6

BAB II

TINJAUAN PUSTAKA

2.1 Aspek Dasar Keamanan Jaringan

Garfinkel mengemukakan bahwa keamanan komputer (computer security)

melingkupi empat aspek, yaitu privacy, integrity, authentication dan availability.

Selain hal tersebut, ada dua aspek yang ada kaitannya dengan electronic

commerce, yaitu access control dan non-repudiation (Budi Rahardjo, 1999).

1. Privacy atau Confidentiality

Merupakan suatu usaha unutk menjaga informasi dari orang yang tidak

memiliki hak akses. Privacy lebih kearah data-data yang sifatnya privat

sedangkan confidentiality berhubungan dengan data yang diberikan ke

pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari

pendaftaran sebuah servis). Serangan terhadap aspek privacy misalnya

adalah usaha untuk melakukan penyadapan. Usaha yang dapat dilakukan

untuk meningkatkan privacy dan confidentiality adalah dengan

menggunakan teknologi kriptografi.

2. Integrity

Aspek yang menekankan bahwa informasi atau data tidak boleh diubah

tanpa seizin pemilik informasi. Adanya virus, trojan horse atau pemakai

lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang

harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah

jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju. Dengan

kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan

enkripsi dan digital signature misalnya, dapat mengatasi masalah ini.

Contoh serangan lain adalah “man in the middle attack” dimana seseorang

menempatkan diri ditengah pembicaraan dan menyamar sebagai orang

lain.

7

3. Authentication

Aspek ini berhubungan dengan metode untuk menyatakan bahwa

informasi betul-betul asli, orang yang mengakses atau memberikan

informasi adalah betul-betul orang yang dimaksud. Dalam hal ini

pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna

yang sah, misalnya penggunakan password, keamanan biometric dan

sejenisnya.

4. Availability

Aspek ini berhubungan dengan ketersediaan informasi ketika dibutuhkan.

Sistem informasi yang diserang atau dijebol dapat menghambat atau

meniadakan askes ke informasi. Contoh hambatan adalah serangan “denial

of service attack” atau lebih dikenal dengan sebutan DoS Attack, dimana

server dikirimi permintaan (biasanya palsu) yang bertubi-tubi sehingga

tidak dapat melayani permintaan lain tau bahkan sampai down, hang,

crash.

5. Access Control

Aspek ini berhubungan dengan cara pengaturan akses kepada informasi.

Hal ini biasanya berhubungan dengan masalah authentication dan juga

privacy. Access control seringkali dilakukan dengan menggunakan

kombinasi user id, password atau dengan menggunakan mekanisme.

6. Non Repudiation

Aspek ini menjaga agar seseorang tidak dapat menyangkal telah

melakukan suatu transaksi. Sebagai contoh, seseorang yang mengirimkan

e-mail untuk memesan barang tidak dapat menyangkal bahwa dia telah

mengirimkan email tersebut. Aspek ini sangat penting dalam electronic

commerce. Penggunaan digital signature dan teknologi kriptografi secara

umum dapat menjaga aspek ini.

2.2 Dasar TCP/IP

TCP/IP (Transmission Control Protocol/ Internet Protocol) adalah standar

komunikasi data yang digunakan oleh komunitas internet dalam proses tukar-

8

menukar data dari satu komputer ke komputer lain di dalam jaringan internet.

Protokol TCP/IP dibangun mengikuti model referensi OSI (Open System

Interconnect), adapun perbandingan model referensi OSI dengan implementasi

TCP/IP dapat dilihat pada Gambar 2.1

Gambar 2.1 Perbandingan TCP/IP dengan ISO OSI model

(Sumber: Dostalek dan Kabelova, 2006)

Protokol TCP/IP memeiliki empat layer, yaitu:

1. Physical Layer (Network Interface Layer)

Pada lapisan ini, didefiniskan bagaimana penyaluran data dalam bentuk frame-

frame data pada media fisik. Media fisiknya dapat berupa ethernet, token ring,

kabel, serat optit, frame delay atau gelombang radio.

2. Network Layer (Internet Layer)

Lapisan ini bertugas unutk menjamin agar suatu paket dikirimkan dapat

menemukan tujuannya. Lapisan ini memiliki peranan penting terutama dalam

mewujudkan internetworking yang meliputi wilayah luas (worldwide internet).

