Selasa, 25 Mei 2021

IDS (Intrusion Detection System) menggunakan Snort

oleh:

Inka Falya Matin

18050974028

S1 Pend. Teknologi Informasi


BAB I

Pendahuluan     

 

A.    Pendahuluan

 

     Jaringan komputer merupakan sebuah kumpulan sistem yang terhubung satu sama lain untuk dapat saling berkomunikasi dalam pengiriman informasi. Sebuah jaringan komputer memiliki tingkat kompleksitas yang tinggi, karena semua terhubung kedalam jaringan tersebut. Pada saat ini teknologi informasi dan komunikasi telah mengalami perkembangan yang cukup pesat, terutama dengan adanya jaringan internet yang dapat memudahkan dalam melakukan komunikasi dengan pihak yang lain. Dengan mudahnya pengaksesan terhadap informasi tersebut menyebabkan timbulnya masalah baru yaitu

informasi atau data-data penting dapat dimanfaatkan oleh pihak yang tidak bertanggung jawab untuk mendapatkan keuntungan sendiri. Sehingga suatu sistem keamanan jaringan menjadi salah satu aspek terpenting. Keamanan jaringan komputer sebagai bagian dari sebuah sistem informasi adalah sangat penting untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak. Oleh karena itu segala bentuk upaya pertahanan diperlukan untuk mengerangi resiko masalah keamanan yang muncul pada jaringan nirkabel.

 

Salah satu upaya pertahanan yang dapat dilakukan adalah penerapan IDS (Intrusion Detection System). IDS merupakan salah satu solusi yang dapat digunakan untuk membantu pengaturan jaringan dalam memantau kondisi jaringan dan menganalisa paket-paket berbahaya yang terdapat dalam jaringan tersebut, hal ini bertujuan untuk mencegah adanya penyusup yang memasuki sistem tanpa otorisasi atau seorang user yang sah tetapi menyalahgunakan privilege sumber daya sistem.

 

 

B.     Rumusan Masalah

1.      Apa pengertian dari Intrusion detection System (IDS)?

2.      Software apa saja yang dibutuhkan dalam melakukan pertahanan menggunakan IDS?

3.      Bagaimana proses pertahanan jaringan menggunakan IDS?

 

C.     Tujuan

Tujuan yang diharapkan antara lain sebagai berikut

1.      Mengetahui pengertian dari Intrusion Detection System (IDS)

2.      Mengetahui software yang digunakan dalam melakukan pertahanan menggunakan IDS

Memahami tahapan proses proses pertahanan jaringan menggunakan IDS



BAB II

Pembahasan

 

 

A.    Pengertian IDS

 

     Intrusion Detection System (IDS) merupakan sebuah sistem yang dapat mendeteksi aktivitas yang mencurigakan pada sebuah sistem atau jaringan. Jika ditemukan aktivitas yang mencurigakan pada traffic jaringan maka IDS akan memberikan sebuah peringatan terhadap sistem atau administrator jaringan dan melakukan analisis dan mencari bukti dari percobaan penyusupan.

 

IDS merupakan sebuah aplikasi yang mampu mencatat kegiatan dalam suatu jaringan dan menganalisa paket-paket yang dikirim melalui lalu lintas jaringan secara realtime. Sistem IDS sendiri merupakan sistem sensor yang berfungsi sebagai memonitoring paket-paket yang dianggap mencurigakan dan menyimpan setiap log ke database. Tujuan dari sistesm ini yaitu mengawasi jika terjadi penetrasi ke dalam sistem, mengawasi traffic yang terjadi pada jaringan, mendeteksi anomaly terjadinya penyimpangan dari sistem yang normal atau tingkah laku user, mendeteksi signature dan membedakan pola antara signature user dengan attacker (Alamsyah, 2011).

 

 

B.     Jenis-Jenis IDS Security

1.      NIDS (Network Intrusion Detection System)

IDS berbasis jaringan ini akan ditempatkan pada suatu titik strategis dalam jaringan untuk melakukan pengawasan jalur lintasan traffic dan menganalisis apakah ada percobaan penyerangan atau penyusupan ke dalam sistem jaringan.

 

2.      HIDS (Host Intrusion Detection System)

IDS jenis ini akan menganalisis aktivitas sebuah host jaringan individual apakah terdapat percobaan penyerangan atau pengusupan ke dalam jaringan dan melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun luar hanya pada satu alat saja dan kemudian memberikan peringatan terhadap sistem atau administrator jaringan.

 

 

C.     Cara Kerja IDS Security

Ada beberapa cara IDS bekerja. Cara yang paling populer adalah seperti halnya dengan apa yang dilakukan beberapa antivirus, IDS akan melibatkan pencocokan lalu listas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan penyerang. Sama seperti antivirus, cara ini juga membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.

 

Metode selanjutnya adalah dengan mendeteksi adanya anomaly, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya metode ini menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dianalisis dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan dengan signature-based IDS yakni dapat mendeteksi bentuk serangan yang baru dan belum terdapat didalam basis data signature-based IDS. Kelemahannya, jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya pesan false positive yang muncul.

 

Metode lainnnya, dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah berkas sistem operasi, utamanya berkas log. Metode ini sering diimplementasikan dalam HIDS, selain melakukan pemindaian terhadap log sistem untuk memantau apakah ada aktivitas yang mencurigakan atau tidak.

