Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-16-1

ANALISA PERFORMANSI IMPLEMENTASI INTRUSIONDETECTION SYSTEM BERBASIS SNORT, HONEYPOT HONEYD

DAN HONEYPOT HONEYNET PADA ”PT X” DI SURABAYA

Milano Hardi Prasetyo, Febriliyan SamopaBidang Keahlian Teknologi Informasi, MMT -ITS

Email: milanoprazt@gmail.com

ABSTRAK

Pada era global ini, keamanan sistem informasi berbasis Internet harus sangatdiperhatikan, karena jaringan komputer Internet yang sifatnya publik dan global padadasarnya tidak aman. Pada saat data terkirim dari suatu terminal asal menuju ke terminaltujuan dalam Internet, data itu akan melewati sejumlah terminal yang lain yang berartiakan memberi kesempatan pada user Internet yang lain untuk menyadap atau mengubahdata tersebut. Sistem keamanan jaringan komputer adalah bagaimana mencegah danmeghentikan berbagai potensi serangan agar tidak memasuki dan menyebar padanetwork kita.

Beberapa potensi serangan tersebut antara lain adalah Virus,Worm dan TrojanHorse, Spyware dan Adware, Zero day attack, Hacker Attack, Denial of Service Attack(DoS) dan Identity Theft. Potensi Serangan diatas dapat memberikan beberapa potensiancaman bagi perisahaan yaitu antara lain adanya akses tidak terotorisasi pada informasidata perusahaan dimana hal ini terjadi karena lemahnya sistem keamanan jaringankomputer perusahaan dan adanya kesalahan sistem atau kerusakan sistem komputerperusahaan karena adanya serangan dari Hacker.

Untuk menanggapi persoalan tersebut maka dalam penelitian ini akan diprototyping kan salah satu solusi berbiaya rendah yaitu penggunaan Open Sourcesoftware Snort Intrusion Detection, Sebagai pelengkap implementasi IDS diperusahaanditawarkan pula suatu solusi untuk mencegah adanya serangan yaitu denganmengimplementasikan Honeypot. Tujuan akhir dari penelitian ini adalah memberikansuatu rekomendasi dari hasil analisa fungsionalitas IDS dan Honeypot yang disesuaikandengan Resource pada ”PT X” dan mengetahui performansi setelah dilakukan uji intrusipada software Snort Intrusion Detection dan honeypot baik honeyd dan honeynet.

Hasil dari penelitian didapatkan bahwa IDS Snort mampu memberikanperingatan atas terjadinya serangan dengan cukup baik dan akan lebih baik lagi jikadikombinasikan dengan low interaction dan high interaction honeypot sebab honeypotselain mampu memberikan alerting yang lebih baik honeypot mampu mempelajari apayang dilakukan oleh penyerang.

Kata kunci: Intrusion Detection System, Keamanan Jaringan, Snort IDS, HoneypotHoneyd, Honeypot Honeynet

PENDAHULUAN

Latar Belakang

Network Security berkaitan dengan segala aktifitas yang dilakukan untukmengamankan Network, khususnya untuk melindungi usability, reliability, integrity dansafety dari network dan data [1]. Network security adalah bagaimana mencegah dan

Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-17-2

meghentikan berbagai potensi serangan agar tidak memasuki dan menyebar padanetwork kita. Intrusion atau serangan itu sendiri dapat diartikan sebagai "the act ofthrusting in, or of entering into a place or state without invitation, right, or welcome,this unauthorized access, or intrusion, is an attempt to compromise,or otherwise doharm, to other network device" [2]. Beberapa potensi serangan tersebut antara lainadalah :

a. Virus,Worm dan Trojan Horseb. Spyware dan Adwarec. Zero day attackd. Hacker Attacke. Denial of Service Attack (DoS)f. Identity Theft

Potensi serangan di atas dapat memberikan beberapa potensi ancaman bagiperusahaan yaitu antara lain adanya akses tidak terotorisasi pada informasi dataperusahaan dimana hal ini terjadi karena lemahnya sistem keamanan jaringan komputerperusahaan dan adanya kesalahan sistem atau kerusakan sistem komputer perusahaankarena adanya serangan dari hacker. Untuk mengatasi beberapa hal tersebut diatas makaperlu dicari solusi preventif untuk melindungi jaringan TI perusahaan sebelum haltersebut terjadi, salah satu solusi yang dapat digunakan adalah menerapkan suatu sistemdeteksi serangan (Intrusion detection system) pada Jaringan IT perusahaan. Intrusiondetection system adalah "Detecting unauthorized use of or attack upon system ornetwork. An IDS is designed and used to detect such attack or unauthorized use ofsystem, network, and related resources and then in many cases to deflect or deter themif possible" [2].

