kel6 ids snort
Post on 24-Jul-2015
222 Views
Preview:
TRANSCRIPT
Laporan ADMIN SERVER (4) PROXY SERVER
KELOMPOK 6Inge Yulensa P.M. Aldi TahirPahlevi Ridwan P.RismantoSuprianto
LAPORAN 4Penerapan
IDS SNORT berbasis MYSQL
Jum’at 9/3/2012
XII – TKJ ADodi Permana H, S.Pd
Trimans YogianaAdmin Server (4)
Tujuan : Siswan dapat melakukan instalasi IDS dengan packet Snort dan terintegrasi MYSQL melalui packet Acidbase
Pendahuluan :
1. TUJUAN Siswa dapat memahami tentang IDS Siswa dapat mengerti konsep dan kegunaan dari IDS Siswa dapat mengkonfigurasi IDS mengunakan paket ”snort”
2. PENDAHULUANIntrusion Detection System (disingkat IDS) adalah sebuah aplikasi perangkat lunak atau perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).Jenis-jenis IDS :
Ada dua jenis IDS, yakni:
Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switchEthernet, meskipun beberapa vendorswitch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringanindividual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan.
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
Akhir-akhir ini, beberapa vendor juga mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya menutup beberapa port atau memblokir beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS). Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).
Implementasi dan cara kerja IDS
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis datasignature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
Dalam pengaplikasiannya ada teknik yang digunakan pada paket Snort ini yang dikhususkan untuk keterintegrasian database dengan fungsi Snort itu sendiri, salah satunya dengan penggunaan packet Acidbase sabagai interface atau antar muka snort dengan admin itu sendiri.
Alat dan Bahan : Seperangkat komputer bersistem operasi Unix Ubuntu, pada kasus ini kita menggunakan Ubuntu server 10.04. OS sudah terintegrasi Packet Snort-mysql, acidbase, MYSQL-SERVER. Dengan dukungan koneksi jaringa HOST-ONLY-NETWORK,
mengkoneksikan komputer utama dengan komputer virtual
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
Komputer utama (client) 172.16.16.57Komputer virtual (server proxy) 172.16.16.60
Langkah kerja dan hasil : konfigurasi server tersebut sehingga tercapai tujuan komunikasi diantaranya :
- Terintegrasi snort, acidbase, sehingga dapat di cek melalui web browser
1. Cek IP komputer IDS, server
TAHAP INSTALASIInstall paket squid dengan perintah#apt-get install snort-mysql
TAHAP KONFIGURASI snort
1. Setelah proses instalasi akan muncul tabel seperti disamping
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
lakukan konfigursi sesuai gambar dibawah
masukan ipyang akan dijadikan port monitoring IDS
lakukan konfigursi sesuai gambar dibawah
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
lakukan konfigursi sesuai gambar dibawah
lakukan konfigursi sesuai gambar dibawah
lakukan konfigursi sesuai gambar dibawah
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
lakukan konfigursi sesuai gambar dibawah
lakukan konfigursi sesuai gambar dibawah
lakukan konfigursi sesuai gambar dibawah
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
lakukan konfigursi sesuai gambar dibawah
lakukan konfigursi sesuai gambar dibawah (Password a)
lakukan konfigursi sesuai gambar dibawah
konfigursi awal selesai..masuk ke folder konfigurasinya
Edit script seperti dibawah
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
IP tersebut adalah IP variable yang mendefinisikan HOME_NET dalam kasus ini IP home atau
Konfigurasi Output database untuk keperluan identifikasi database yang digunakan
Kemudian buat Rule yang akan digunakan sebagai dasar dari pengamatan
Alert ICMP $EXTERNAL_NET any -> $HOME_NET any (msg;”ada ping kesisni”;sid:9000;ref:0;)
Artinya jika ada ICMP (ping) dari luar home port apapun menuju home akan dibaca sid9000 ref0
2. Restart paket snort dengan perintah dibawah.#invoke-rc.d snort restart
KONFIGURASI MYSQL
Buat database untuk snort dan usernya (user=root password=a)#mysql –u root(masukan password root dari mysql)Mysql> create database snort;Mysql> Grant ALL on snort.* to root@localhost;Mysql> exit;
Perintah diatas digunakan untuk mengatur permision agar database snort dapat diakses denga menggunakan berbagaimacam opsi.
Ekstrak fileGunzip /usr/share/doc/snot-mysql/create_mysql.gzAktifkan skema user rootMysql snort –u root –p < /usr/share/doc/snort-mysql/create_mysql
KONFIGURASI ACIDBASE
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
Konfig file acidbase pada folder dibawah
APACHE.CONF
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
BASE_CONF.PHP
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
DATABASE.PHP
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
pengecekan
kondisi pada web browser setelah memanggil 172.16.16.60/acidbaseMencoba melakukan pengujian dengan melakukan proses ping ke komputer HOME_NET.lalu kita liat trafick yang ter jadi dalam acidbase
Laporan ADMIN SERVER (4) PROXY SERVER
Laporan ADMIN SERVER (4) PROXY SERVER
Pakcket ICMP berubah, menandakan ada trafick ICMP yang terbaca IDS
KESIMPULAN : KONFIGURASI PENERAPAN IDS DENGA MENGGUNAKAN SNORT BERBASIS DATABASE MENGGUNAKAN MYSQL DENGAN INTERFACE ACIDBASE
Laporan ADMIN SERVER (4) PROXY SERVER
top related