Pada layer initerdapat tiga macam protocol, yaitu IP (Internet Protocol), ARP

9

(Address Resolution Protocol), ICMP (Internet Control Message Protocol).

Beberapa tugas penting pada network layer adalah :

Pengalamatan (addressing), yakni melengkapi setiap paket data dengan

alamat internet atau yang dikenal dengan internet protocol address (IP

address) sehingga jaringan TCP/IP independent dari jenis media, sistem

operasi dan komputer yang digunakan.

Routing, yakni menentukan rute kemana paket data akan dikirim agar

mencapai tujuan yang diinginkan. Router-router pada jaringan TCP/IP-lah

yang menentukan penyampaian paket data dari pengirim ke penerima.

3. Transpot Layer

Berisi protokol yang bertanggung jawab untuk mengadakan komunikasi antara

dua komputer. Kedua protokol tersebut adalah :

User Datagram Protocol (UDP), protokol process-to-process yang

menambahkan hanya alamat port, check-sum error control dan panjang

informasi data dari lapisan di atasnya.

Transmission Control Protocol (TCP), menyediakan layanan penuh lapisan

transport untuk aplikasi.

4. Application Layer

Application layerdalam TCP adalah kombinasi lapisan-lapisan session,

presentation dan application pada model OSI. Lapisan ini mendefinisikan

aplikasi-aplikasi yang dijalankan pada jaringan. Beberapa protokol yang telah

dikembangkan pada lapisan ini , yaitu:

- SMTP (Simple Mail Transfer Protocol) untuk pengirimiman electronic mail

(e-mail).

- FTP (File Tranfer Protocol) untuk transfer file.

- HTTP (Hyper Text Transfer Protocol) untuk aplikasi berbasis web atau

WWW (World Wide Web).

- NNTP (Network News Transfer Protocol) untuk distribusi news group.

10

2.2.1 IP (Internet Protocol)

IP address dibentuk oleh sekumpulan bilangan biner sepanjang 32 bit,

yang dibagi atas empat bagian. Setiap bagian panjangnya 8 bit. IP address

merupakan identifikasi setiap host pada jaringan internet sehingga tidak boleh ada

host lain (yang tergabung ke intenet) menggunakan IP address yang sama.

Dilihat dari keprluan jaringan, IP address dapat dibag menjadi dua kelompok,

yaitu private IP address dan public IP address. Private IP address digunakan

untuk jaringan lokal (LAN). Sedangakn Public IP address digunakan untuk

jaringan public (Internet).

Gambar 2.2 IP Datagram

(Sumber: Dostalek dan Kabelova, 2006)

Gambar 2.2 menunjukkan IP datagram. Umunmya header mempunyai 20

bytes. Tetapi header dapat juga berisi entries yang lebih panjang. Pada header IP

ada field berisi informasi internet address, IP address asal dan tujuan dari paket

data.

2.2.2 ICMP (Internet Control Message Protocol)

ICMP (Internet Control Message Protocol) adalah salah satu protokol

utama dari protokol internet. ICMP utamanya digunakan oleh sistem operasi

komputer jaringan untuk mengirim pesan kesalahan. Sebagai contoh, bila

komputer tujuan tidak bisa dijangkau maka ICMP akan mengirim pesan

11

“Destination unreachable”. ICMP berbeda tujuan dengan TCP dan UDP. ICMP

tidak digunakan secara langsung oleh aplikasi jaringan milik pengguna. Salah satu

pengecualian adalah aplikasi ping yang mengirim pesan ICMP Echo Request (dan

menerima Echo Reply) untuk menentukan apakah komputer tujuan dapat

dijangkau dan berapa lama paket yang dikirimkan dibalas oleh komputer tujuan.

Gambar 2.3 Paket ICMP

(Sumber: Dostalek dan Kabelova, 2006)

Gambar 2.3 menunjukkan struktur paket ICMP. Panjang header paket

ICMP selalu 8 byte. Empat byte pertama selalu memiliki arti yang sama dan isinya

dari 4 byte yang tersisa tergantung pada jenis paket ICMP. Empat byte pertama

dari header selalu berisi jenis pesan, kode pesan dan sebuah checksum 16 bit.

Format pesan tergantung pada nilai dari type field. Field code kemudian

menetapkan masalah yang sedang ditandai oleh ICMP.

