33

Bab 3

Metode dan Perancangan Sistem

Pada bab ini, berisikan tentang perancangan IDS Snort dan

metode yang digunakan dalam melakukan proses investigasi

serangan. Metode yang digunakan adalah model proses forensik

(The Forensic Process Model).

Gambar 3.1 The Forensic Process Model

Berikut ini merupakan tahapan dalam The Forensic Process

Model yang menjadi dasar penelitan:

1. Tahap Collection

Pada tahap ini yang dilakukan adalah mencari bukti-bukti,

pengenalan terhadap bukti-bukti penyusupan dan pengumpulan

bukti-bukti. IDS Snort digunakan untuk mendeteksi adanya aktifitas

yang mencurigakan pada jaringan. Bukti-bukti ini diambil dari file

34

log Snort dan file access log pada Squid. Pada Snort terdapat

signature atau rule yang mengekstrak ciri dari paket data yang

melewati jaringan, sehingga jika ada paket data yang mencurigakan

dan sesuai dengan signature atau rule pada Snort, maka Snort engine

akan meng-capture dan mengirimkan pesan alert untuk disimpan ke

dalam file log.

2. Tahap Examination

Pada tahap ini meliputi pemeriksaan dan pencarian informasi-

informasi yang tersembunyi pada file log Snort dan file access log

yang sebelumnya telah dikumpulkan pada tahap collection. File log

Snort akan dipilah-pilah berdasarkan karakteristik dari sebuah

serangan. Adapun file access log akan dipilah-pilah berdasarkan

elemen-elemen penyusunnya.

3. Tahap Analysis

Pada tahap ini akan terlihat hasil pemeriksaan dan penelitian

yang dilakukan pada file log Snort dan access log sebagai

pembuktian adanya penyusupan. Tahap analysis ini, dapat

digunakan untuk menjawab pertanyaan investigasi forensik yaitu

serangan apa yang terjadi, IP siapa yang melakukan serangan, kapan

serangan itu terjadi, dimana serangan itu terjadi.

4. Tahap Reporting

Tahapan ini meliputi penulisan laporan dari tahap awal sampai

tahap akhir dalam suatu penelitian. Dimulai dari proses

pengumpulan bukti-bukti, pemeriksaan dan analisis data yang

diperoleh dari semua penyelidikan. Dari hasil analisis bukti-bukti

pada file log Snort dan access log dapat dibuat laporan dan

kesimpulan tentang serangan yang terjadi (Putri, 2012).

35

3.1 Perencanaan Topologi Jaringan

Pada tahap ini dilakukan perancangan topologi jaringan sesuai

dengan rancangan penelitian yang akan dilakukan. Perancangan

dimulai dengan melakukan skenario penyerangan terhadap sistem

IDS yang akan dibuat. Skenario penyerangan dibagi menjadi dua,

yaitu:

1. Skenario serangan SQL Injection.

2. Skenario serangan Cross Site Scripting (XSS).

Langkah selanjutnya yaitu menentukan desain topologi

jaringan. Pada Gambar 3.2 merupakan gambar rancangan jaringan

yang akan digunakan menggunakan aplikasi Edraw Max. Perangkat

jaringan yang digunakan terdiri dari sebuah PC yang akan

difungsikan sebagai Intrusion Detection System (IDS) berbasis Snort,

sebuah Router Mikrotik yang digunakan untuk menghubungkan

setiap segmen interface yang berbeda dan sebuah laptop pada

jaringan lokal yang berfungsi sebagai attacker. Router Mikrotik ini

nantinya akan dikonfigurasi port mirroring. Port mirroring

berfungsi untuk melakukan sniffing trafik dalam jaringan yaitu

dengan cara melakukan copy trafik dari interface asli (Mirror-

Source) kemudian mengarahkan trafik tersebut ke port lain (Mirror-

Target).

36

Gambar 3.2 Topologi Jaringan IDS

Gambar 3.2 menunjukkan desain topologi jaringan yang ada

dalam penelitian. Gambar 3.2 juga menjelaskan tentang skenario

penyerangan yang akan dilakukan dalam penelitian. Attacker akan

melakukan serangan SQL Injection dan Cross Site Scripting (XSS)

melalui sebuah laptop pada jaringan lokal. Selanjutnya IDS Snort

akan mendeteksi serangan tersebut sesuai dengan signature atau rule

yang sebelumnya telah dimasukan ke dalam rules Snort. Jika pola

serangan sesuai dengan signature yang ada pada Snort, maka Snort

akan menampilkan alerts dan menyimpannya pada file log.

