Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 ISSN: 1979-911X

Yogyakarta, 15 November 2014

IMPLEMENTASI INTRUSION DETECTION SYSTEM (IDS)

MENGGUNAKAN JEJARING SOSIAL SEBAGAI MEDIA NOTIFIKASI

Sahid Aris Budiman1, Catur Iswahyudi2, Muhammad Sholeh3

1, 2, 3
Jurusan Teknik Informatika, FTI, IST AKPRIND
1
sahid.aris@gmail.com, 2 catur@akprind.ac.id, 3 muhash@akprind.ac.id

ABSTRACT
Intrusion Detection System (IDS) is a software that can detect suspicious activity in a system or network .
IDS can inspect inbound and outbound traffic in a system or network, analyzing and searching for evidence of
trial intrusion. Implementation of IDS on the server using social media (i.e: facebook, twitter, and whatsapp) as
notification media made administrators easy to identify the infiltration attempt by intruder. Social networking plan
to provide notifications to administrators as soon as possible when an attack occurred on the server. A message
sent contains the IP address of hosts detected by the system. Client’s attacked by IDS snort stored into a MySQL
database , at the same time in automatic trigger will run iptables already defined and send notifications to social
networks based on the type of attack that performed by the intruder. Based on the test, the system is capable to
processing output data from Snort IDS and it can also recognize all activities conducted an intruder in attempt to
infiltrate into the system by using the ping flood, syn attack, port scanner, the SSH and FTP based on rules has
been applied. Then do the blocking of IP addresses that were considered as intruder after that the system will
provide a report to the administrator through social media and web monitoring system.
Keywords: IDS, snort, social networking

PENDAHULUAN
Perkembangan website yang semakin cepat dengan berbagai macam fungsi dan kebutuhan, menuntut
meningkatnya kualitas keamanan jaringan. Terutama dengan semakin terbukanya pengetahuan hacking dan
cracking, didukung dengan banyaknya tools yang tersedia dengan mudah dan gratis, semakin mempermudah para
intruder dan attacker untuk melakukan aksi penyusupan ataupun serangan. Pencegahaan yang paling sering
dilakukan untuk masalah ini adalah dengan menempatkan seorang administrator, yang bertugas untuk mengawasi
dan melakukan tindakan preventif ketika terjadi aksi penyusupan dan serangan. Masalah akan timbul ketika
administrator sedang tidak berada pada kondisi yang memungkinkan untuk memantau lalu lintas jaringan.
Berdasar permasalahan tersebut, administrator membutuhkan suatu sistem yang dapat membantu mengawasi
jaringan, menginformasikan serangan, dan mengambil tindakan tepat untuk pencegahan yang akan membantu
mengautomatisasi fungsi kerja dasar administrator. Penelitian ini bertujuan untuk mengimplementasikan sebuah
aplikasi IDS yang dapat mendeteksi adanya serangan pada server dengan menganalisa alert dan log yang
dihasilkan dan memanfaatkan jejaring sosial sebagai media notifikasi.
IDS dapat didefinisikan sebagai tool, metode, sumber daya yang memberikan bantuan untuk melakukan
identifikasi, memberikan laporan terhadap aktifitas jaringan komputer. IDS secara khusus berfungsi sebagai
proteksi secara keseluruhan dari system yang telah diinstall IDS (Ariyus, 2007). IDS memberikan pertahanan
pertama yang sangat penting dalam menghadapi penyusupan. Jika penyusup berusaha masuk ke server jaringan,
mungkin dapat ditemukan bukti dalam sistem log, meskipun hacker pintar akan menghapus files log. Host sistem
deteksi intrusi mengamati aktivitas yang tidak layak pada setiap sistem. Jika penyusup berusaha mengganggu
server yang sama menggunakan serangan fragmentasi, mungkin dapat diketahui apa yang terjadi dengan melihat
log. Menurut Simarmata (2006), serangan pada suatu data dalam jaringan dapat dikategorikan menjadi 2, yaitu 1.
Serangan pasif dan Serangan aktif. Serangan pasif adalah serangan pada sistem autentikasi yang tidak menyisipkan
data pada aliran data (Data Stream),tetapi hanya mengamati atau memonitor pengiriman informasi ke tujuan.
Serangan pasif yang mengambil suatu unit data dan kemudian menggunakannya untuk memasuki sesi autentikasi
dengan berpura-pura menjadi user yang autentik/asli disebut dengan replay attack. Sedangkan serangan aktif
adalah serangan yang mencoba memodifikasi data, mencoba mendapatkan autentikasi, atau mendapatkan
autentikasi dengan mengirimkan paket-paket data yang salah ke data stream atau dengan memodifikasi paket-
paket yang melewati data stream
Beberapa penelitian terdahulu yang meneliti tentang cara mendeteksi adanya penyusup ke dalam jaringan
komputer antara lain Kimin (2010) yang meneliti Sistem keamanan jaringan komputer dengan menggabungkan
fungsi Snort IDS dan IPTables firewall sebagai sistem pencegahan penyusup dengan menggunakan Webmin dan