Perusahaan X adalah suatu perusahaan manufaktur berskala nasional yangmemiliki beberapa cabang di seluruh Indonesia, Keamanan Jaringan adalah suatu halyang bersifat mutlak diperlukan untuk mendukung aktivitas operasionalnya namun saatini Perusahaan belum menggunakan IDS untuk keamanan jaringannya.

Salah satu solusi berbiaya rendah yang dapat yang dapat diberikan bagiperusahaan adalah penggunaan Open source software sebagai alat yang dapatdimanfaatkan oleh perusahaan dalam usahanya untuk membangun suatu proseskeamanan Jaringan TI. Open source software adalah software yang dapat diunduhsecara gratis di Internet. Software open source yang dapat dimanfaatkan adalah SnortIntrusion Detection.

Snort adalah "Network IDS, Most famous for being a full fledged open sourcenetwork based intrusion detection system, snort is also a feature rich packet sniffer anduseful packet logger, Snort beefiness comes from its intrusion detection capabilities thatmatch content against intrusion rules" [2]. Snort adalah salah satu open source palingpopuler karena tidak membutuhkan persyaratan yang rumit jika digunakan, bisa bekerjapada berbagai tipe server dan dapat menggunakan berbagai variasi operating system.Secara umum dalam penelitian ini Snort digunakan sebagai alat preventif untukmencegah adanya potensi serangan dalam jaringan TI perusahaan.

Sebagai pelengkap implementasi IDS diperusahaan ditawarkan pula suatu solusiuntuk mencegah adanya serangan yaitu dengan mengimplementasikan Honeypot.Honeypot adalah sumber daya sistem informasi yang meniru server atau workstationyang digunakan dalam lingkungan produksi dimana tujuannya adalah untukdikompromikan untuk dieksploitasi [12]. Kinerja NIDS yang telah ada pada saat inidianggap belum dapat memenuhi kebutuhan akan kemampuan pendeteksian terhadapsebuah intrusi yang bersifat Zero-Day atau intrusi yang belum pernah diketahui

Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-17-3

sebelumnya dan tidak tercantum dalam signature NIDS. Dengan mengimplementasikanhoneypot dalam arsitektur IDS, pola-pola intrusi baru dapat ditangkap dan dipelajariuntuk kemudian diintegrasikan dengan NIDS melalui signature.

Perumusan Masalah

Masalah yang dapat dirumuskan dalam proposal ini yaitu antara laina. Bagaimana menyusun suatu prototyping intrusion detection system dengan

menggunakan open source software Snort yang dikombinasikan dengan lowinteraction honeypot honeyd dan high interaction honeypot honeynet yangdisesuaikan dengan resource pada “PT X” ?

b. Bagaimana hasil pengukuran performansi prototyping intrusion detection systemopen source software Snort yang dikombinasikan dengan low interaction honeypothoneyd dan high interaction honeypot honeynet yang disesuaikan dengan resourcepada “PT X” ?

METODOLOGI PENELITIAN

Metodologi yang dilakukan dalam penelitian ini adalah sebagai berikut :1. Studi Pustaka dan Literatur

Pada tahap ini penulis akan mempelajari hasil penelitian terdahulu dan jugamempelajari cara kerja Snort dan menyesuaikannya dengan Lingkungan JaringanKomputer perusahaan, selain itu disini akan dijelaskan pula alternatif intrusiondetection system selain Snort.

2. Desain perangkat keras dan perangkat lunakPada tahap ini akan dilakukan perancangan arsitektur jaringan dan implementperangkat keras pendukung dan konfigurasi perangkat lunak Snort, Honeyd danHoneynet.

