7 ids - snort

Fajar Wardani – XII TKJ B

Program Studi : TKJ IDS (Intrusion Detection System) -

Snort

Nama : Fajar Wardani Eksperimen : Admin Server Kelas : XII TKJ B No. Eksperimen : 07 Instruktur : Pak Dodi

I. Tujuan

1. Siswa dapat mengetahui pengertian dari IDS. 2. Siswa dapat mengkonfigurasi IDS menggunakan aplikasi Snort pada Linux. 3. Siswa dapat mengimplementasikan konfigurasi IDS berdasarkan rules yang dibuat.

II. Pendahuluan

Keamanan atau security adalah mekanisme dan teknik untuk melindungi sesuatu yang dapat berupa data atau informasi di dalam sistem. Pada dasarnya secutity adalah sistem yang digunakan untuk melindungi sistem dalam suatu jaringan keamanan agar tetap terjaga.

Keamanan atau Security haruslah memiliki beberapa bagian penting di dalamnya, yaitu : 1. Availability yaitu menjaga akses untuk masuk ke dalam informasi 2. Confidentianlity yaitu menjaga informasi secara rahasia dan hanya dapat dibuka oleh

yang memiliki hak resmi untuk mengaksesnya. 3. Anonymity yaitu menyembunyikan identitas dari entitas yang terlibat dalam prosesnya 4. Privacy yaitu memiliki hak dan kewajiban yang mengatur akusisim rahasia pribadi, dan

informasi rahasi yang lain. 5. Identification and Authentication yaitu cara mengetahui identitas user dalam jaringan

komputer. IDS (Intrusion Detection System) dan IPS (Intrusion Prevention System) adalah sistem –

sistem yang banyak digunakan untuk mendeteksi dan melindungi atau mencegah sistem keamanan dari serangan – serangan. Mekanisme keamanan ini dilakukan dengan cara membandingkan paket yang masuk dengan data – data signature yang ada.

IDS (Intrusion Detection System) IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya

“intrusion” yang dilakukan oleh “intruder” atau “pengganggu atau penyusup” di jaringan. IDS (Intrusion Detection System) sangat mirip seperti alarm, yaitu IDS (Instrusion Detection System) akan memperingati bila terjadinya atau adanya penyusupan pada jaringan. IDS (Intrusion Detection System) dapat didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau host. IDS (Intrusion Detection System) adalah sistem keamanan yang bekerja bersama Firewall untuk mengatasi Intrusion.

IDS () juga memiliki cara kerja dalam menganalisa apakah paket data yang dianggap sebagai intrusion oleh intruser. Cara kerja IDS () dibagi menjadi dua, yaitu : Knowledge Based (Misuse Detection )

Knowledge Based pada IDS (Intrusion Detection System) adalah cara kerja IDS(Intrusion Detection System) dengan mengenali adanya penyusupan dengan cara menyadap paket


data kemudian membandingkannya dengan database rule pada IDS (Intrusion Detection System) tersebut. Database rule tersebut dapat berisi signature – signature paket serangan. Jika pattern atau pola paket data tersebut terdapat kesamaan dengan rule pada database rule pada IDS (Intrusion Detection System), maka paket data tersebut dianggap sebagai seranganm dan demikian juga sebaliknya, jika paket data tersebut tidak memiliki kesamaan dengan rule pada database rule pada IDS(Intrusion Detection System), maka paket data tersebut tidak akan dianggap serangan.

Behavior Based ( Anomaly Based ) Behavior Base adalah cara kerja IDS (Intrusion Detection System) dengan mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan – kejanggalan pada sistem, aatu adanya keanehan dan kejanggalan dari kondiri pada saat sistem normal, sebagai contoh : adanya penggunaan memory yang melonjak secara terus menerus atau terdapatnya koneksi secara paralel dari satu IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi tersebut dianggap kejanggalan yang selanjutnya oleh IDS (Intrusion Detection System) Anomaly Based ini dianggap sebagai serangan. Intrusion itu sendiri didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect,

inappropite yang terjadi di jaringan atau di host tersebut. Intrusion tersebut kemudian akan diubah menjadi “rules” ke dalam IDS (Intrusion Detection System). Sebagai contoh, intrusion atau gangguan seperti port scanning yang dilakukan oleh intruder. Oleh karena itu IDS (Intrusion Detection System) ditujukan untuk meminimalkan kerugian yang dapat ditimbulkan dari intrusion.

