Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
33
Bab 3
Metode dan Perancangan Sistem
Pada bab ini, berisikan tentang perancangan IDS Snort dan
metode yang digunakan dalam melakukan proses investigasi
serangan. Metode yang digunakan adalah model proses forensik
(The Forensic Process Model).
Gambar 3.1 The Forensic Process Model
Berikut ini merupakan tahapan dalam The Forensic Process
Model yang menjadi dasar penelitan:
1. Tahap Collection
Pada tahap ini yang dilakukan adalah mencari bukti-bukti,
pengenalan terhadap bukti-bukti penyusupan dan pengumpulan
bukti-bukti. IDS Snort digunakan untuk mendeteksi adanya aktifitas
yang mencurigakan pada jaringan. Bukti-bukti ini diambil dari file
34
log Snort dan file access log pada Squid. Pada Snort terdapat
signature atau rule yang mengekstrak ciri dari paket data yang
melewati jaringan, sehingga jika ada paket data yang mencurigakan
dan sesuai dengan signature atau rule pada Snort, maka Snort engine
akan meng-capture dan mengirimkan pesan alert untuk disimpan ke
dalam file log.
2. Tahap Examination
Pada tahap ini meliputi pemeriksaan dan pencarian informasi-
informasi yang tersembunyi pada file log Snort dan file access log
yang sebelumnya telah dikumpulkan pada tahap collection. File log
Snort akan dipilah-pilah berdasarkan karakteristik dari sebuah
serangan. Adapun file access log akan dipilah-pilah berdasarkan
elemen-elemen penyusunnya.
3. Tahap Analysis
Pada tahap ini akan terlihat hasil pemeriksaan dan penelitian
yang dilakukan pada file log Snort dan access log sebagai
pembuktian adanya penyusupan. Tahap analysis ini, dapat
digunakan untuk menjawab pertanyaan investigasi forensik yaitu
serangan apa yang terjadi, IP siapa yang melakukan serangan, kapan
serangan itu terjadi, dimana serangan itu terjadi.
4. Tahap Reporting
Tahapan ini meliputi penulisan laporan dari tahap awal sampai
tahap akhir dalam suatu penelitian. Dimulai dari proses
pengumpulan bukti-bukti, pemeriksaan dan analisis data yang
diperoleh dari semua penyelidikan. Dari hasil analisis bukti-bukti
pada file log Snort dan access log dapat dibuat laporan dan
kesimpulan tentang serangan yang terjadi (Putri, 2012).
35
3.1 Perencanaan Topologi Jaringan
Pada tahap ini dilakukan perancangan topologi jaringan sesuai
dengan rancangan penelitian yang akan dilakukan. Perancangan
dimulai dengan melakukan skenario penyerangan terhadap sistem
IDS yang akan dibuat. Skenario penyerangan dibagi menjadi dua,
yaitu:
1. Skenario serangan SQL Injection.
2. Skenario serangan Cross Site Scripting (XSS).
Langkah selanjutnya yaitu menentukan desain topologi
jaringan. Pada Gambar 3.2 merupakan gambar rancangan jaringan
yang akan digunakan menggunakan aplikasi Edraw Max. Perangkat
jaringan yang digunakan terdiri dari sebuah PC yang akan
difungsikan sebagai Intrusion Detection System (IDS) berbasis Snort,
sebuah Router Mikrotik yang digunakan untuk menghubungkan
setiap segmen interface yang berbeda dan sebuah laptop pada
jaringan lokal yang berfungsi sebagai attacker. Router Mikrotik ini
nantinya akan dikonfigurasi port mirroring. Port mirroring
berfungsi untuk melakukan sniffing trafik dalam jaringan yaitu
dengan cara melakukan copy trafik dari interface asli (Mirror-
Source) kemudian mengarahkan trafik tersebut ke port lain (Mirror-
Target).
36
Gambar 3.2 Topologi Jaringan IDS
Gambar 3.2 menunjukkan desain topologi jaringan yang ada
dalam penelitian. Gambar 3.2 juga menjelaskan tentang skenario
penyerangan yang akan dilakukan dalam penelitian. Attacker akan
melakukan serangan SQL Injection dan Cross Site Scripting (XSS)
melalui sebuah laptop pada jaringan lokal. Selanjutnya IDS Snort
akan mendeteksi serangan tersebut sesuai dengan signature atau rule
yang sebelumnya telah dimasukan ke dalam rules Snort. Jika pola
serangan sesuai dengan signature yang ada pada Snort, maka Snort
akan menampilkan alerts dan menyimpannya pada file log.