2.2.3 TCP (Transmission Control Protocol)

TCP (Transmission Control Protocol) merupakan protokol yang bersifat

connection oriented karena sebelum proses transmisi data terjadi, dua aplikasi

12

TCP harus melakukan pertukaran kontrol informasi (handshaking). TCP bersifat

reliable karena menerapkan fitur deteksi kesalahan dan retransmisi apabila data

yang rusak, sehingga keutuhan data dapat terjamin.

Gambar 2.4 TCP header

(Sumber: Dostalek dan Kabelova, 2006)

Gambar 2.4 menunjukkan TCP header. Panjang TCP header adalah 20

bytes dan diikuti dengan item opsional. Item opsional terdiri dari tipe item

opsional, panjang item opsional dan nilainya.

Protokol TCP bertanggung jawab untuk mengirimkan data dari sumber ke

tujuan dengan benar. TCP dapat medeteksi kesalahan atau hilangnya data dan

melakukan pengiriman kembali sampai data diterima dengan lengkap. TCP selalu

meminta konfirmasi setiap kali data terkirim, untuk memastikan apakah data telah

sampai di tempat tujuan. Kemudian TCP akan mengirimkan data berikutnya atau

pengiriman ulang (retransmisi) apabila data sebelumnya tidak sampai atau rusak.

Data yang dikirm dan diterima kemudian diatur berdasarkan nomor urut. Protokol

TCP sangat cocok digunakan untuk koneksi yang membutuhkan kehandalan

tinggi, seperti aplikasi telnet, SSH, FTP, HTTP.

13

2.2.4 UDP (User Datagram Protocol)

UDP merupaka protokol yang bersifat connectionless, yang berarti dimana

protokol ini saat melakukan pengiriman data tidak melakukan proses

handshaking, tidak ada sequence datagram dan tidak ada jaminan bahwa paket

data (datagram) yang dikirim akan tiba dengan selamat di tujuan. UDP juda tidak

menyediakan fitur koreksi kesalahan.

UDP hanya menyediakan fasilitas multiplexing aplikasi (via nomor port)

dan deteksi kesalahan (via checksum) yang tersedia pada header dan muatan.

Deteksi kesalahan pada UDP hanya bersifat opsional. Transmisi data yang

reliable, dilakukan ditingkat aplikasi. Tidak bisa dikerjakan ditingkat protokol

UDP.

Gambar 2.5 UDP datagram header

(Sumber: Dostalek dan Kabelova, 2006)

Gambar 2.5 menunjukkan UDP headeryang berisi jumlah kedua sumber

dan port tujuan sama dengan TCP. Nomor port dari protokol UDP tidak ada

hubungannya dengan nomor port TCP. UDP menggunakan himpunan

independent nomor port. Panjang field UDP menunjukkan panjang datagram UDP

(panjang header + panjang data). Panjang minimum adalah 8 bytes, sebuah

datagram UDP hanya berisi header dan tidak ada data.

Layanan yang menggunakan UDP yaitu transmisi audio/video, seperti:

VoIP, audio/video streaming. UDP tidak cocok untuk pengiriman paket data

berukuran besar karena peluang jumlah paket yang hilang atau rusak sangat besar.

14

2.3 Intrusion Detection System (IDS)

Intrusion Detection System atau Sistem Deteksi Gangguan atau yang

dikenal dengan IDS, adalah proses pemantauan peristiwa yang terjadi dalam suatu

sistem komputer atau jaringan dan menganalisis adanya kemungkinan tanda-tanda

insiden, pelanggaran atau ancaman terhadap kebijakan keamanan komputer,

kebijakan keamanan legal atau praktek-praktek standar keamanan (Scarfone &

Mell, 2010). Insiden memiliki banyak penyebab, seperti malware (misalnya,

worm, spyware), penyerang mendapatkan akses tidak sah ke sistem dari internet,

dan pengguna resmi yang menyalahgunakan hak-hak mereka atau mencoba untuk

mendapatkan hak tambahan yang bukan kewenangan mereka. Intrusion Detection

System (IDS) memiliki beberapa kegunaan utama, dianataranya (Scarfone & Mell,

2010) :

1. Merekam informasi yang berkaitan dengan peristiwa yang diamati.

Informasi biasanya direkam secara local, dan mungkin juga dikirim ke

sistem yang terpisah, seperti server logging terpusat dan sistem

manajemen perusahaan.