Jenis – Jenis IDS () Network Instrusion Detection System (NIDS)

Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS (Intrusion Detection System) tersebut. NIDS (Network Instrusion Detection System) pada umumnya bekerja dilayer 2 pada OSI layer, IDS (Intrusion Detection System) menggunakan “raw traffic” dari proses sniffing kemudian mencocokknannya dengan signature yang telah ada dalam policy. Jika terdapat kecocokan antara signature dengan raw traffinc hasil sniffing paket, IDS (Intrusion Detection System) memberikan allert atau peringgatan sebagai tanda adanya proses intrusi ke dalam sistem. NIDS (Network Instrusion Detection System) yang cukup banyak dipakai adalah snort karena signature yang customizable, sehingga setiap vulnerability baru ditemukan dapat dengan mudah ditambahkan agar jika terjadi usaha punyusupan atau intrusion dari intruder akan segera terdeteksi. cotoh : malihat adanya network scanning

Host Instrusion Detection System (HIDS) Mamantau Anomali di Host dan hanya mampu mendeteksi pada host tempat implementasi IDS (Intrusion Detection System) tersebut. HIDS (Host Instrusion Detection System) biasanya berupa tools yang mendeteksi anomali di sebuah host seperti perubahan file password dengan penambahan user ber UID 0, perubahan loadable kernel, perubahan ini script, dan gangguan bersifat anomali lainnya. contoh : memonitor logfile, process, file ownership, dan mode.


Seperti dijelaskan, IDS(Intrusion Detection System) melakukan deteksi gangguan keamanan dengan melihat Anomali pada jaringan. Anomali dapat dijelaskan sebagai traffic atau aktifitas yang tidak sesuai dengan kebijakan yang dibuat (policy).

Contoh Anomali yang dijelaskan sebagai Traffic / aktivitas yang tidak sesuai dengan policy : Akses dari atau menuji ke host yang terlarang Memiliki Content atau Patern terlarang (virus) Menjalakan program terlarang.

IDS () tidak hanya bekerja secara sendiri, IDS (Intrusion Detection System) bekerja mendeteksi gangguan bersama – sama dengan firewall. Mekanisme penggunaan IDS adalah IDS (Intrusion Detection System) membantu firewall melakukan pengamanan dengan snort ( open source ) ataupun dengan menggunakan Box IDS sedangkan firewall menggunakan Packet Filtering Firewall. Paket Filtering Firewall dapat membatasi akses koneksi berdasarkan pattern atau pola – pola koneksi yang dilakukan, seperti protokol, IP source and IP destination, Port Source and Port Destination, Aliran data dan code bit sehingga daat diatur hanya akses yang sesuai dengan policy saja yang dapat mengakses sestem. Paket Filtering Firewall bersifat statik sehingga fungsi untuk membatasi akses juga secara statik, sebagai contoh : akses terhadap port 80 (webserver) diberikan izin (allow) oleh policy, maka dari manapun dan apapun aktifitas terhadap port tersebut tetap di ijinakan meskipun aktifitas tersebut merupakan gannguan (intrusion) ataupun usaha penetrasi dari para intruder. Untuk itulah Paket Filtering Firewall tidak dapat mengatasi gangguan yang bersifat dinamik sehingga harus dikombinasikan penggunaannya dengan IDS (Intrusion Detection System) untuk membantu sistem hardening atau pengamanan.

IDS (Intrusion Detection System) dan Firewall menggunakan Engine Sistem Pencegahan Penyusupan untuk melakukan pengamanan secara maksimal, Engine tersebut bertugas membaca alert dari IDS (Intrusion Detection System), alert tersebut dapat berupa jenis serangan dan IP address intruder , kemudian memerintahkan firewall untuk melakukan block ataupun drop akses intruder tersebut ke koneksi dalam sistem.

Sistem pencegahan intrusion dari para intruder tersebut akan lebih maksimal jika diletakkan pada router, sehingga daerah kerja sistem tersebut dapat mencakup semua host yang berada dalam satu jaringan dengan router sebagai tempat mengimplementasikan sistem pencegahan penyusupan tersebut. Bila konsentrator menggunakan switch, akan terdapat masalah yang timbul. Masalah tersebut adalah proses pendeteksian terhadap paket data yang datang menjadi tidak berfungsi, salah satu cara yang mudah untuk mengatasi masalah seperti ini, cara tersebut adalah dengan melakukan spoofing MAC address terhadap host – host yang akan diamati.

