Server merupakan perangkat yang telah ter-integrasi dengan spesifikasi hardware tertentu, dan software yang memiliki fungsi tertentu seperti ftp, ssh, web server. Layanan tersebut rentan akan serangan yang dapat menimbulkan kerugian. Oleh karena itu diperlukan sistem pendukung yang mampu mendeteksi sebuah aktifitas jaringan. Suricata adalah IDS yang mambu mendeteksi sebuah aktifitas jaringan dan mengidentifikasi ancaman serangan dibantu dengan rules yang ter-intergasi. Suricata memindai setiap datagram yang dikirim pada sesi TCP dan mengubah menjadi informasi dan dikirim pada pada aplikasi Snorby untuk diolah. Rules pada suricata berperan dalam mengidentifikasi serangan yang terjadi pada sebuah host

, Muhammad Kusban, S.T, M.T.

Nuryanto, Alim

UMS Digital Library - Selamat datang di UMS Digital Library

ANALISIS DAN IMPLEMENTASI SURICATA, SNORBY, DAN BARNYARD2PADAVPS UBUNTUNASKAH PUBLIKASIDisusun Oleh :Alim NuryantoMuhammad Kusban, S.T, M.TPROGRAM STUDI INFORMATIKAFAKULTAS KOMUNIKASI DAN INFORMATIKAUNIVERSITAS MUHAMMADIYAH SURAKARTA20158/3/2015 Turnitin Originality Reporthttps://turnitin.com/newreport_printview.asp?eq=0&eb=0&esm=0&oid=559232207&sid=0&n=0&m=0&svr=06&r=0.8793309098109603&lang=en_us 1/4 Similarity Index10%Internet Sources: 6%Publications: 0%Student Papers: 6%Similarity by Source123456789101112ANALISIS DAN IMPLEMENTASISURICATA, SNORBY, DAN BARNYARD2PADA VPS UBUNTU by Alim NuryantoFrom publikasi september 2015 (publikasi)Processed on 03­Aug­2015 15:37 WIBID: 559232207Word Count: 2010 Turnitin Originality Reportsources:2% match (student papers from 10­Jul­2015)Class: publikasiAssignment: Paper ID: 5549189142% match (student papers from 06­Jul­2015)Class: publikasiAssignment: Paper ID: 5542213241% match (student papers from 06­Feb­2014)Class: publikasi maret 2014Assignment: Paper ID: 3940907211% match (Internet from 23­Jun­2015)http://digilib.unpas.ac.id/files/disk1/7/jbptunpaspp­gdl­yuanharryp­331­1­bab1­­i.pdf1% match (student papers from 23­Mar­2015)Class: publikasiAssignment: Paper ID: 5194577941% match (Internet from 09­Jun­2015)http://repository.amikom.ac.id/files/Publikasi_09.11.2743.pdf1% match (Internet from 31­Dec­2014)http://news.palcomtech.com/wp­content/uploads/2013/03/ZAID_TE02032012.pdf1% match (Internet from 09­Oct­2010)http://www.darknet.org.uk/tag/intrusion­detection/1% match (Internet from 10­Jun­2012)http://repository.politekniktelkom.ac.id/Proyek%20Akhir/MI/PENGEMBANGAN%20MODUL%20REPORTING%20TREASURY%20PADA%20BACKOFFICE%20DI%20PERUM%20PEGADAIAN%20MENGGUNAKAN%20JASPER%20REPORT%20DAN%20COMPIERE.pdf< 1% match (Internet from 10­Jan­2014)http://repository.amikom.ac.id/files/Publikasi%2009.12.3598.pdf< 1% match (Internet from 03­Nov­2012)http://iko4x.com/tutorial.html< 1% match (Internet from 19­May­2014)http://www.bcasyariah.co.id/media/2011/05/Annual­Report­BCAS­2010.pdfpaper text:ANALISIS DAN IMPLEMENTASI SURICATA, SNORBY, DAN BARNYARD2 PADA VPS UBUNTU NASKAHPUBLIKASI Disusun Oleh : Alim Nuryanto3Muhammad Kusban, S.T, M.T PROGRAM STUDI INFORMATIKA FAKULTASKOMUNIKASI DAN INFORMATIKA UNIVERSITAS MUHAMMADIYAHSURAKARTA 2015 HALAMAN PENGESAHAN Publikasi ilmiah dengan judul :ANALISIS DANIMPLEMENTASI SURICATA, SNORBY, BARNYARD2 PADA VPS UBUNTU2Telah disetujui pada : Hari : ....................................................... Tanggal :........................................................ Pembimbing, (Muhammad Kusban, S.T, M.T)ANALISIS DAN IMPLEMENTASI SURICATA, SNORBY, DAN BARNYARD2PADAVPS UBUNTUAlim Nuryanto, Muhammad Kusban, S.T, M.TInformatika, Fakultas Komunikasi dan InformatikaUniversitas Muhammadiyah SurakartaE-mail : alimnurss@gmail.comABSTRAKServer merupakan perangkat yang telah ter-integrasi dengan spesifikasi hardwaretertentu, dan software yang memiliki fungsi tertentu seperti ftp, ssh, web server. Layanantersebut rentan akan serangan yang dapat menimbulkan kerugian. Oleh karena itudiperlukan sistem pendukung yang mampu mendeteksi sebuah aktifitas jaringan.Suricata adalah IDS yang mambu mendeteksi sebuah aktifitas jaringan danmengidentifikasi ancaman serangan dibantu dengan rules yang ter-intergasi. Suricatamemindai setiap datagram yang dikirim pada sesi TCP dan mengubah menjadi informasidan dikirim pada pada aplikasi Snorby untuk diolah. Rules pada suricata berperan dalammengidentifikasi serangan yang terjadi pada sebuah host.Kata kunci : Server, Suricata, Snorby, Rules, IDS1. PENDAHULUANPerkembangan teknologi informasisaat ini khususnya pada sistem jaringankomputer sangatlah cepat. Bahkansekarang semua komunikasi terutamakomunikasi data bisa dilakukan dengansistem jaringan yang telah ter-integrasi.Berkembangnya sistem jaringankomputer bukan berarti tanpa kelemahan.Server merupakan perangkat yang telahter-integrasi dengan spesifikasi hardwaretertentu, dan software yang memilikifungsi tertentu seperti web server, dnsserver, proxy server, dll. Oleh karena itu,perlu para administrator untuk lebihberhati – hati dalam mengelola server.Jika dalam pengawasan sistem jaringanterutama pada server terjadi gangguanlalu lintas data seperti, lalu lintas datapenuh yang dapat menimbulkan masalahpada sistem jaringan itu sendiri.Suricata merupakan software yangbisa digunakan untuk melakukan kegiatanNetwork IDS, IPS dan Network SecurityMonitoring engine. Suricata merupakansoftware Open Source yangdikembangkan oleh organisasi non-profitdari Open Information SecurityFoundation (OISF). Snorby danBarnyard2 adalah software yang dapatdigunakan untuk melakukan remote padasebuah server yang telah terpasang IDS,IPS dan NSM. Penggunaan VPS dapatmenggantikan dedicated server untukpenelitian dengan spesifikasi lebih rendahserta hemat biaya.2. TINJAUAN PUSTAKANetwork Information DetectionSystem (NIDS) biasa disebut dengansensor keamanan. NIDS adalah teknologihardware ataupun software yang telahterintegrasi dan berfungsi sebagaiDetection System. Dalam sebuah analogy,NIDS ditunjukkan untuk mendengarkansebuah frase kunci dari sebuah paggilandaripada melaporkan statistik panggilanitu sendiri. (Network Security Monitoring1st edition, 2009, Hal 101-102).Suricata engine merupakan opensource next generation intrusion detectionand prevention engine. Suricatamerupakan engine yang memilikikemampuan Multi threaded. Hal ini dapatdiartikan kita dapat menjalankannyasecara instan dan mengaturnya secaraseimbang dalam setiap pemrosesan sensorSuricata yang telah terkonfigurasi(Suricata-ids, 2015:1).Snorby adalah web aplikasi networksecurity monitoring antarmuka yangpopuler dengan instrusi detection system(Snort, Suricata, dan Sagan). Konsepdasar pada snorby adalah sederhana,organisasi, dan kekuatan. Tujuan besardari pembuatan snorby adalah membuataplikasi open source dan sangantkomprehentif untuk monitoring jaringanyang dapat digunakan untuk pribadimaupun pBarnyard2 adalah software opensource interpreter untuk snort unified2binary output files. Memiliki fungsiutama untuk menulis pada disk denganefektif dan meninggalkan parsing dalamberbagai format data biner dengan prosesyang terpisah tanpa meyebabkan Snortkehilangan network traffic.erusahaan.supporting vendors.3. METODE