2. Memberitahukan administrator akan adanya peristiwa keamanan yang

penting. Pemberitahuan ini dikenal sebagai peringatan, dapat dilakukan

melalui salah satu dari beberapa metode, seperti: e-mail, pages, pesan pada

tampilan tatap muka pengguna, Simple Network Management Protocol

(SNMP), dan pesan syslog. Sebuah pesan pemberitahuan biasanya hanya

mencakup informasi dasar tentang suatu kejadian, administrator perlu

mengakses IDS untuk mendapatkan informasi tambahan.

3. Membuat laporan. Laporan merangkum peristiwa yang dimonitor atau

memberikan rincian tentang kejadian-kejadian tertentu yang menarik.

2.4 Metode Pendeteksian Intrusion Detection System (IDS)

Teknologi Intrusion Detection System (IDS) menggunakan banyak

metodologi untuk mendeteksi adanya insiden atau gangguan. Kebanyakan

teknologi IDS menggunakan metodologi deteksi ganda, baik secara terpisah atau

terintegrasi, untuk memberikan tingkat deteksi yang lebih luas dan akurat. Metode

15

umum yang digunakan, antara lain Misuse/Signature-based Detection dan

Anomaly-based Detection (Scarfone & Mell, 2010).

2.4.1 Misuse/Signature-Based Detection

Signature adalah sebuah pola yang dibentuk sesuai dengan ancaman atau

serangan yang telah diketahui karakteristiknya. Signature-based detection adalah

proses mebandingkan signature terhadap kejadian yang diamati untuk

mengidentifikasi kemungkinan insiden. Contoh signature adalah sebagai berikut:

1. Sebuah usaha telnet dengan username “root”, yang merupakan

pelanggaran terhadap kebijakan keamanan organisasi.

2. Sebuah e-mail dengan subjek “gambar gratis!” dan nama filie lampiran

“freepics.exe”, ynang merupakn karakteristik dari bentuk yang dikenal

dari malware.

Deteksi yang bebasis signature sangant efektif dalam mendeteksi

ancaman yang telah dikenal tetapi sebagian besar tidak efektif dalam mendeteksi

ancaman yang belum diketahui sebelumnya. Sebagai contoh, jika seorang

penyerang mengubah nama malware dalam contoh sebelumnya menggunakan

nama file “freepics2.exe”, dan sistem akan mencari file dengan nama

“freepics.exe” maka file “freepics.exe” tidak akan terdeteksi.

Keunggulan dari metode pendeteksian ini adalah memiliki tingkat

akurasi yang tinggi dalam mengenali suatu ancaman yang telah dikenal.

Disamping itu terdapat kelemahannya yakni pola-pola serangan baru rentan lolos

dari pendeteksian sistem, maka untuk menanggulangi kelemahan ini, database

sistem yang berisikan informasi-informasi serangan yang telah teridentifikasi

harus terus diperbaharui.

2.4.2 Anomaly-Based Detection

Anomal-based detection adalah proses membandingkan suatu kondisi

aktivitas yang dianggap normal terhadap kejadian yang diamati untuk

mengidentifikasi adanya penyimpangan yang signifikan (Scarfone & Mell, 2010).

Sebuah IDS yang berbasis deteksi anomaly akan memiliki suatu baseline yang

dapat mewakili keadaan normal dari suatu jaringan. Baseline ini berisikan

16

informasi hal-hal seperti pengguna, host, koneksi jaringan atau aplikasi. Baseline

dikembangkan dengan memantau karakteristik suatu aktifitas tertentu selama

beberapa periode waktu. sebagai contoh, sebuah baseline pada suatu jaringan

yang menunjukkan bahwa rata-rata penggunaan bandwidth jaringan selama jam

kerja untuk aktifitas web sebesar 13%. Kemudian IDS akan menggunakan metode

statistik untuk membandingkan karakteristik kegiatan saat ini dengan threshold

(ambang batas) dari baseline, jika nilai yang diperoleh melebihi threshold dari

baseline yang ditetapkan maka sistem akan mendeteksi adanya anomali dalam

jaringan.

Keunggulan dari metode deteksi ini adalah efektif dalam mendeteksi

ancaman yang tidak diketahui sebelumnya. Misalnya, komputer terinfeksi dengan

jenis baru dari malware, namun metode ini memiliki false alarm yang cukup besar

serta diperlukannya kemampuan analisis yang baik untuk menentukan baseline

yang tepat (Scarfone & Mell, 2010).