Paket Decoder Paket yang disandikan.

Preprocessor (Plug-ins) Modul plug-in uang berfungsi untuk mengolah paket sebelum dianalisa.

Detection Engine


Rules from signature. Output Stage

Alert dan Log. Ada beberapa tipe penggunaan IDS (Intrusion Detection System) untuk menajemen

keamanan informasi dan pengamanan jaringan, yaitu dengan menggunakan Snort IDS (Intrusion Detection System) dan IDS (Intrusion Detection System) dengan menggunakan Box. Snort IDS

Snort IDS merupakan IDS open source yang secara defacto menjadi standar IDS (Intrusion Detection System) di industri. Snort merupakan salah satu software untuk mendeteksi instruksi pada system, mampu menganalisa secara real-time traffic dan logging IP, mampu menganalisa port dan mendeteksi segala macam intrusion atau serangan dari luar seperti buffter overflows, stealth scan, CGI attacks, SMP probes, OS fingerprinting. Secara default Snort memiliki 3 hal yang terpenting, yaitu :

1. Paket Snifferm Contoh : tcpdump, iptraf, dll.

2. Paket Logger Berguna dalam Paket Traffic.

3. NIDS (Network Intrusion Detection System ) Deteksi Intrusion pada Network

Komponen – komponen Snort IDS (Intrusion Detection System) meliputi :

Rule Snort Rule Snort merupakan database yang berisi pola – pola serangan berupa signature jenis – jenis serangan. Rule snort IDS (Intrusion Detection System) harus selalu terupdate secara rutin agar ketika ada suatu teknik serangan yang baru, serangan tersebut dapat terdeteksi. Rule Snort dapat di download pada website www.snort.org.

Snort Engine Snort Engine merupakan program yang berjalan sebagai daemon proses yang selalu bekerja untuk membaca paket data dan kemudian membadingkan dengan Rule Snort.

Alert Alert merupakan catatan serangan pada deteksi penyusupan. Jika Snort engine mendeteksi paket data yang lewat sebagai sebuah serangan, maka snort engine akam mengirimkan alert berupa log file. Kemudian alert tersebut akan tersimpan di dalam database. Hubungan ketiga komponen snort IDS (Intrusion Detection System) tersebut dapat digambarkan dalam gambar berikut.


IDS (Intrusion Detection System) dengan menggunakan Box

IDS (Intrusion Detection System) dengan menggunakan BOX adalah IDS (Intrusion Detection System) dengan yang merupakan product dari suatu perusahaan pengembang keamanan jaringan komputer (Vendor). Sama seperti IDS (Intrusion Detection System) Snort, IDS (Intrusion Detection System) dengan menggunakan Box ini memiliki kemampuan yang sama untuk melakukan pendeteksian terhadap intursion dalam sebuah jaringan. Pada IDS (Intrusion Detection System) dengan menggunakan Box allert yang digunakan dapat berupa message, message tersebut dapat berupa sms ataupun email ke administrator. Untuk melakukan manajemen keamanan informasi pada sistem, haruslah terlebih

dahulu diketahui karateristik yang di dapat dari penggunaan IDS (Intrusion Detection System) agar pengamanan tersebut dapat dilakukan secara maksimal.

Karateristik atau sifat yang dimiliki Oleh IDS () pada umumnya :

Suitability Aplikasi IDS yang cenderung memfokuskan berdasarkan skema manajemen dan arsitektur jaringan yang dihadapkannya.

Flexibility Aplikasi IDS yang mampu beradaptasi dengan spesifikasi jaringan yang akan dideteksi oleh aplikasi tersebut.

Protection Aplikasi IDS yang secara ketat memproteksi gangguan yang sifatnya utama dan berbahaya.

Interoperability Aplikasi IDS yang secara umum mampu beroperasi secara baik dengan perangkat-perangkat keamanan jaringan serta manajemen jaringan lainnya.

Comprehensiveness Kelengkapan yang dimiliki oleh aplikasi IDS ini mampu melakukan sistem pendeteksian secara menyeluruh seperti pemblokiran semua yang berbentuk Java Applet, memonitor isi dari suatu email serta dapat memblokir address url secara spesifik.

Event Management


Konsep IDS yang mampu melakukan proses manajemen suatu jaringan serta proses pelaporan pada saat dilakukan setiap pelacakan, bahkan aplikasi ini mampu melakukan updating pada sistem basis data pola suatu gangguan.