3. Implementasi IDS Snort, low interaction honeypot honeyd dan high interactionhoneypot honeynet.Pada tahap ini testing atas implementasi rancangan sistem yang telah dibuat.Tahapan ini merealisasikan apa yang terdapat pada tahapan sebelumnya menjadisebuah aplikasi yang sesuai dengan apa yang direncanakan.

4. Evaluasi dan pengukuran Kinerja IDS snort, low interaction honeypot honeyd danhigh interaction honeypot honeynet.Akan dijalankan melalui 2 hal yaitua. Dilakukan tes fungsional atas instalasi prototype Snort, low interaction

honeypot honeyd dan high interaction honeypot honeynetb. Dilakukan tes performansi intrusi atas prototype Snort yang di optimalisasi

dengan low interaction honeypot honeyd dan high interaction honeypothoneynet.

5. Rekomendasi penggunaan resource sistem sesuai dengan kebutuhan perusahaanPada tahap ini akan berikan rekomendasi sumberdaya yang nantinya dibutuhkanperusahaan sesuai dengan hasil uji performansi IDS Snort dan Honeyd yangmengacu pada tahapan sebelumnya. Rekomendasi mengacu pada sumber daya yangdimiliki perusahaan saat ini dan akan diberikan masukan mengenai sumber dayatambahan apa yang dibutuhkan oleh perusahaan jika mengimplementasikan sistemini.

Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-17-4

IDS SNORT

Menurut pengertiannya IDS adalah sekumpulan teknik, dan metode yangdigunakan untuk mendeteksi aktivitas yang mencurigakan baik di jaringan dan tingkathost. Intrusion detection systems dibagi menjadi dua kategori dasar: signature-basedintrusion detection systems and anomaly detection systems. Penyusup memilikisignatures, seperti virus komputer, yang dapat dideteksi dengan menggunakan software.Anda mencoba untuk menemukan paket-paket data yang mengandung intrusi dikenalterkait signatures atau anomali yang berhubungan dengan protokol Internet.Berdasarkan satu set signatures dan aturan, sistem deteksi dapat menemukan, mencatataktivitas yang mencurigakan dan menghasilkan alert. Anomaly-based intrusiondetection biasanya tergantung pada paket anomali hadir di bagian header protokol.Dalam beberapa kasus metode ini menghasilkan hasil yang lebih baik dibandingkandengan signature-based IDS.

Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup dan mampumenganalisa paket yang melintasi jaringan secara langsung dan melakukan pencatatanke dalam penyimpanan data serta mampu mendeteksi berbagai serangan yang berasaldari luar jaringan [2]. Snort merupakan sebuah produk terbuka yang dikembangkan olehMarty Roesch dan tersedia gratis di www.snort.org. Snort bisa digunakan pada sistemoperasi Linux, Windows, BSD, Solaris dan sistem operasi lainnya. Snort merupakanIDS berbasis jaringan yang menggunakan metode deteksi rule based, menganalisispaket data apakah sesuai dengan jenis serangan yang sudah diketahui olehnya.

Snort yang digunakan dalam penelitian ini akan dipadukan dengan beberapasistem opensource lainnya agar dapat disesuaikan dengan arsitektur jaringanperusahaan, sistem yang akan dibuat dapat dilihat pada gambar 1 dan 2 [6].

Gambar 1. Block Diagram Dari Complete Network Intrusion Detection System YangTerdiri Dari Snort, MySQL, Apache, ACID, PHP, GD Library dan PHPLOT

Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-17-5

Gambar 2. Multiple Snort Sensors Didalam Jaringan Perusahaan Yang DipusatkanDalam Centralized Database Server.