37

3.1.1 Alur Kerja IDS

Gambar 3.3 Alur Kerja IDS

Gambar 3.3 merupakan alur kerja IDS. Dimulai dari paket data

yang memasuki interface jaringan yang sudah dikonfigurasi dalam

Snort. Paket data tersebut akan dibaca oleh Snort engine untuk

kemudian dicocokkan dengan signature yang ada dalam rules Snort.

Jika paket data tersebut sesuai dengan signature yang ada pada rules

Snort, maka Snort akan mengangap itu sebagai sebuah intruisi dan

Snort akan menyimpan alert tersebut ke file log. Namun jika paket

data tersebut bukan merupakan intruisi, maka paket data akan

diteruskan.

38

3.2 Kebutuhan Sistem

Tahap selanjutnya yaitu menentukan apa saja kebutuhan yang

diperlukan untuk membangun sistem ini. Analisis kebutuhan

dilakukan untuk menganalisa apa saja yang harus diperlukan dalam

membangun sistem tersebut supaya sistem yang dibangun sesuai

dengan yang diharapkan sehingga sistem dapat memberikan layanan

terbaik dalam mendeteksi serangan pada jaringan.

3.2.1 Spesfikasi Sistem

Pada penelitian yang dilakukan ini, membutuhkan beberapa

aspek kebutuhan yang harus dipenuhi untuk implementasi sistem.

Kebutuhan yang utama yaitu kebutuhan dari perangkat keras dan

perangkat lunak.

a) Kebutuhan Hardware

Untuk membangun sistem yang akan diimplementasikan dalam

penelitian ini, spesifikasi perangkat keras yang dibutuhkan meliputi:

1. Dua buah laptop yang akan difungsikan sebagai attacker dan

Intrusion Detection System (IDS) berbasis Snort dengan

spesifikasi sebagai berikut:

a) Laptop (IDS Snort)

Processor Intel dual Core 1.8 Ghz

Ram 2GB

Hard disk 500 GB

b) Laptop (Attacker)

Processor core i5

RAM 2 GB

39

Hard disk 500 GB

2. Sebuah router Mikrotik RB750 dengan konfigurasi port

mirroring yang memiliki spesifikasi sebagai berikut:

Processor AR7241 400MHz

RAM 32 MB

Main Storage 64 MB

LAN Ports 5

Operating System RouterOS

3. Kabel UTP untuk menghubungkan perangkat jaringan.

b) Kebutuhan Software

Disamping kebutuhan terhadap hardware, terdapat pula

software yang tentunya diperlukan dalam mendukung perancangan

jaringan dalam penelitian ini. Software yang diperlukan antara lain.

1. Operating System (OS)

Sistem operasi yang digunakan dalam penelitian ini adalah

Linux Ubuntu 12.04 LTS untuk IDS Snort, Windows 7 untuk

laptop penyerang dan Mikrotik RouterOS.

2. Winbox

Perangkat lunak yang digunakan untuk melakukan konfigurasi

pada mikrotik.

3. Wireshark

Wireshark digunakan sebagai perangkat lunak yang membantu

dalam proses capture pada interface yang melakukan proses

data.

40

4. Edraw Max

Perangkat lunak yang akan digunakan untuk mendesain

topologi jaringan dalam penelitian ini.

3.3 Konfigurasi Sistem

Pada tahapan ini akan dilakukan alur kerja sesuai dengan

persiapan sistem yang sudah dirancang dan dipersiapkan

sebelumnya untuk kemudian akan direalisasikan dalam suatu sistem

jaringan yang nyata sesuai dengan desain yang telah dibuat.

Konfigurasi sistem ini bertujuan untuk melakukan pengecekan

apabila terdapat permasalahan dalam sistem sebelum sistem

diterapkan secara nyata.

3.3.1 Konfigurasi IDS Snort

Pada tahap awal yaitu melakukan instalasi dan konfigurasi

pada mesin IDS yang akan dibuat. Tahap awal dimulai dengan

menginstal paket-paket yang dibutuhkan oleh sistem IDS. Setelah itu

dilakukan instalasi paket Snort. Selanjutnya dilakukan konfigurasi

pada Snort engine. Snort engine akan dimodifikasi sesuai dengan

kebutuhan dan spesifikasi jaringan yang akan dipindai oleh Snort.

Langkah selanjutnya adalah melakukan uji coba Snort engine, jika

berhasil maka Snort engine siap digunakan untuk mendeteksi

serangan, tetapi jika gagal kembali lagi ke proses konfigurasi Snort

engine.