PENELITIANMetode penelitian yang digunakanoleh peneliti adalah metode penelitianeksperimental yaitu teknik penelitianyang digunakan untuk mengetahui suatukondisi sebuah sistem yangdiimplementasi setelah mendapakanpengujian yang berbeda - beda.3.1 Waktu dan TempatWaktu yang digunakan dalampenelitian ini adalah sekitar 6 bulan yaknibulan Februari 2015 sampai dengan Juli2015 yang dilakukan pada indekostNajma yang terletak di area UniversitasMuhammadiyah Surakarta.3.2 Peralatan Utama dan PendukungPeralatan UtamaNotebook dengan spesifikasi sebagaiberikut :1) Hardware :a) Processor Intel® Core™ i3 , 2.2 Ghz,b) Harddisk 465 GB.2) Software :a) Sistem Operasi Windows 7 Ultimate64-bit,b) Putty.Virtual Private Server (VPS) berjumlah 2dengan masing - masing spesifikasisebagai berikut:1) Hardware :a) Dedicated RAM :256MB,b) vSwap : 512MB,c) HDD : 25GB,d) Premium Bandwidth : 500GB,e) CPU Cores : 2 Cores,f) Public Uplink : 1000Mbps.1) Software :a) Sistem Operasi Ubuntu Server 12.0032-bit,b) SSH Server,c) Apache Web Server,d) MySQL Databases,e) Suricata,f) Barnyard2,g) Snorby.3.4. Alur PenelitianAlur penelitian digunakan untukmengetahui tahapan - tahapan daripenelitian. Berikut ini merupakan alurpenelitian berdasarkan diagram alir dantopologi jaringan server 1 dan server 2 :Gambar 3.1 Diagram AlirGambar 3.2 Topologi JaringanBerdasarkan gambar 3.1 alurpeneltian adalah mengidentifikasi sebuahmasalah dan dilanjutkan denganpenentuan tujuan dari penelitian.Selanjutanya adalah installasi dankonfigurasi sistem delanjutkan denganpengujian apablila mengalami kegagalanmaka akan dianalisa kesalah kemudianmengulangi dari installasi dan konfigurasisistem. Ketika berhasil maka akandilanjutkan dengan analisis kemudianpenyusunan laporan.Pada gambar 3.2 topologi inimenjelaskan bahwa Server 1 dan Server 2berada dalam 1 Internet Gatewaydikarenakan menggunakan VPS yangdisewa dari tempat yang sama. SedangkanPC user terhubung dengan wifi yangsudah terkoneksi dengan jaringaninternet.3.4.1 Pengujian Request Packet DataPengujian ini akan dilakukan requestpacket oleh PC client kepada Server 1dengan meminta packet data dandilakukan sebanyak 5 kali percobaandengan besar bytes yang berbeda - beda.Berikut adalah tabel percobaan requestpacket pada server 1.Tabel 3.1 Request Packet DataNo Tanggal Waktu Besar Paket1 12 Juli 2015 5.10 - 5.20 1 bytes2 12 Juli 2015 6.01 - 6.11 10 bytes3 12 Juli 2015 18.59 - 19.09 100 bytes4 13 Juli 2015 3.46 - 3.56 1000 bytes5 13 Juli 2015 15.35 - 15.45 10000 bytes3.4.2 Pengujian Menggunakan NmapPada tahapan pengujian ini penelitimenggunakan Nmap untuk melakukanscanning pada Server 1. Scanningdilakukan sebanyak 8 kali di denganperintah yang berbeda.3.4.3 Pengujian Menggunakan ToolHydraPeneliti saat ini menggunakan toolhydra yang telah ada pada sistem operasikali linux. Tools tersebut berfungsi untukmelakukan serangan brute force untukmencari user name dan password yangdigunakan untuk login pada serviceServer 1.3.4.4 Pengujian Menggunakn SqlmapSqlmap adalah tool yang bekerjamenyerang sebuah layanan web serverdengan cara menginjeksi melaluikelemahan URL pada sebuah Server.Peneliti hanya melakaukan pengujiansebanyak 1 kali dengan menggunakantool ini.3.4.5 Pengujian MenggunakanMetasploit KonsolPeneliti menggunakan salah satu toolyang cukup terkenal yaitu Metasploit.Terdapat banyak source exploit yangdapat dijalankan pada tool ini. Pengujimenggunakan 4 exploit yang berbedauntuk melakukan uji coba serangan padaServer 1 yang telah ter install aplikasiSuricata. Exploit yang digunakan olehpeneliti menyarang