakan jenis serangan yang terjadi. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort. Snort Alert merupakan jenis serangan yang terjadi. [1: :0] merupakan SnortID (SID), 1 menerangkan jenis sensor yang berjalan, menerangkan jenis ID serangan yang telah diatur pada snort rules dan 0 merupakan jumlah revisi pada snort rules :137 merupakan source addresss dan port yang digunakan merupakan source address dan 137 merupakan port yang digunakan. 137 merupakan port untuk netbios :137 merupakan destination address dan port yang digunakan merupakan destination address yang dituju dan 137 merupakan port yang dituju. UDP merupakan jenis protokol yang digunakan Gambar 1.10 Snort Alert ICMP Pada gambar 1.10 merupakan snort alert berupa yang dikirimkan kepada network administrator. Dalam alert tersebut terdapat informasi jenis pelanggaran, waktu terjadinya pelanggaran, Source Address, port yang digunakan, Destination Address, port yang dituju, serta jenis protokol yang digunakan. Berikut adalah keterangan dari hasil analisa alert ICMP: merupakan tanggal terjadinya serangan 17:57:23 merupakan jam terjadinya serangan, diterangkan sampai pada satuan detik merupakan PID (Process ID) yang sedang berjalan

9 [arachnids][local][snort] ICMP PING Windows merupakan jenis serangan yang terjadi. [arachnids] merupakan author yang membuat rules. [local] merupakan penanda bahwa serangan ICMP PING berasal dari local network. [Snort] merupakan penunjuk bahwa sistem berjalan di program Snort merupakan source addresss yang digunakan merupakan destination address yang digunakan ICMP merupakan jenis protokol yang digunakan SIMPULAN DAN SARAN Simpulan Berdasarkan hasil evaluasi implementasi Intrusion Detection System (IDS) pada PT Triputra Agro Persada, dapat ditarik beberapa kesimpulan sebagai berikut: Implementasi Intrusion Detection System (IDS) telah berjalan dengan baik dalam mengamati lalu lintas paket data dengan memberikan informasi semua paket yang lewat di setiap protokol yang ada di jaringan PT Triputra Agro Persada Informasi paket yang masuk dan keluar dari setiap port (TCP dan UDP) dicatat, sehingga memudahkan pengguna untuk mengetahui port mana saja yang traffic nya terlalu tinggi dan tidak dibutuhkan Setiap paket yang lewat dan memiliki pola yang sama dengan rules yang ada akan dianggap sebagai serangan dan ditampilkan pada BASE Rules dari Intrusion Detection System (IDS) dapat dibuat sesuai dengan kebutuhan dan keinginan dari pengguna Pengguna dapat dengan mudah mengakses Intrusion Detection System (IDS) dengan membuka melalui website menggunakan Basic Analysis and Security Engine (BASE) Intrusion Detection System (IDS) berjalan secara penuh (24jam sehari) pada jaringan dan tidak mengganggu kinerja dari sistem lainnya. Saran Berdasarkan hasil evaluasi implementasi Intrusion Detection System (IDS), ada beberapa saran yang diharapkan dapat berguna dalam meningkatkan keamanan jaringan di PT Triputra Agro Persada. Saran-saran yang dapat disampaikan antara lain: Pada saat melakukan instalasi Intrusion Detection System (IDS) harus membuat dokumentasi, agar jika dikemudian hari terjadi suatu error dan mengharuskan untuk melakukan instalasi ulang menjadi tidak sulit Pengguna harus mengetahui detail rules yang telah ada atau rules yang akan dibuat untuk mengurangi jumlah alert yang bersifat false positive REFERENSI Comer, D.E. (2004) Computer Network's and Internets with Internet Applications. 4 th Edition. New Jersey: Pearson Endorf, C., Schultz, E., dan Mellander, J. (2004). Intrusion Detection & Prevention. 1 st Edition. California: McGraw-Hill/Osborne Fadia, A. (2006). The Unoffical Guide to Ethical Hacking. 2 nd Edition. Boston: Thomson Course Technology PTR Maiwald, E. (2004). Fundamentals of Network Security. 1 st Edition. California: McGraw Hill Maiwald, E. (2004). Network Security A Beginner's Guide. 2 nd Edition. California: McGraw Hill Scott,C., Wolfe, P., dan Hayes, B. (2004). Snort for Dummies. 1 st Edition. Indiana: Wiley Publishing. Tanenbaum, A.S. (2011). Computer Networks. 5 th Edition. Boston: Pearson Education

10 RIWAYAT PENULIS Aldo Febrian lahir di Jakarta pada 25 Februari Dia menamatkan pendidikan S1 di Binus University dalam bidang Teknik Informatika peminatan jaringan komputer. Stefani Putri Sidarta lahir di Palembang pada 28 November Dia menamatkan pendidikan S1 di Binus University dalam bidang Teknik Informatika peminatan jaringan komputer. Alvin Surya Wijaya lahir di Semarang pada 7 Juni Dia menamatkan pendidikan S1 di Binus University dalam bidang Teknik Informatika peminatan jaringan komputer.