Pada mesin IDS ini juga dilengkapi dengan Squid access log

yang berguna untuk merekam segala aktifitas user pada jaringan.

Konfigurasi dari Squid ini dimulai dengan menginstal Squid dan

41

paket-paket lain yang dibutuhkan. Setelah itu konfigurasi file pada

squid.conf sesuai dengan kondisi jaringan yang ada dalam penelitian.

3.3.2 Konfigurasi Dasar Router Mikrotik

Untuk membangun jaringan IDS Snort, akan dilakukan

konfigurasi pada router Mikrotik. Router Mikrotik RB750

mempunyai lima buah interface list, yang mana lima buah interface

tersebut mampu berdiri sendiri dengan membentuk lima segment

network yang berbeda. Sesuai topologi yang dibuat dalam penelitian,

tiga buah interface Mikrotik akan dibutuhkan, pertama menuju

modem ADSL (internet), kedua menuju IDS Snort, dan yang ketiga

menuju interface jaringan lokal. Selanjutnya akan dilakukan

penandaan pada interface dengan mengganti nama default ketiga

interface agar mudah dikenali.

Gambar 3.4 Interface List

Pada Gambar 3.4 terlihat pengaturan nama interface dimana

hanya tiga buah interface Mikrotik saja yang akan digunakan.

Pemberian nama interface ini memiliki penjelasan sebagai berikut:

Interface 1 dengan nama ether1-toINT yang berarti interface

tersebut menuju ke modem speedy atau menuju ke internet.

42

Interface 2 dengan nama ether2-toSnort yang berarti interface

tersebut menuju ke IDS Snort.

Interface 3 dengan nama ether3-toLAN yang berarti interface

tersebut menuju ke jaringan lokal.

Setelah pemberian nama pada setiap interface selesai,

selanjutnya dilakukan pemberian IP jaringan dengan segmen

berbeda pada setiap interface sesuai dengan fungsi masing-masing.

Gambar 3.5 Address List

Pada Gambar 3.5 merupakan konfigurasi pemberian IP

address sesuai dengan fungsi masing-masing dari setiap interface

yang berbeda. Interface ether1-toINT mempunyai IP address

192.168.1.100/24 karena mengikuti network dari modem speedy

menuju ke jaringan public. Interface ether2-toSnort yang menuju

IDS Snort memiliki IP 192.168.2.1/24. Sedangkan jaringan lokal

yang diwakili ether3-toLokal dengan IP address 192.168.0.1/24.

Selanjutnya konfigurasi default gateway dengan IP address

192.168.1.1 yang merupakan segment network pada modem ISP

speedy yang terhubung pada interface ether1-toINT Mikrotik.

Konfigurasi dapat dilihat pada Gambar 3.6 baris pertama. Pada

penelitian ini router ISP memiliki alamat 192.168.1.1 dan internet

akan diwakili dengan IP address 0.0.0.0/0.

43

Gambar 3.6 Route List

Konfigurasi firewall NAT dilakukan agar semua segmen

interface pada jaringan dapat mengakses internet. Konfigurasi

tersebut dapat dilihat pada Gambar 3.7.

Gambar 3.7 Konfigurasi NAT

Pada gambar 3.7 baris pertama dan kedua menjelaskan

konfigurasi dari firewall NAT menggunakan mode masquerade

dengan ether1-toINT sebagai gateway menuju internet. Artinya

semua paket data yang berasal dari source address 192.168.2.2 dan

192.168.0.0/24 dapat mengkases internet. Selanjutnya pada baris

ketiga, merupakan konfigurasi firewall NAT untuk membelokan

44

(redirect) semua trafik HTTP yang menuju internet ke Squid Proxy

dengan IP address 192.168.2.2 melalui port 3128.

Hal terakhir yang dilakukan adalah konfigurasi port mirroring

pada Mikrotik. Konfigurasi port mirroring ini berfungsi untuk

melakukan sniffing trafik dalam jaringan yaitu dengan melakukan

copy trafik dari interface asli (Mirror-Source) kemudian

mengarahkan trafik tersebut ke port lain (Mirror-Target).

Gambar 3.8 Konfigurasi Port Mirroring

Pada Gambar 3.8 dapat dilihat konfigurasi port mirroring.

Semua trafik dari ether3-to-LAN akan di-mirrorkan ke ether2-to-

Snort, dimana ether2-to-Snort sudah terhubung dan terpasang alat

sniffing (IDS Snort).