2.4.3 Packet Header Anomaly Detector (PHAD)

Packet Header Anomaly Detector (PHAD) adalah pendekatan berbasis

anomali yang berbeda dari sistem anomali deteksi berbasisi jaringan lainnya

karena dua alasan. Pertama, memodelkan protokol daripada perilaku pengguna

karena sebagian besar serangan mengeksploitasi implementasi protokol bug dan

hanya dapat dipahami dengan mendeteksi masukan yang tidak biasa dan output.

Kedua, menggunakan model berbasis waktu, dengan asumsi perubahan cepat

dalam waktu singkat waktu dalam statistik jaringan. PHAD mengurangi tingkat

alarm palsu dengan menandai hanya anomali pertama sebagai alarm.

Untuk menerapkan pemodelan berbasis waktu untuk anomali deteksi

dengan pelatihan eksplisit dan periode uji, skor anomali dihitung dengan

menggunakan formula sebagai berikut:

T = tn / r …………………… (1)

dimana,

n = jumlah paket termasuk field atribut terkait di mana nilai abnormal dicari.

17

r = nomor nilai diterima sebagai normal (dihitung selama periode pelatihan).

t = adalah waktu sejak anomali terakhir.

Dalam hal ini, model nilai normal adalah nilai-nilai yang terlihat pada saat

pelatihan (training). Penyimpangan dari nilai-nilai ini terdeteksi pada fase

pengujian (testing).

Misalnya, kita diberi urutan pelatihan dan pengujian berikut: pelatihan

(waktu 0-20): 000000000000000111122, dan uji (waktu 21-27): 0122334. Selama

pelatihan, himpunan nilai normal {0 , 1 , 2} dicatat. Ukuran dari himpunan ini, r ,

adalah 3 dan jumlah pengamatan, n , adalah 21. Jika pengamatan dilakukan pada

interval waktu satuan mulai pada 0, maka anomali terakhir dalam pelatihan ''2"

pada waktu ke-19. Nilai-nilai ''3", ''3", dan ''4" pada waktu 25, 26, dan 27 dalam

pengujian adalah anomali karena mereka tidak ada pada training set.

- Skor anomali pertama dari ''3" adalah tn/r = (25 - 19) 21/3 = 42

- Skor anomali kedua dari ''3" adalah tn/r ( 26 - 25 ) 21/3 = 7

- Skor anomali dari ''4" adalah tn/r ( 27 - 26 ) 21/3 = 7

Skor anomali ''0", ''1" , dan ''2" adalah 0 karena nilai-nilai terjadi setidaknya sekali

dalam pelatihan. Rerata anomali dari sebuah contoh dengan lebih dari satu atribut

anomali adalah ∑tn / r, dimana penjumlahan adalah atas atribut anomali

2.4.4 Atribut yang digunakan oleh PHAD untuk deteksi anomali.

PHAD menghitung skor anomali untuk setiap paket dan tidak membuat

perbedaan antara lalu lintas masuk dan keluar. Ini model 33 atribut yang sesuai

dengan bidang header paket dengan 1-4 byte. Fields yang lebih kecil dari satu

byte (seperti TCP flags) digabungkan menjadi satu byte. Fields yang lebih besar

maka empat byte (seperti enam alamat Ethernet byte) dibagi. Atribut adalah

sebagai berikut: Ethernet header, header IP, TCP header, UDP header,

dan ICMP Header.

18

Gambar 2.6 Atribut Packet Header Anomaly Detector (PHAD)

(Sumber: Laskov)

2.5 SNORT

Martin Roesch, seorang insinyur perangkat lunak yang bekerja pada topik

keamanan komputer, mengembangkan Snort pada tahun 1990 untuk mendeteksi

serangan yang menargetkan jaringan rumahnya. Snort yang cepat, signature-

based dan open source IDS. Ini menghasilkan alarm menggunakan aturan

penyalahgunaan (misuse) yang ditetapkan sebelumnya. Menggunakan tcpdump

file berformat biner atau file teks biasa untuk menangkap paket jaringan. tcpdump

adalah sebuah program perangkat lunak yang menangkap paket jaringan dari

jaringan komputer dan menyimpannya dalam file tcpdump-formatted. Snort

merupakan berbasis aturan dan memiliki bahasa untuk mendefinisikan aturan

baru. Snort adalah sebuah proyek open-source dan memiliki pembuatan arsitektur

memungkinkan untuk mengintegrasikan fungsionalitas baru pada saat kompilasi.