37
3.1.1 Alur Kerja IDS
Gambar 3.3 Alur Kerja IDS
Gambar 3.3 merupakan alur kerja IDS. Dimulai dari paket data
yang memasuki interface jaringan yang sudah dikonfigurasi dalam
Snort. Paket data tersebut akan dibaca oleh Snort engine untuk
kemudian dicocokkan dengan signature yang ada dalam rules Snort.
Jika paket data tersebut sesuai dengan signature yang ada pada rules
Snort, maka Snort akan mengangap itu sebagai sebuah intruisi dan
Snort akan menyimpan alert tersebut ke file log. Namun jika paket
data tersebut bukan merupakan intruisi, maka paket data akan
diteruskan.
38
3.2 Kebutuhan Sistem
Tahap selanjutnya yaitu menentukan apa saja kebutuhan yang
diperlukan untuk membangun sistem ini. Analisis kebutuhan
dilakukan untuk menganalisa apa saja yang harus diperlukan dalam
membangun sistem tersebut supaya sistem yang dibangun sesuai
dengan yang diharapkan sehingga sistem dapat memberikan layanan
terbaik dalam mendeteksi serangan pada jaringan.
3.2.1 Spesfikasi Sistem
Pada penelitian yang dilakukan ini, membutuhkan beberapa
aspek kebutuhan yang harus dipenuhi untuk implementasi sistem.
Kebutuhan yang utama yaitu kebutuhan dari perangkat keras dan
perangkat lunak.
a) Kebutuhan Hardware
Untuk membangun sistem yang akan diimplementasikan dalam
penelitian ini, spesifikasi perangkat keras yang dibutuhkan meliputi:
1. Dua buah laptop yang akan difungsikan sebagai attacker dan
Intrusion Detection System (IDS) berbasis Snort dengan
spesifikasi sebagai berikut:
a) Laptop (IDS Snort)
Processor Intel dual Core 1.8 Ghz
Ram 2GB
Hard disk 500 GB
b) Laptop (Attacker)
Processor core i5
RAM 2 GB
39
Hard disk 500 GB
2. Sebuah router Mikrotik RB750 dengan konfigurasi port
mirroring yang memiliki spesifikasi sebagai berikut:
Processor AR7241 400MHz
RAM 32 MB
Main Storage 64 MB
LAN Ports 5
Operating System RouterOS
3. Kabel UTP untuk menghubungkan perangkat jaringan.
b) Kebutuhan Software
Disamping kebutuhan terhadap hardware, terdapat pula
software yang tentunya diperlukan dalam mendukung perancangan
jaringan dalam penelitian ini. Software yang diperlukan antara lain.
1. Operating System (OS)
Sistem operasi yang digunakan dalam penelitian ini adalah
Linux Ubuntu 12.04 LTS untuk IDS Snort, Windows 7 untuk
laptop penyerang dan Mikrotik RouterOS.
2. Winbox
Perangkat lunak yang digunakan untuk melakukan konfigurasi
pada mikrotik.
3. Wireshark
Wireshark digunakan sebagai perangkat lunak yang membantu
dalam proses capture pada interface yang melakukan proses
data.
40
4. Edraw Max
Perangkat lunak yang akan digunakan untuk mendesain
topologi jaringan dalam penelitian ini.
3.3 Konfigurasi Sistem
Pada tahapan ini akan dilakukan alur kerja sesuai dengan
persiapan sistem yang sudah dirancang dan dipersiapkan
sebelumnya untuk kemudian akan direalisasikan dalam suatu sistem
jaringan yang nyata sesuai dengan desain yang telah dibuat.
Konfigurasi sistem ini bertujuan untuk melakukan pengecekan
apabila terdapat permasalahan dalam sistem sebelum sistem
diterapkan secara nyata.
3.3.1 Konfigurasi IDS Snort
Pada tahap awal yaitu melakukan instalasi dan konfigurasi
pada mesin IDS yang akan dibuat. Tahap awal dimulai dengan
menginstal paket-paket yang dibutuhkan oleh sistem IDS. Setelah itu
dilakukan instalasi paket Snort. Selanjutnya dilakukan konfigurasi
pada Snort engine. Snort engine akan dimodifikasi sesuai dengan
kebutuhan dan spesifikasi jaringan yang akan dipindai oleh Snort.
Langkah selanjutnya adalah melakukan uji coba Snort engine, jika
berhasil maka Snort engine siap digunakan untuk mendeteksi
serangan, tetapi jika gagal kembali lagi ke proses konfigurasi Snort
engine.