service ftp, ssh, danweb server.4. HASILDAN PEMBAHASANDari tahapan - tahapan yang telahdilakukan oleh peneliti dalam rangka ujicoba yang meliputi installasi, konfigurasi,dan pengujian aplikasi telah mendapatkanbeberapa hasil yang sesuai dengan yangdiharapkan oleh peneliti.4.1 Hasil PengujianDari ke 5 pengujian yang dilakukanoleh peneliti dengan menggunakan hydra,cmd, sqlmap, nmap dan metasploit konsolmenghasilkan data yang didalamnyaadalah informsai mengenai IP Header danTCP Header dari sebuah sesi TCP.Berikut ini adalah contoh data yang telahdibuat menjadi diagram :01000020000300004000050000600001 2 3 4 5 6 7 8 9 10Src.PortDataNilai FTPSSHGambar 4.1 Pengujian Hydra Src,PortTCP Header01000020000300004000050000600001 2 3 4 5 6 7 8 9 10Dst.PortDataNilai FTPSSHGambar 4.2 Pengujian Hydra Dst.PortTCP HeaderDiagram tersebut menunjukan field -field yang ada pada TCP Header yangberhasil ditanggap keberadaannya olehaplikasi Suricata dan dilaporakan keaplikasi Snorby.4.2 Pembahasan4.2.1 Analisis Kebutuhan SistemPada bagian analisis kebutuhansistem ini akan dibagi menjadi 2 bagianutama, yaitu analisis kebutuhanfungsional dan analisis kebutuhannon-fungsional.a. Analisis Kebutuhan FungsionalAnalisis kebutuhan fungsionalmenjelaskan tentang pemaparanproses - proses terjadinya pengolahanpada sistem dan fitur - fitur apa sajayang disediakan oleh sebuah sistem,serta menganalisis data apa saja yangdibutuhkan untuk pengujian padasistem aplikasi yang diimplementasi.Sistem aplikasi yang tengah diuji inimemiliki kebutuhan fungsionalsebagai berikut :1) Aplikasi Suricata yangterdapat pada Server 1mampu mendeteksisebuah aktifitas padaserver dengan caramelakukan pemindaianpada setiap fragment -fragment data,2) Aplikasi Suricata dapatmenganalisis bagian -bagian yang ada padafragment data seperti IPHeader, TCP Header,dan ICMP Header.3) Aplikasi Barnyard2 inimampu menghubungkanantar server danmelakukan pengirimanevent, ip headerinformation, tcp headerinformation, dan icmpheader informationkepada aplikasi Snorbyyang terkonfigurasipada Server 2,4) Aplikasi Snorby yangada pada Server 2memiliki memilikitampilan GUI sehinggamemudahkan user.b. Analisis Kebutuhan Non -FungsionalAnalisis Kebutuhan non -fungsional merupakan bagian yangakan membantu selesainya sebuahpenelitian. Pada analisis ini akandibedakan menjadi 2 bagian pentingyaitu :1) Analisis KebutuhanPerangkat KerasMerupakan analisisuntuk mengetahui kebutuhanperangkat keras yang akandigunakan untukmenjalankan aplikasi.Perangkat keras harusmemiliki spesifikasiminimum agar aplikasi dapatberjalan dengan baik.Perangkat keras yangdigunakan memilikiprocessor minimal pentium 3dengan kebutuhankebutuhan mediapenyimpanan 20 Giga bytesserta dedicated RAM sebesar256 Mega bytes.2) Analisis KebutuhanPerangkat LunakPerangkat lunak adalah program yangdigunakan untuk menjalankan danmemberikan perintah pada perangkatkeras komputer. Dengan adanyaperangkat lunak perangkat keras yang adapada sebuah komputer dapat berjalansesuai dengan yang diinginkan. Agaraplikasi dapat berjalan maka diperlukanperangkat lunak minimal perangkat lunakyang ada adalah mysql dan apache2.4.2.2 Analisis Pengujian RequestPacket Data Pada Server 1Suricata dapat melakukanpemindaian pada segmen - segmen ICMPyang terjadi pada server 1. Aktifitastersebut kemudian disaring danditentukan oleh rule yang terkonfigurasipada Server 1. Pada field Total Length IPHeader ditemukan perbedaan nilai yaitu,29, 128, 1028, ini dikarenakan perbedaanpermintaan paket yang dikirim oleh hostke client.4.2.3 Analisis Pengujian