Snort memiliki beberapa komponen yang tiap komponennya mempunyai

tugas masing-masing. Pada saat ada paket network yang melewati Ethernet di

tempat snort dipasang, maka ada beberapa hal yang dilalui:

1) Packet capture library (libcap)

Packet capture library akan memisahkan paket data yang melalui ethernet

card untuk selanjutnya digunakan oleh snort.

2) Packet decoder

Packet decoder mengambil data di layer 2 yang dikirim dari Packet

capture library. Pertama ia akan memisahkan data link (seperti ethernet,

19

Token Ring, 802.11) kemudian protocol IP dan selanjutnya paket TCP dan

UDP. Setelah pemisahan data selesai, Snort telah memiliki informasi

protokol yang dapat diproses lebih lanjut.

3) Preprocessor plug-ins

Selanjutnya akan dilakukan analisis, paket akan melewati sejumlah

preprocessor. Langkah ini bertujuan menyelidiki dan pengolahan paket-

paket sebelum dilewatkan ke detection engine. Setiap preprocessor lain

memeriksa paket untuk berbeda atribut dan membuat keputusan untuk

melewatkan paket ke mesin deteksi tanpa membuat modifikasi,

memodifikasi dan kemudian menyerahkannya pada detection engine atau

tidak melewatkan dan menghasilkan peringatan untuk paket.

4) Detection Engine

Merupakan jantung dari Snort. Paket yang datang dari packet decoder

akan diuji dan dibandingkan dengan rule yang telah ditetapkan

sebelumnya.

5) Output plug-ins

Output yang dihasilkan berupa report dan alert. Ada banyak variasi output

yang dihasilkan snort, seperti teks (ASCI), XML, syslog, tcpdump, binary

format atau database (MySQL, MsSQL, PostgreSQL, dsb)

Sebuah ilustrasi pengolahan paket Snort ditunjukkan pada Gambar 2.7

20

Gambar 2.7 Aliran paket pada Snort

(Sumber: Aydn et all, 2009)

2.6 Trafik Baseline

Aktivitas trafik jaringan satu dengan lainnya tentunya berbeda satu

dengan lainnnya, dimana perbedaan ini dipengaruhi oleh beberapa faktor.

Beberapa faktor dapat berpengaruh pada nilai yang dihasilkan untuk dijadikan

sebagai baseline. Beberapa faktor dapat berpengaruh pada nilai yang dihasilkan

untuk dijadikan sebagai baseline adalah (Flickenger & Team, 2007):

1. Kapasitas dari koneksi internet.

2. Jumlah pengguna yang memiliki akses ke jaringan.

3. Kebijakan social (pengisian byte, kuota, dll).

4. Jumlah, jenis dan tingkat layanan yang ditawarkan.

21

5. Kesehatan jaringan (adanya virus, broadcast yang berlebihan, routing

loops, relay buka email, dll).

6. Kompetensi pengguna komputer.

7. Lokasi dan konfigurasi struktur control (firewall, server proxy, cache,

dan lain sebagainya).

2.6.1 Membangun Baseline

Baseline adalah tindakan pengukuran dan penilaian kinerja dari jaringan

berdasarkan kondisi real-time. Untuk membangun suatu baseline dibutuhkan

adanya uji coba dan pelaporan dari konektivitas secara fisik, penggunaan jaringan

yang normal, penggunaan protokol, puncak penggunaan jaringan dan rata-rata

penggunaan troughput jaringan (Flickenger & Team, 2007). Ketika baseline telah

dibangun, adanya perubahan signifikan dari parameter baseline dapat

mengindikasikan adanya masalah atau masalah potensial yang sedang atau akan

terjadi pada jaringan, dimana situasi ini dapat mengindikasikan terdapatnya

anomaly dalam jaringan.

Misalnya, bahwa suatu jaringan menunjukkan tanda-tanda menurunnya

kinerja seperti akses internet, dan penyebabnya masih belum diketahui.