A-1
Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 ISSN: 1979-911X
Yogyakarta, 15 November 2014

ACID (Analysis Console for Intrusion Databases) sebagai aplikasi front-end. Sistem ini dirancang memberikan
blocking pada alamat IP yang diketahui mengirimkan paket penyusup, namun dari sisi admin hanya bisa
melakukan monitoring melalui antar muka web. Penelitian yang dilakukan oleh Kurniawan (2010) menunjukkan
penerapan sistem deteksi penyusup menggunakan base dan snort tanpa memfokuskan pada jenis serangan. Sistem
yang dibangun pada penelitian tersebut belum dilengkapi dengan adanya notifikasi seperti pemberitahuan melalui
sms gateway atau media jejaring sosial. Pemberitahuan hanya dilakukan pada web menggunakan base.
Implementasi IDS pada wireless dengan menggunakan Snort, ACID, dan Ntop juga pernah dilakukan oleh Putri
(2011). Dalam penelitian ini, administrator hanya dapat melakukan monitoring jaringan melalui antarmuka web
ACID tanpa ada pemberitahuan melalui suatu media lain. Penelitian selanjutnya dilakukan oleh Ratnaningsih
(2012), yang juga meneliti sistem keamanan jaringan komputer menggunakan IDS yang digabungkan dengan
pesan singkat (SMS) sebagai media notifikasi adanya tindakan ilegal dalam jaringan komputer. IDS akan
melakukan pemberitahuan melalui SMS gateway saat mendeteksi sesuatu yang dianggap mencurigakan atau
tindakan ilegal di dalam jaringan.

METODE PENELITIAN
Langkah penelitian yang dilakukan dalam implementasi IDS pada server debian adalah sebagai berikut:
1. Merancang jaringan dan melakukan penginstalan serta mengkonfigurasi snort dan aplikasi pendukung lainnya
yang dibutuhkan.
2. Mengkonfigurasi situs jejaring sosial sehingga dapat terhubung dengan IDS.
3. Melakukan pengujian terhadap komputer server apakah sistem sudah berjalan sesuai dengan keinginan.
4. Melakukan pengujian serangan terhadap server di dalam jaringan untuk menguji IDS yang telah dikonfigurasi.
5. Melakukan analisis laporan atau log yang dihasilkan oleh IDS snort.

Alat dan bahan yang digunakan dalam penelitian ini adalah seperangkat komputer yang digunakan sebagai
intruder dan sebuah server dengan sistem operasi Debian Squeeze. Sedangkan perangkat lunak yang digunakan
adalah:
1. IDS menggunakan Snort, sebagai tool pendeteksi intrusi (penyusup) dalam jaringan.
2. Libpcap, libdnet, daq, adodb sebagai software pendukung aplikasi IDS snort.
3. MySQL sebagai database, Apache2 sebagai webserver.
4. BASE (Basic Analysis and Security) sebagai web monitoring.
5. PHP sebagai bahasa pemrograman yang digunakan.
6. Jejaring sosial facebook, twitter dan whatsapp sebagai media notifikasi.
7. Nmap, ping, hping3, hydra sebagai alat penguji aplikasi IDS.

Adapun tahapan dalam penelitian ini adalah sebagai berikut :

Perancangan dan Pengujian Sistem

Persiapan terhadap serangan Analisis laporan
Konfigurasi Sistem
(log)

Gambar 1. Alur Tahapan Penelitian

PEMBAHASAN
Pengujian dilakukan untuk membuktikan apakah IDS dapat melakukan notifikasi ke jejaring sosial atau
tidak. Skenario proses penyerangan yang dilakukan dengan mengkoneksikan kedua komputer ke dalam jaringan,
dimana komputer client sebagai penyerang (intruder) dan komputer satunya sebagai server. Komputer client akan
mencoba melakukan serangan ke komputer server yang telah terintegrasi dengan IDS snort dan Base. IDS tersebut
telah didukung oleh firewall yang berfungsi untuk mengatasi serangan yang terjadi berupa pemblokiran IP address
penyerang. Selain itu IDS juga akan memberikan pemicu/inputan yang selanjutnya akan memberikan laporan
mengenai serangan tersebut berupa notifikasi yang dikirim ke media jejaring sosial sehingga administrator dapat
mengetahui jika terjadi serangan seperti tampak pada Gambar 1.