HONEYPOT

Honeypot adalah sumber daya komputasi yang akan dimonitor yang nantinyadigunakan sebagai tempat yang dideteksi, diserang, atau dikompromikan. Lebihtepatnya, honeypot adalah " sumber daya sistem informasi yang nilainya terletak diluarlingkungan produksi. Nilai honeypot adalah berasal dari informasi yang dapat diperoleh.Monitoring data yang masuk dan keluar dari sebuah honeypot memungkinkan kitamengumpulkan informasi yang tidak tersedia untuk NIDS. Sebagai contoh, kita dapatlog keystrokes dari sesi interaktif meskipun menggunakan enkripsi bahkan untukmelindungi lalu lintas jaringan. Untuk mendeteksi perilaku berbahaya, NIDSmemerlukan signature dari serangan dikenal dan sering gagal mendeteksi kompromiyang tidak diketahui pada saat itu digunakan. Di sisi lain, honeypots dapat mendeteksikerentanan yang belum dipahami. Sebagai contoh, dapat mencatat lalulintas jaringanyang meninggalkan honeypot sehingga dapat mengeksploitasi serangan yang belumpernah terlihat sebelumnya [11].

Honeypot Honeyd

Honeyd adalah suatu honeypot daemon. Honeyd (http://www.honeyd.org)adalah software opensource, low interaction honeypot yang dirilis oleh Dr Niels Provos(provos@monkey.org) pada bulan April 2002 sehingga ia dapat mempelajari metodedan taktik yang digunakan oleh hacker jahat .

Honeyd adalah kerangka kerja untuk instrumen ribuan alamat Internet denganhoneypots virtual dan layanan jaringan yang sesuai. Biasanya, kita mengkonfigurasiHoneyd yang belum dialokasikan pada instrumen-alamat IP pada jaringan yang ada.Untuk setiap alamat IP, kita bisa mengatakan Honeyd bagaimana kita ingin simulasikomputer untuk berperilaku. Sebagai contoh, kita bisa membuat web server virtual yangtampaknya menjalankan Linux dan mendengarkan pada port 80. Kita bisa membuathoneypot virtual pada alamat IP dengan jaringan tumpukan yang tampak sepertiWindows pada semua port TCP yang tampaknya menjalankan layanan. Hal ini akanmemungkinkan kita untuk menerima muatan TCP payloads untuk worms ayau probes.Honeyd dapat digunakan untuk membuat beberapa umpan dalam sebuah jaringan yangada atau untuk membuat routing topologi yang terdiri dari ratusan jaringan dan ribuanhost hanya dengan satu komputer [11].

Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-17-6

Honeypot low interaction yang digunakan dalam penelitian ini adalah Honeydyang berbasis system operasi windows, honeypot ini hanya akan mengemulasikanservice yaitu personalisasi dari operating system yang digunakan, konfigurasi IPaddress dan konfigurasi dari port-port yang digunakan, contoh gambaran secara umumdapat dilihat pada gambar 3.

Gambar 3. Honeypot Honeyd Environment Dimana Honeypot MengemulasikanService Dari Real Operating System.

Dalam melakukan pengujian ini honeyd dikonfigurasikan untuk mengemulasi 20 hostdengan sistem operasi sebagai berikut

1. Linux 2.6.8 (Debian) : 1 Host2. Linux 2.6.10 : 4 Host3. Cisco Catalyst switch : 1 Host4. Linux 2.6.8 (Ubuntu) : 1 Host5. Microsoft Windows NT 4.0 Terminal Server Edition : 2 Host6. Microsoft Windows 2000 Server SP3 : 3 Host7. Microsoft Windows 2003 Server Enterprise Edition : 3 Host8. Microsoft Windows XP Pro SP2 : 3 Host9. Microsoft Windows XP Home Edition SP1 or SP2 : 1 Host10. Apple Mac OS X 10.2.6 : 1 Host

Honeypot Honeynet

Honeynet adalah jenis honeypot. Secara khusus, ini adalah honeypot interaksitinggi yang dirancang untuk menangkap informasi yang luas tentang ancaman. High-interaksi berarti Honeynet menyediakan sebuah sistem real, aplikasi, dan layanandimana penyerang dapat berinteraksi langsung dengan sistem tersebut. Apa yangmembuat Honeynet berbeda dari honeypots kebanyakan adalah bahwa honeynet adalahjaringan komputer nyata bagi penyerang untuk berinteraksi langsung. sistem ini(honeypots dalam Honeynet) dapat menjadi semua suatu komputer korban yang dapatdisesuaikan jenis sistem, layanan, atau informasi yang ingin Anda berikan.