Untungnya, sistem telah dilengakapi dengan kemampuan untuk menyimpan

informasi broadcast dalam bentuk grafik sebagai persentase dari lalu lintas

jaringansecara keseluruhan. Jika grafik ini menunjukkan peningakatan mendadak

dalam jumlah lalu lintas broadcast, hal ini dapat mengindikasikan bahwa jaringan

mungkin telah terinfeksi virus. Grafik dan angka dari baseline juga berguna ketika

menganalisi efek perubahan yang dibuat pada jaringan. Percobaan dapat

dilakukan dengan melakukan perubahan pada nilai baseline dan melihat hasilnya

apakah perubahan yang dilakukan telah menyelesaikan masalah atau malah

memperburuk.

Kondisi normal dari jaringan bisa juga dilihat dari kinerja dari perangkat

jaringan seperti dengan mengamati penggunaan RAM atau CPU server sebagai

salah satu perangkat jaringan meyediakan layanan penting yang harus selalu

tersedia. Server menerima dan merespon permintaan dari mesin client. Oleh

22

karena itu, server harus memiliki kemampuan hardware yang cukup untuk

mengakomodasi beban kerja. Ini berarti harus memiliki RAM yang memadai

penyimpanan dan pengolahan kekuatan untuk mengakomodasi permintaan client.

Jika tidak, server akan memakan waktu lebih lama untuk bertindak atau kasus

terburuk, mungkin tidak mampu menanggapi sama sekali. Karena sumber daya

perangkat terbatas, adalah penting untuk menjaga melacak bagaimana sumber

sistem yang digunakan. Jika server inti (seperti proxy server atau email server)

kewalahan oleh permintaan, waktu akses menjadi lambat. Hal ini sering dirasakan

oleh pengguna sebagai masalah jaringan.

Dalam menentukan nilai baseline dari suatu jaringan komputer, hal yang

perlu diperhatikan adalah waktu dari pengambilan baseline serta kondisi jairngan

pada saat nilai baseline diambil. Waktu pengambilan inforamsi baseline akan

berpengaruh pada informasi dari kondisi jaringan yang dapat dikatakan “normal”.

Inforamsi baseline yang diperoleh pada rentang waktu jaringan yang penuh

dengan trafik jaringan dibandingkan pada saat jaringan sepi dengan data trafik,

tentunya akan menghasilkan informasi mengenai kondisi “normal” yang berbeda.

Tujuan awal dari seorang network administrator dalam membangun

baseline adalah untuk mengetahui kinerja dari jaringan serta dasar awal dalam

mengidentifikasi adanya gangguan melalui adanya perubahan atau

ketidaknormalan berdasarkan informasi baseline yang telah dibangun.

Gambar 2.8 Periodisasi baseline

Pada Gambar 2.8, meskipun sudah mempunyai informasi trafik yang dapat

dijadikan sebagai baseline, tetapi tidak menjamin baseline ini akan sesuai untuk

setiap kondisi jaringan mengingat kondisi jaringan komputer yang dinamis, maka

dari itu diperlukan suatu prosses training dan testing secara berkelanjutan. Proses

training adalah tahapan dimana pengumpulan informasi-informasi trafik jaringan,

23

kemudian informasi yang terkumpul akan dianalisis untuk mendapatkan pola dari

trafik jaringan pada rentang waktu informasi diambil. Pada proses training ini,

kemajemukan data yang diperoleh sebagai akibat dari kondisi jaringan yang

dinamis akan memberikan keberagaman informasi baseline sesuai dengan kondisi

karakteristik dari jaringan.

Proses testing adalah tahapan dimana informasi dari baseline yang telah

diperoleh pada tahap training akan diuji kriterianya. Kinerja yang dimaksud

adalah sejauh mana informasi threshold dari suatu kondisi yang dianggap illegal

dalam jaringan yang dijadikan sebagai baseline, mampu menunjukkan atau

mendeteksi informasi-informasi tersebut manakala kegiatan ilegal tersebut terjadi

pada jaringan. Terdeteksinya suatu aktivitas illegal akan ditunjukan dari

pelanggaran terhadap informasi threshold pada baseline, akan tetapi pelanggaran

ini bisa disebabkan dari aktivitas-aktivitas jaringan yang bukan seharusnya

digolongkan sebagai masalah atau ancaman, hal ini biasa terjadi disebabkan

informasi dari baseline yang belum akurat dalam mendeteksi aktivitas yang bukan

serangan pada kondisi jaringan yang dinamis.