ScanningMenggunakan Nmap Pada Server 1Suricata menangkap setiap transmisi yangterjadi pada sesi TCP. Semua aktifitasyang terjadi pada sesi TCP dipindai dandikelompokkan oleh suricata sebagaigangguan. Hal ini terjadi karena suricataberhasil membuktikan bahwa dia dapatmengindikasi serangan dengan melihatbesarnya field - field dalam sesi TCP.4.2.4 Analisis Pengujian Tool HydraTanda yang diidentifikasi sebagaiserangan pada uji coba menggunakanTool Hydra adalah besar payload padasetiap data yang dimasukkan pada sesiTCP.4.2.5 Analisis Pengujian MenggunakanTool SqlmapTanda yang diidentifikasi sebagaiserangan pada uji coba menggunakanTool Sqlmap adalah pada payload yangdikirim pada sesi TCP. Payload yangdikirim pada sesi TCP ini mengandungpermintaan konten sebuah URL yangdianggap oleh rule sebagai serangan padaServer 1.4.2.6 Analisis Pengujian MenggunakanMetasploit KonsolPercobaan pengujian menggunakanMetasploit Konsol suricata berhasilmenangkap sesi pengiriman data. Suricatamengindikasi serangan dari source exploitdan payload yang dikirim oleh metasploitkonsol seperti pada pengujianmenggunakan Tool Sqlmap dan ToolHydra.5. PENUTUP5. 1 KesimpulanDari hasil data pengujian danpembahasan dapat ditarik kesimpulanbahwa :1. Aplikasi Suricata yang bekerjapada Server 1 mengidentifikasiserangan dengan membaca setiapdatagram yang dikirim pada sesiTCP,2. Datagram tersebut tidak dapatditentukan sebagai tindakanserangan tanpa adanya rulesyang mendukung untukmengidentifikasi,3. Serangan diidentifikasi denganmelihat besarnya field - fieldpada TCP Header seperti fieldflags dan window,4. Serangan juga diidentifikasi padapayload yang dikirim melaluisesi TCP seperti percobaan loginpada service FTP yang gagalsecara terus menerus.5. Aplikasi Snorby yang terinstallpada Server 2 dapat memberikanlaporan yang sesuai dengankeadaan Server 1,5.2 SaranDari hasil penulisan skripsi inipastinya memiliki beberapa kekuranganyang kemungkinan dapat disempurnakanpada penelitian lain. Berikut saran yangdapat digunakan sebagai evaluasi :1. Melakukan pengujian yangmelibatkan serangan sepertiDDOS ataupun memasukkanvirus,Mencoba menggunakan fungsi IPS yangterdapat pada aplikasi suricata danmelakukan beberapa pengaturan padarules untuk mencegah serangan.DAFTAR PUSTAKAKusmayadi, Ismail. 2008. “Think Smart Bahasa Indonesia”. Bandung : GrafindoMedia Pratama.Javvin, 2005. Network Protocols Handbook 2nd Edition. USA : Saratoga.Snyder, Garth dkk. 2007. Linux Administration Handbook 2nd Edition. USA :Pearson Education, Inc.Wikipedia. (2014). Putty. diakses dari : http://en.wikipedia.org/wiki/PuTTY(Tanggal 18 September 2014)Fry, Chris dkk. 2009. Network Security Monitoring. USA : O’Reilly Media, Inc.OISF, 2015. “Suricata Documentation”. Diakses dari :https://redmine.openinfosecfoundation.org/projects/suricata/wiki (Tanggal 4Juni 2015)Wikipedia. (2014). Payload (Computing). diakses dari :https://en.wikipedia.org/wiki/Payload_(computing) (Tanggal 21 Juli 2015)Wikipedia. (2014). “Protokol Internet”. diiakses dari :https://id.wikipedia.org/wiki/Protokol_Internet (Tanggal 21 Juli 2015)Wikipedia. (2014). Transmission Control Protocol. diakses dari :https://id.wikipedia.org/wiki/Transmission_Control_Protocol (Tanggal 21 Juli2015)

Implementasi Dan Analisis Suricata, Snorby, Dan Barnyard2 Pada Vps Ubuntu

http://eprints.ums.ac.id/36497/1/NASKAH%20PUBLIKASI.pdf

Implementasi Dan Analisis Suricata, Snorby, Dan Barnyard2 Pada Vps Ubuntu

Abstract

Similar works

Full text

Available Versions

UMS Digital Library - Selamat datang di UMS Digital Library