Seperti kita dinyatakan sebelumnya, honeynets yang tidak lebih dari arsitektur.Kunci arsitektur honeynet adalah apa yang kita sebut sebuah honeywall. Ini adalahperangkat gateway yang memisahkan honeypots Anda. Setiap lalulintas yang menuju keatau dari honeypots harus melalui honeywall tersebut. Gateway ini secara tradisionalterdiri dari 2 lapisan yang menjembatani perangkat, yang berarti perangkat honeypotsharus terlihat untuk berinteraksi dengan siapa pun. Di bawah ini kita melihat diagramarsitektur ini. Honeywall kami memiliki 3 interface. 2 interface pertama (eth0 dan eth1)adalah yang memisahkan honeypots dengan segala sesuatu yang lain, ini adalahinterface bridge yang tidak memiliki IP stack. interface ke 3 (eth2, yang merupakanopsional) memiliki IP stack memungkinkan untuk administrasi remote pada honeywall.

Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-17-7

Gambar 4 Arsitektur Honeywall Dan Honeypot Sebagai Satu Kesatuan Honeynet.

Virtual Honeypot Honeynet

Honeynet Virtual adalah solusi yang memungkinkan untuk menjalankan systemyang dibutuhkan pada satu komputer. istilah virtual digunakan karena semua sistemoperasi yang berbeda memiliki 'penampilan' untuk berjalan pada komputer sendirisecara independen. Solusi ini dimungkinkan karena adanya software virtualisasi yangmemungkinkan menjalankan beberapa sistem operasi pada saat yang sama, padahardware yang sama. Virtual Honeynets bukan teknologi baru yang radikal, merekahanya mengambil konsep teknologi Honeynet, dan menerapkannya ke dalam sistemtunggal [21]. Dalam penelitian ini honeypot akan dijalankan pada virtual machinesVMware Server 2.0.2 Dalam hal ini konfigurasi honeynet terdiri dari 1 host honeypotyang berfungsi sebagai host virtual yang dikompromikan untuk diserang dan 1 hosthoneywall sebagai host virtual untuk memantau aktifitas yang ada pada honeypot.Konfigurasi Hardware Virtual PC untuk Honeywall dan Honeypot yang digunakandapat dilihat pada Tabel 4.2 di bawah dan untuk mapping system dapat dilihat padagambar 5 dan 6 di bawah :

Tabel 1 Konfigurasi Hardware Virtual PC untuk Honeywall dan Honeypot

Virtual Machines Honeypot HoneywallRAM 512 Mb 512 MbHarddisk 10 Gb 10 GbNIC 1 VMnet1 : Host Only Vmnet0 : Bridged pada Jaringan HostNIC 2 - VMnet1 : Host OnlyNIC 3 - VMnet8 : Host OnlySoftwareOS Windows XP Professional Linux Centos Roo-1.4.hw.20090425114542Version Services Pack 2 -

Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-17-8

Gambar 5. Keterangan Mapping Sistem Dalam Mesin Virtual

Gambar 6. Mapping Sistem Dalam Mesin Virtual

Pengujian Penetrasi IDS dan Honeypot

Dalam penelitian ini, pengujian yang digunakan mengikuti metode penetrationtester yang digunakan pada buku Penetration Tester's Open Source Toolkit, Volume 2[18] dan disesuaikan dengan hasil wawancara pihak perusahaan tersebut diatas,pengujian penetrasi akan difokuskan pada tiga hal yaitu enumeration and scanning,database services testing dan web server / web application testing yang secara rincidisajikan pada tabel tersebut di bawah :

VM Ware Address Range

Honeywall yang diinstal dalam VMware

Honeypot yang diinstal dalam VMware

VMware Network Interface 0 : Bridge ke adapter Host

VMware Network Interface 1 : Host Only Network

VMware Network Interface 8 : Host Only Network

eth8: IP 10.0.1.3

VMnet1: IP10.0.1.1

Eth1: IP 10.0.0.128

IP 10.0.0.0/24

IP Host 10.0.0.216

Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-17-9

Tabel 2 Alat dan metode Penetration tester

Proses Sistem Operasi /Program

Metode

Reconnaissance (Scanning danEnumerasi)

Windows Nmap Host Discovery, Nmap TCP/UDPScanning , Nmap OS Fingerprinting,WinArp Attacker Flooding