 

                                                                    

 

D.    Kelebihan dan Kekurangan IDS

Menurut Gondohanindijo, J. (2011), IDS memiliki beberapa kelebihan dan kekurangan yang di antaranya adalah:

a.       Kelebihan IDS:

1)      Memiliki akurasi keamanan yang baik dengan melakukan pendeteksian secara realtime

2)      Memiliki cakupan yang luas dalam mengenal proses attacking dan mampu mendeteksi segala sesuatu yang mencurigakan

3)      Dapat memberikan informasi tentang ancaman yang terjadi

4)      Memiliki tingkat forensik yang canggih dan mampu menghasilkan reporting yang baik

5)      Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian.

 

b.      Kekurangan IDS:

1)      Sering terjadi alarm atau gangguan yang bersifat palsu, yaitu paket yang datang terdeteksi sebagai intrusion karena tidak sesuai dengan rule yang dibuat. Setelah diteliti ternyata hanya paket data biasa dan tidak berbahaya

2)      False positives, merupakan alert yang memberitahu adanya aktifitas yang berpotensi berupa serangan, tetapi masih ada kemungkinan bahwa aktifitas tersebut bukan sebuah serangan. Sehingga jika apabila jumlah alert banyak maka sulit untuk menyaring mana yang benar serangan atau bukan

3)      False negatives, merupakan kondisi dimana IDS tidak dapat mendeteksi adanya serangan, karena tidak mengenal signature-nya. Sehingga IDS tidak memberikan peringatan walaupun sebenarnya serangan terhadap system tersebut sedang berlangsung.

 

 

E.     Software yang digunakan

1.      Virtualbox

2.      Snort

3.      Winpcap

 

F.      Langkah-Langkah Pertahanan

Berikut ini langkah-langkah untuk melakukan pertahanan dengan menggunakan Intrusion detection System pada komputer windows 7 di virtualbox:

1. Pertama, setting IP address pada komputer virtual windows 7 



2. Kemudian  coba ping untuk uji konektivitas dengan jaringan


3. Kemudian kita mulai konfigurasi di snort.conf yang terdapat di  C:/Snort/etc

Ctrl + F. Caripvar HOME_NET any

Ganti ipvar HOME_NET any menjadi ipvar HOME_NET 192.168.137.0/24 (network address dan subnet mask)



4. Cari  var RULE_PATH
        Ganti menjadi var RULE_PATH c:\snort\rules

5. Cari dynamicpreprocessor, kemudian ganti directory menjadi seperti gambar di bawah ini
    

6. -Yang pada awalnya dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
    ganti menjadi dynamicpreprocessor directory C:\Snort\lib\snort_dynamicpreprocessor
    
    -Yang pada awalnya dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
    gantimenjadi dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll
    
    -Yang pada awalnya dynamicdetection directory /usr/local/lib/snort_dynamicrules
    ganti menjadi dynamicdetection directory C:\Snort\lib\snort_dynamicrules

7. Lalu kit abuat folder untuk snort dynamic rules pada C:/Snort/lib. Biarkan isinya kosong
    
8. Cari include classification.config lalu pagari saja keduanya. Kemudian tambahkan sintaks berikut:
    include c:\snort\etc\classification.config
    include c:\snort\etc\reference.config



9. Kemudian cari nested_ip inner, ganti nested_ip inner , \  menjadi nested_ip inner #, \
    Beri pagar pada whitelist $WHITE_LIST_PATH/white_list.rules dan blacklist $BLACK_LIST_PATH/black_list.rules
 

10. Cari preprocessor pada bagian Inline Packet Normalization, lalu beri pagar semua

11. Cari RULE_PATH, lalu pagari semua kecuali include $RULE_PATH local.rules

12. Konfigurasi snort telah selesai. Kemudian masuk ke C:/Snort/rules lalu buat file local.rules

13. Kemudian isi file dengan rule ping berikut ini
        alerticmp any any -> any any (msg:"Seseorang sedang men-ping!";sid:10000001;)




Kemudian mulai ke tahap pengetesan.
- Masuk ke cmd masuk ke directory c:/Snort/bin
- Jalankan snort dengan mengetikkan sintaks berikut ini:
    snort  -A  console  i1  -c c:\Snort\etc\snort.conf  -l c:\Snort\log  -K ascii

Jika snort dapat berjalan tanpa terjadi error, maka ketika komputer lain mencoba melakukan ping ke komputer kita, snort akan memunculkan notifikasi alert pada snort

Selesai.


BAB III

Penutup

 

A.    Kesimpulan

IDS snort mampu mendeteksi adanya serangan seperti Ping of Death dan Port Scanning, dan berbagai ancaman yang dapat membahayakan komputer melalui paket-paket yang tidak aman. Log yang dihasilkan dapat membaca suatu serangan dan penyalahgunaan jaringan sesuai dengan metode pengujiannya dengan menyeting bagian rule dari snort. Snort tidak bisa menindak lanjuti alert yang terdeteksi sebagai serangan atau penyalahgunaan jaringan karena sifatnya hanya mendeteksi. Penggunaan Pfsense adalah sebagai penindak lanjutan dari alert yang dihasilkan sehingga bisa dicegah dengan cara mem-block seperti penyalahgunaan jaringan dengan mengakses sosial media seperti facebook, youtube, twitter dan lain-lain.




Untuk lebih jelasnya silahkan simak video berikut ini:
https://youtu.be/-62xHX7iVe4

Tidak ada komentar:

Posting Komentar