Active Response Pendeteksi gangguan ini mampu secara cepat untuk mengkonfigurasi saat munculnya suatu gangguan, biasanya aplikasi ini berintegrasi dengan aplikasi lainnya seperti aplikasi Firewall serta aplikasi IDS ini dapat mengkonfigurasi ulang spesifikasi router pada jaringannya.

Support Lebih bersifat mendukung pada suatu jenis produk apabila diintegrasikan dengan aplikasi lain. Kelebihan yang akan di dapatkan dengan menggunakan IDS (Intrusion Detection

System) sebagai metode Keamanan : 1. Memiliki Akurasi keamanan yang baik

IDS (Intrusion Detection System) haruslah memiliki akurasi atau ketelitian, jadi IDS (Intrusion Detection System) yang baik adalah IDS (Intrusion Detection System) yang memiliki ketelitian yang baik untuk mengenal intrusion atau gangguan. Pada saat sekrarang ini IDS (Intrusion Detection System) telah memiliki ketelitian tinggi, yaitu mampu secara realtime mendeteksi dan melakukan blocking terhadap tindakan yang mencurigakan. Selain itu IDS () juga harus mampu memeriksa dan menganalisa pattern objek secara menyeluruh seperti paket – paket data baik Header Paket maupun Payload yang dipergunakan serta membedakan paket data yang keluar masuk dalam lalu lintas jaringan sehingga dapat mengenal benar karateristik trafic penyerang. Oleh karena itu untuk melakukan hal tersebut, IDS (Intrusion Detection System) yang baik haruslah memiliki karateristik :

Memiliki kemampuan menganalisa protokol dari semua sumber lalu lintas (trafic).

Memiliki kemampuan menganalisa protokol secara stateful untuk Layer Network atau Layer ke tiga pada OSI Layer sampai dengan Layer Aplication atau Layer ke tujuh pada OSI Layer.

Memiliki kemampuan untuk melakukan perbandingan secara Context-Base, Multiple-Tringger, Multiple-Pattern signature dengan tujuan untuk dapat mengenal dan mengetahui jenis exploit yang dipergunakan.

Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap (penumpukan data) pada IP Fragmen (Layer 3).

Memiliki kemampuan Forward dan Backward apabila terjadi proses overlap (penumpukan data) pada TCP Segment.

Memiliki kemampuan Forward dan Backward apabila terjadi kerancuan dahbketidakberesan di dalam implementasi protokol (Layer 4).

Memiliki kemampuan kontrol pada tingkat aplikasi protokol seperti : HTTP, FTP, Telnet, RPC Fragmentasi, dan SNMP (Layer 6 dan Layer 7 ).


2. Mampu Mendeteksi dan Mencegah Serangan. IDS (Intrusion Detection System) haruslah dapat mendeteksi serangan dn juga mampu untuk melakukan pencegahan terhadap serangan tersebut, IDS (Intrusion Detection System) yang baik dalam mengatasi serangan adalah IDS (Intrusion Detection System ) yang memiliki karateristik :

Dapat beroperasi secara in-line. Memiliki kehandalan dan ketersediaan. Deliver high performance. Kebijakan policy pada IDS(Intrusion Detection System)yang dapat diatus sesuai

dengan yang dibutuhkan. 3. Memiliki cakupan yang Luas dalam Mengenal Proses Attacking

IDS (Intrusion Detection System) haruslah memiliki pengetahuan yang luas, dapat mengenal serangan apa yang belum dikenalnya, seperti contoh IDS(Intrusion Detection System) harus mampu mendeteksi serangan DOS mempergunakan analisis signature dan mampu mendeteksi segala sesuatu yang mencurigakan. IDS (Intrusion Detection System) yang baik dalam pengenalan attacking adalah IDS (Intrusion Detection System) yang memiliki karateristik :

Memiliki AI () sehingga IDS (Intrusion Detection System) tersebut dapat mempelajari sendiri serangan – serangan yang datang.

Mampu melakukan proses deteksi trafic dan pembersihan terhadap host ( Layer 3 – Layer 7 ).

Mampu melakukan scanning TCP dan UDP. Mampu memeriksa keberadaan backdoor.

4. Dapat memeberikan Informasi tentang ancaman – ancaman yang terjadi. 5. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan reporing yang baik. 6. Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian dan

pencegahan.