Linux Backtrack 3 Nmap Host Discovery,Hping2 TCP Flooding (DOS Attack)

Database Services Linux BT Nmap discovery MS SQL Server,Metasploit Framework 3 Exploit

Windows Nessus SQL Server vulnerabilities test,SAP Penetration Test with SAPYTO,

Web server Windows Nmap Service Discovery, Nessus CGIAudit

Linux BT Metasploit Framework 3 Exploit, HTTPrint,Nikto CGI Audit,

KESIMPULAN

Berdasarkan hasil penelitian sebagaimana telah dibahas pada bab sebelumnyamaka diperoleh kesimpulan terhadap analisa performansi sistem intrusion detectionsnort, honeypot honeyd dan honeypot honeynet pada “PT X” di Surabaya sebagaiberikut :1. Dalam mengimplementasikan suatu prototyping intrusion detection system

dibutuhkan suatu kombinasi dengan komponen keamanan jaringan lainnya, dalampenelitian ini snort yang dijalankan dalam lingkungan windows memang dapatmemberikan alert atas serangan yang terjadi namun dengan ditambahkan komponenhoneywall, snort dapat memberikan alert yang lebih baik, dalam hal ini snort yangdijalankan dalam lingkungan honeywall memberikan informasi jenis alert yanglebih baik dari pada snort pada lingkungan windows, sehingga kombinasi keduanyadapat memberikan tingkat keamanan jaringan yang lebih baik.

2. Dari hasil uji performansi intrusi IDS dan honeypot dapat disimpulkan beberapa halberikut :a. Snort dalam lingkungan windows mampu memberikan alerting atas sebagian

besar serangan yang terjadi, dari 20 jenis pengujian atas target host, snort basetidak memberikan alert atas 5 serangan, sedangkan snort inline pada lingkunganhoneywall memberikan hasil yang lebih baik dimana atas 11 jenis serangan padatarget honeypot, snort inline dapat memberikan alert pada semua serangantersebut, salah satu hal positif yang dapat diambil yaitu snort inline memberikaninformasi jenis alerting yang lebih baik dibandingkan snort base dan padabeberapa jenis pengujian terutama pada pengujian discovery, jika kedua snortdikombinasikan, snort base pada lingkungan windows mampu memberikan alertatas serangan pada honeypot khususnya terhadap jenis serangan yang tidakmemberikan alert pada pengujian snort dengan target host.

b. Honeypot Honeyd merupakan sistem honeypot dengan tingkat interaksi rendahsehingga dari penelitian ini honeyd hanya dapat difungsikan penuh ataspengujian discovery, dari 9 jenis serangan diuji cobakan kepada honeyd, snorttidak memberikan alert hanya pada 2 jenis serangan, sehingga dapat dikatakanbahwa Honeyd dapat difungsikan penuh sebagai alat untuk mengecoh attackerdalam menentukan target yang akan diserang.

Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-17-10

c. Honeypot Honeynet yang dijalankan pada lingkungan virtual memberikanbeberapa hal positif yaitu pertama, dari 12 jenis serangan yang diuji cobakanpada honeypot dengan konfigurasi honeynet, snort inline pada honeywall mampumemberikan alerting pada 11 jenis serangan dan mampu memberikan informasijenis serangan yang lebih baik. snort inline pada honeywall tidak memberikanalert hanya atas serangan winarp flood dan ip conflict namun hal ini masih dapatditutupi dengan kemampuan honeywall yang dapat melihat alur paket yangdatang dan keluar pada jaringan dan melakukan fingerprinting atas operatingsystem yang digunakan attacker. Kedua, snort base pada windows memberikanalerting atas serangan pada target honeypot khususnya pada jenis serangan yangtidak terdeteksi jika diuji cobakan pada target host.

DAFTAR PUSTAKA

[1] Wiharso Kurniawan, ”Jaringan Komputer”, Penerbit Andi, Jogjakarta, 2007.

[2] Andrew R Baker, Joel Esler and Jay Beale, “Snoort IDS and IPS Toolkit”, SyngressPublishing,2007.

[3] James F. Kurose and Keith W.Ross, “Computer Networking, A Top DownApproach”, Pearson Education International, 2008.