Pada mesin IDS ini juga dilengkapi dengan Squid access log
yang berguna untuk merekam segala aktifitas user pada jaringan.
Konfigurasi dari Squid ini dimulai dengan menginstal Squid dan
41
paket-paket lain yang dibutuhkan. Setelah itu konfigurasi file pada
squid.conf sesuai dengan kondisi jaringan yang ada dalam penelitian.
3.3.2 Konfigurasi Dasar Router Mikrotik
Untuk membangun jaringan IDS Snort, akan dilakukan
konfigurasi pada router Mikrotik. Router Mikrotik RB750
mempunyai lima buah interface list, yang mana lima buah interface
tersebut mampu berdiri sendiri dengan membentuk lima segment
network yang berbeda. Sesuai topologi yang dibuat dalam penelitian,
tiga buah interface Mikrotik akan dibutuhkan, pertama menuju
modem ADSL (internet), kedua menuju IDS Snort, dan yang ketiga
menuju interface jaringan lokal. Selanjutnya akan dilakukan
penandaan pada interface dengan mengganti nama default ketiga
interface agar mudah dikenali.
Gambar 3.4 Interface List
Pada Gambar 3.4 terlihat pengaturan nama interface dimana
hanya tiga buah interface Mikrotik saja yang akan digunakan.
Pemberian nama interface ini memiliki penjelasan sebagai berikut:
Interface 1 dengan nama ether1-toINT yang berarti interface
tersebut menuju ke modem speedy atau menuju ke internet.
42
Interface 2 dengan nama ether2-toSnort yang berarti interface
tersebut menuju ke IDS Snort.
Interface 3 dengan nama ether3-toLAN yang berarti interface
tersebut menuju ke jaringan lokal.
Setelah pemberian nama pada setiap interface selesai,
selanjutnya dilakukan pemberian IP jaringan dengan segmen
berbeda pada setiap interface sesuai dengan fungsi masing-masing.
Gambar 3.5 Address List
Pada Gambar 3.5 merupakan konfigurasi pemberian IP
address sesuai dengan fungsi masing-masing dari setiap interface
yang berbeda. Interface ether1-toINT mempunyai IP address
192.168.1.100/24 karena mengikuti network dari modem speedy
menuju ke jaringan public. Interface ether2-toSnort yang menuju
IDS Snort memiliki IP 192.168.2.1/24. Sedangkan jaringan lokal
yang diwakili ether3-toLokal dengan IP address 192.168.0.1/24.
Selanjutnya konfigurasi default gateway dengan IP address
192.168.1.1 yang merupakan segment network pada modem ISP
speedy yang terhubung pada interface ether1-toINT Mikrotik.
Konfigurasi dapat dilihat pada Gambar 3.6 baris pertama. Pada
penelitian ini router ISP memiliki alamat 192.168.1.1 dan internet
akan diwakili dengan IP address 0.0.0.0/0.
43
Gambar 3.6 Route List
Konfigurasi firewall NAT dilakukan agar semua segmen
interface pada jaringan dapat mengakses internet. Konfigurasi
tersebut dapat dilihat pada Gambar 3.7.
Gambar 3.7 Konfigurasi NAT
Pada gambar 3.7 baris pertama dan kedua menjelaskan
konfigurasi dari firewall NAT menggunakan mode masquerade
dengan ether1-toINT sebagai gateway menuju internet. Artinya
semua paket data yang berasal dari source address 192.168.2.2 dan
192.168.0.0/24 dapat mengkases internet. Selanjutnya pada baris
ketiga, merupakan konfigurasi firewall NAT untuk membelokan
44
(redirect) semua trafik HTTP yang menuju internet ke Squid Proxy
dengan IP address 192.168.2.2 melalui port 3128.
Hal terakhir yang dilakukan adalah konfigurasi port mirroring
pada Mikrotik. Konfigurasi port mirroring ini berfungsi untuk
melakukan sniffing trafik dalam jaringan yaitu dengan melakukan
copy trafik dari interface asli (Mirror-Source) kemudian
mengarahkan trafik tersebut ke port lain (Mirror-Target).
Gambar 3.8 Konfigurasi Port Mirroring
Pada Gambar 3.8 dapat dilihat konfigurasi port mirroring.
Semua trafik dari ether3-to-LAN akan di-mirrorkan ke ether2-to-
Snort, dimana ether2-to-Snort sudah terhubung dan terpasang alat
sniffing (IDS Snort).