III. Alat dan Bahan

1. Sistem Operasi Linux (Ubuntu Server) 2. Virtual Machine (Virtualbox) 3. Koneksi internet 4. Rules yang akan diimplementasikan

IV. Langkah Kerja

1. Siapkan alat dan bahan. 2. Atur IP Address

a. Laptop (client) : 192.168.1.2/24 b. Virtual (server) : 192.168.1.3/24

3. Pada server lakukan update software dengan menggunakan perintah apt-get update

4. Lakukan instalasi aplikasi yang dibutuhkan dengan menggunakan perintah


Apt-get install apache2 php5 php5-mysql mysql-server snort-mysql 5. Buat database dengan nama snort pada server dengan menggunakan perintah

>mysql –u root –p >show databases; >create databases snort; >quit;

6. Lakukan konfigurasi agar snort terhubung dengan database yang dibuat dengan masuk ke direktori /usr/share/doc/snort-mysql/ dan gunakan perintah zcat create_mysql.gz |mysql –u root –p –D snort

7. Hapus direktori db-pending-config pada /etc/snort dengan menggunakan perintah rm /etc/snort/db-pending-config

8. Lakukan configure pada snort-mysql dengan menggunakan perintah dpkg –configure --pending

9. Lakukan instalasi acidbase dengan menggunakan perintah apt-get install acidbase

10. Salin file apache.conf pada direktori /etc/acidbase ke /etc/apache2/sites-available menggunakan nama acidbase dengan menggunakan perintah cp /etc/acidbase/apache.conf /etc/apache2/sites-availanble/acidbase

11. Konfigurasi file acidbase yang baru disalin dengan mengganti deny from all menjadi allow to all

12. Aktifkan site acidbase dengan menggunakan perintah a2ensite acidbase

13. Masuk ke direktori /etc/snort/rules untuk membuat rules dengan menggunakan perintah cd /etc/snort/rules

14. Buat rules dengan nama facebook.rules dengan menggunakan perintah nano facebook.rules

15. Konfigurasi file facebook.rules dengan menambahkan script alert tcp any any -> adjass any (“msg:asdakjfa”;sid:10001;rev:10001;)

16. Masukan rules pada file /etc/snort/snort.conf dengan menambahkan script include $RULE_PATH/facebook.rules

17. Restart snort-mysql dengan menggunakan perintah invoke-rc.d snort restart

18. Restart apache dengan menggunakan perintah invoke-rc.d apache2 restart

19. Masuk ke computer client. 20. Buka web browser untuk masuk ke BASE dengan menggunakan

alamat_ip_server/acidbase 21. Lakukan konfigurasi acidbase dengan membuuat BASE AG. 22. Lakukan pengecekan alamat sesuai rule yang telah dibuat. Cek apakah ancaman

protokol masih 0% atau sudah bekerja dengan baik.

V. Hasil Pengamatan


1. Update OS

2. Instalasi package


3. Pembuatan database snort


4. Mengkompress file dan menghubungkannya dengan database snort

5. Penghapusan direktori /etc/snort/db-pending-config

6. Configure snort

7. Instalasi acidbase


8. Reconfigure snort-mysql


9. Penyalinan file /etc/acidbase ke /etc/apache2/sites-available/acidbase

10. Konfigurasi site acidbase

11. Pengaktifan site acidbase


12. Pembuatan rules facebook.rules

13. Konfigurasi facebook.rules

14. Konfigurasi file /etc/snort/snort.conf

15. Restart snort

16. Restart apache2

17. Konfigurasi BASE melalui client


18. Pengecekan melalui client


VI. Kesimpulan

1. Lalala IDS (Intrusion Detection System) merupakan sistem untuk mendeteksi adanya “intrusion” yang dilakukan oleh “intruder” atau “pengganggu atau penyusup” di


jaringan. IDS (Intrusion Detection System) sangat mirip seperti alarm, yaitu IDS (Instrusion Detection System) akan memperingati bila terjadinya atau adanya penyusupan pada jaringan. IDS (Intrusion Detection System) dapat didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau host. IDS (Intrusion Detection System) adalah sistem keamanan yang bekerja bersama Firewall untuk mengatasi Intrusion.

2. Snort merupakan salah satu software untuk mendeteksi instruksi pada system, mampu menganalisa secara real-time traffic dan logging IP, mampu menganalisa port dan mendeteksi segala macam intrusion atau serangan dari luar seperti buffter overflows, stealth scan, CGI attacks, SMP probes, OS fingerprinting. lalallala

7 ids - snort

Documents