[4] Wikipedia, “Vulnerability (Attack)”, retrieved from http://en.wikipedia.org/wiki/Vulnerability_%28computing%29 update 11 May 2010.with reference from "The Three Tenents of Cyber Security" (HTML). U.S. AirForce Software Protection Initiative. http://www.spi.dod.mil/tenets.htm. lastupdated 2009-12-15.

[5] Dony Ariyus, “Intrusion Detection System”, Penerbit Andi, Jogjakarta, 2007.

[6] Rafeeq Ur Rehman, “Intrusion Detection System with Snort, Advanced IDSTechniques Using Snort, Apache, MySQL, PHP and ACID”, Pearson EducationInternational, 2003.

[7] Carl Endorf, Eugene Schultz and Jim Mellander, “Intrusion Detection andPerevention(Paperback)”, McGraw-Hill Osborne Media, 2003.

[8] Deris Stiawan, “Intrusion Prevention System (IPS) dan Tantangan dalampengembangannya”, retreived from http://deris.unsri.ac.id/materi/security/IPS_problem.pdf, update 2009.

[9] Brad Doctor, “Intrusion Detection vs. Intrusion Prevention:The difference and whatyou need to know”, CyberDefense Magazine, March 2004. retrieved fromhttp://www.stillsecure.com/docs/StillSecure_CyberDefense_IPS_v_IDS_0304.pdf

[10] Martin Roesch and Chris Green, “Snort User Manual 2.8.5”, www.snoort.org,update 22 Oktober 2009.

[11] Niels Provos and Thorsten Holz, “Virtual Honeypots: From Botnet Tracking toIntrusion Detection”, Addison Wesley Professional, 2007.

[12] Roger A. Grimes, “Honeypots for Windows”, Apress, 2005.

137

Prosiding Seminar Nasional Manajemen Teknologi XIIIProgram Studi MMT-ITS, Surabaya 5 Pebruari 2011

ISBN : 978-602-97491-2-0C-17-11

[13] Cisco Intrusion Detection Product and Technology retreived fromhttp://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/index.shtml

[14] Lawrence Berkeley National Laboratory, “Bro Intrusion Detection System”,retrieved from http://www.bro-ids.org/ update Dec 18, 2009

[15] Ram Kumar Singh, “Intrusion Detection System Using Advance Honeypot”,(IJCSIS) International Journal of Computer Science and Information Security.Vol. 2, No. 1, 2009.

[16] Holger Dreger, Anja Feldmann, Vern Paxson, and Robin Sommer, “Predicting theResource Consumption of Network Intrusion Detection Systems”, retrieved fromhttp://www.icir.org/vern/papers/autoconf-raid08.pdf.

[17] Business Journal Entrepreneur.com, “Internal Attack Suppassing External AttacksAt Firms”, retrieved from http://www.entrepreneur.com /tradejournals/article/134083504. html updated August 1, 2005

[18] Aaron W.Bayles, Keith Butler, Adair Jahn Collins, Haroon Meer, Eoin Miller,Gareth Murray Phillips, Michael J.Schearer, Jesse Varsalone, Thomas Wilhelmand Mark Wolfgang, “Penetration Tester's Open Source Toolkit, Volume 2”,Syngress Publishing,2007.

[19] James D. McCabe, “Network Analysis,Architecture, and Design, Third Edition”,Elsevier Inc, 2007.

[20] Know your enemy, honeynet project, retreived fromhttp://www.honeynetproject.com

[21] Know your enemy, Defining Virtual honeynet, retreived fromhttp://www.honeynetproject.com

[22] Know your enemy, honeywall cd room roo, retreived fromhttp://www.honeynetproject.com

[21] Common_Gateway_Interface, , retreived from http://id.wikipedia.org/wiki/Common_Gateway_Interface

[22] Modjk, , retreived from http://tomcat.apache.org/tomcat-3.3-doc/mod_jk-howto.html#s2

[23] Sql alert, , retreived from http://www.boutell.com/newfaq/definitions/403forbidden.html

[24] IDS Sensor Placement, , retreived from www.winsnort.com

[25] Employment outlook and salary guide 2010/11 a tool for workforce planning,retrieved from www.kellyservices.co.id.