A-2
Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 ISSN: 1979-911X
Yogyakarta, 15 November 2014

Gambar 1. Skema perancangan sistem

Konfigurasi Jejaring Sosial

Untuk mendapatkan akses ke jejaring sosial (Whatsapp, Facebook, Twitter) melalui API, beberapa
langkah yang perlu dilakukan adalah (1) Registrasi ke jejaring sosial (Twitter, Whatsapp, Facebook) agar
mendapatkan user dan password yang dapat digunakan untuk mengirimkan notifikasi. (2) Download API Twitter
di https://github.com/abraham/twitteroauth, (3) Download API Whatsapp di
https://github.com/tgalal/yowsup/archive, (4) Download API Facebook di https://github.com/facebook/facebook-
php-sdk, (5) Buat script PHP untuk menjalankan notifikasi ke jejaring sosial, dan (6) Konfigurasi API jejaring
sosial untuk agar terintegrasi dengan sistem.
Potongan kode program (script) pada Gambar 2 digunakan untuk mengirim notifikasi ke Facebook saat
terjadi serangan pada server dengan mengambil data yang ada di dalam database snort. Script ini akan dijalankan
secara otomatis oleh trigger saat ada perubahan pada database snort.

Gambar 2. Kode program notifikasi melalui facebook

Sama halnya dengan script notifikasi pada Facebook, script pada Gambar 3 digunakan untuk mengirim
notifikasi ke Whatsapp saat terjadi serangan pada server dengan mengambil data yang ada di dalam database snort.
Script ini akan dijalankan secara otomatis oleh trigger saat ada perubahan pada database snort. Yang membedakan
script tersebut hanya cara koneksi melalui API.

A-3
Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 ISSN: 1979-911X
Yogyakarta, 15 November 2014

Gambar 3. Kode program notifikasi melalui whatsapp

Untuk script notifikasi pada Twitter tidak jauh berbeda dengan script Facebook dan Whatsapp, yang
membedakan hanya cara koneksi melalui API untuk mengirimkan notifikasi.

Gambar4. Kode program notifikasi melalui Twitter

Pengujian Serangan
Untuk mengetahui kinerja sistem keamanan komputer yang telah dirancang, maka dilakukan pengujian
dengan beberapa teknik berikut ini:
Denial of Service Attack (DoS)
DoS merupakan serangan yang dilancarkan melalui paket-paket tertentu. Bentuk serangan yang digunakan dalam
pengujian adalah ping attack dan syn attack.
Ping Attack
Untuk melakukan serangan ini, penyerang menggunakan command promp/cmd atau terminal, kemudian
melakukan ping ke IP server dengan mengirim paket yang ukurannya besar.
A-4
Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 ISSN: 1979-911X
Yogyakarta, 15 November 2014

Ketikkan ping -f -s 56500 202.91.10.211. Setelah mendapat informasi dari alert snort mengenai DoS, IDS secara
otomatis akan memanggil fungsi firewall dan akan memberikan notifikasi melalui jejaring sosial. Serangan ping
attack dapat dilihat pada Gambar 5.

Gambar 5. Serangan ping attack

Gambar 6 menunjukkan notifikasi yang dikirim oleh IDS ke jejaring sosial Twitter setelah terjadi serangan ping
attack pada server.

Gambar 6. Notifikasi melalui twitter

Syn Attack
Jalankan aplikasi hping3, kemudian masukkan alamat IP target. Dalam penelitian ini digunakan IP address
202.91.10.211, setelah itu masukkan alamat port yang terbuka 21 22 80 111 10000, IDS secara otomatis akan
memanggil fungsi firewall dan akan memberikan notifikasi melalui jejaring sosial. Ketikkan hping3 -p 80 -S --
flood 202.91.10.211. Hasil pengujian diperlihatkan pada Gambar 7.

Gambar 7. Serangan syn attack

Gambar 8 menunjukkan notifikasi yang dikirim ke jejaring sosial Facebook saat terjadi serangan syn attack pada
server.

Gambar 8. Notifikasi syn attack melalui facebook

Port scanner
Jalankan aplikasi Nmap untuk melakukan port scanner. Ketikkan alamat IP server pada tools port scanning,
misalnya 202.91.10.211 kemudian lakukan scanning port. Kita dapat melihat hasil dari proses scanning dengan
mendapatkan informasi mengenai port-port yang terbuka di server. Ketikkan nmap -PS 202.91.10.211 pada
terminal. Hasil pengujian diperlihatkan pada Gambar 9.

A-5
Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 ISSN: 1979-911X
Yogyakarta, 15 November 2014

Gambar 9. Port scanner menggunakan nmap

Apabila terjadi penyusupan, maka sistem IDS akan mengirimkan notofikasi melalui Twitter sebagaimana
diperlihatkan oleh Gambar 10.