2.6.2 Analisis Threshold

Menentukan nilai threshold merupaka suatu keharusan untuk membantu

sistem deteksi intrusi (IDS) dalam membuat suatu keputusan yang baik dalam

mengidentifikasi atau mendeteksi adanya sebuah serangan pada jaringan

(Stamford, 2002). Sangat sulit untuk menetapkan suatu nilai threshold yang tepat

untuk membedakan antara suatu aktivitas normal dan aktivitas abnormal pada

jaringan. Memilih nilai threshold yang tidak tepat akan memberikan dampak

munculnya terlalu banyak false alarm terutama untuk nilai threshold yang terlalu

rendah atau nilai threshold yang terlalu tinggi, dimana hal ini akan mengakibatkan

suatu aktivitas serangan gagal terdeteksi sebagai serangan tetapi dianggap sebagai

aktivitas normal. Bagaimanapun memilih threshold yang sesuai sangatlah penting

untuk medeteksi aktivitas serangan, khususnya serangan dengan karakteristik fast

attack.

24

2.7 Denial of Service (DoS)

Serangan Denial Of Service (Dos) bisa dideskripsikan sebagai suatu

serangan yang yang menghabisakan resource dari sebuah komputer atau jaringan

sehingga tidak mampu menyediakan pelayanan secara normal (Douligeris &

Serpanos, 2007). Dampak dari serangan DoS akan mulai terasa ketika pengguna

legal jaringan melakukan akses ke komputer atau ke sumber daya jaringan namun

terblokir atau sulit diakses dikarenakan adanya tindakan illegal yang dilakukan

oleh pengguna lain.

Target umum dari serangan DoS adalah bandwidth atau konektifitas

jaringan (Douligeris & Serpanos, 2007). Ketika targetnya adalah bandwidth dari

jaringan, penyerang akan membanjiri jaringan dengan sejumlah paket data untuk

menghabiskan ketersedian bandwidth yang ada. Sehingga pengguna legal jaringan

tidak mampu menggunakan layanan dari sistem karena kurangnya ketersediaan

bandwidth.

2.7.1 Tipe Serangan Denial of Service (DoS)

Serangan DoS dapat dikatagorikan kedalam lima katagori berdasarkan

tingkat protokol serangan, seperti yang diilustrasikan pada Gambar 2.9:

Gambar 2.9 Klasifikasi serangan Denial of Service (DoS)

(Sumber: Douligeris & Serpanos, 2007)

1. Serangan DoS pada level perangkat jaringan. Serangan yang termasuk

dalam katagori ini adalah serangan yang terjadi akibat terdapatnya celah

keamanan baik yang terdapat dalam software maupun hardware

perangkat jaringan.

2. Serangan DoS pada level sistem operasi, serangan mmemanfaatkan

protokol yang digunakan dalam sistem operasi. Contohnya serangan

25

ping-of-death yang memanfaatkan protokol Internet Control Message

Protocol (ICMP).

3. Serangan DoS pada level Application-based, menggunakan celah

keamanan (bug) yang terdapat pada suatu aplikasi untuk mencari

ketersediaan sumber daya dari sistem.

4. Serangan data flooding, penyerang akan meningkatkan penggunaan

bandwidth suatu jaringan sampai pada batas limitnya dengnan

mengirimkan sejumlah besar paket data ke dalam jaringan.

5. Serangan berdasarkan fungsi protokol, penyerang umumnya

memanfaatkan keunggulan dari suatu protokol standar jaringan, seperti

pemalsuan alamat IP ketika melakukan serangan DoS.

2.8 Indikator Performa sebuah Intrusion Detction System (IDS)

Langkah pertama dalam testing metode IDS adalah mengidentifikasi objek

performa untuk IDS tersebut. Berikut ini adalah objek-objek performa tersebut

(Puketza, 1996):

1. Kemampuan deteksi: untuk setiap serangan dalam range yang diketahui

sebagai serangan, IDS harus dapat membedakan serangan tersebut dari

perilaku normal.

2. Penggunaan Sumber Daya yang efisien: IDS harus dapat berfungsi tanpa

menggunakan terlalu banyak sistem sumber daya, seperti memori utama,

waktu komputasi dan tempat penyimpanan.