Gambar 10. Notifikasi port scanner melalui twitter

Serangan melalui port SSH

Melakukan SSH pada server adalah suatu cara melakukan remote komputer server dari komputer client. SSH
merupakan jalur yang secure yang berjalan pada port 22. Untuk melakukan serangan SSH pada penelitian
digunakan tools hydra untuk melakukan serangan dengan cara mencocokkan username dan password yang
digunakan untuk login seperti tampak pada Gambar 11.

Gambar 11. Serangan SSH

Gambar 12 memperlihatkan notifikasi yang dikirim IDS snort ke jejaring sosial Facebook setelah ada yang
mencoba login SSH ke server.

A-6
Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 ISSN: 1979-911X
Yogyakarta, 15 November 2014

Gambar 12. Notifikasi SSH melalui facebook

Serangan melalui port FTP

Pengujian dilakukan dengan melakukan koneksi FTP pada server secara remote menggunakan tools hydra untuk
melakukan serangan dengan cara mencocokkan username dan password yang digunakan untuk login sebagaimana
tampak pada Gambar 13.

Gambar 13. Serangan FTP

Gambar 14 memperlihatkan notifikasi yang dikirim IDS snort ke jejaring sosial Whatsapp yang menjelaskan
bahwa ada yang mencoba login FTP ke server.

Gambar 14. Notifikasi FTP melalui whatsapp

Berdasarkan hasil pengujian yang dilakukan dapat diketahui kemampuan dari sistem yang dibuat mampu untuk
mengolah data output dari IDS snort serta dapat mengenali segala aktifitas yang dilakukan intruder dalam usaha
untuk menyusup ke dalam sistem dengan menggunakan ping flood, syn attack, port scanner, SSH dan FTP
berdasarkan rule yang telah diterapkan. Proses selanjutnya adalah dilakukan blocking terhadap IP address yang
dianggap sebagai intruder dan sistem akan memberikan laporan kepada administrator melalui media jejaring sosial
dan web monitoring mengenai adanya intruder yang mencoba masuk ke dalam sistem. Tabel 1 menunjukkan
kemampuan dari sistem untuk mengelola hasil output dari snort untuk mengenali terjadinya serangan sampai
terjadinya proses blocking menggunakan iptables dari beberapa sampel yang telah diujicobakan

A-7
Prosiding Seminar Nasional Aplikasi Sains & Teknologi (SNAST) 2014 ISSN: 1979-911X
Yogyakarta, 15 November 2014

Tabel 1. Selisih waktu yang dibutuhkan untuk blocking

KESIMPULAN
Hasil pengujian menunjukkan bahwa setiap ada serangan yang datang dari luar menuju host atau server
yang didalamnya terdapat IDS yang sedang berjalan, maka secara otomatis akan mendeteksi dan memberitahukan
kepada administrator berupa notifikasi yang dikirim melalui jejaring sosial Facebook, Twitter, dan Whatsapp
dengan rentang waktu yang relatif cepat, sehingga administrator dapat melakukan tindak lanjut terhadap jenis
serangan yang dilakukan oleh intruder.
Untuk pengembangan selanjutnya, dapat dibahas mengenai pembuatan aplikasi mobile pada Facebook
untuk memantau jaringan pada server agar administrator lebih mudah dalam mengaudit data secara langsung tanpa
harus melalui server, perlu adanya pengujian serangan dengan skala yang lebih besar agar dapat diperoleh kinerja
dari sistem secara maksimal, selain itu perlu pembuatan penjadwalan untuk menghapus log snort.

DAFTAR PUSTAKA

Ariyus, D., 2007, Intrusion Detection System, Andi, Yogyakarta.

Kimin, V. H., 2010, Perancangan Sistem Keamanan Jaringan Komputer Berbasis Snort Intrusion Detection System
dan IPTables Firewall, Skripsi, Universitas Sumatera Utara.
Kurniawan, I. N., 2010, Sistem Deteksi dan Penanganan Intrusi Menggunakan Snort dan Base, Skripsi, IST
AKPRIND, Yogyakarta.
Putri, L., 2011, Implementasi Intrusion Detection System (IDS) menggunakan Snort pada Jaringan Wireless,
Skripsi, UIN Syarif Hidayatullah, Jakarta.
Ratnaningsih, I., 2012, Sistem Keamanan Jaringan Komputer menggunakan Intrusion Detection System (IDS)
pada Linux, Skripsi, IST AKPRIND, Yogyakarta.
Simarmata, J., 2006, Pengamanan Sistem Komputer, Andi, Yogyakarta.

A-8