cara membuat host based intrussion detection system

1 Praktikum Keamanan Data | Host-Based Intrussion Detection System

LAPORAN PRAKTIKUM KEAMANAN DATA HOST BASED INTRUSSION DETECTION SYSTEM

a. Percobaan

1. Proses Instalasi Tripwire

Langkah awal sebelum proses instalasi adalah login sebagai root melalui perintah su(super user), kemudian masukkan passwordnya. Setelah berhasil masuk sebagai root, lakukan update menggunakan perintah apt-get update

Gambar disamping merupakan step awal dalam instalasi tripwire. Untuk perintah instalasi menggunakan apt-get install tripwire Ikuti langkah intalasi, pilih OK

Kemudian muncul dialog untuk meminta user membuat key passphrase seperti disamping, pilih yes


Jika kembali muncul seperti awal instalasi, lakukan tindakan yang sama sampai berhasil. Pilih OK

Akan muncul dialog pembuatan key passphrase kembali. Pilih Yes

Setelah berhasil, kemudian muncul tampilan untuk rebuild file configuration dari Tripwire. Pilih yes


Proses selanjutnya adalah rebuild file policy dari tripwire. Pilih yes

Masukkan site-key passphrase,misalnya student. Kemudian pilih OK

Masukkan kembali site-key passphrasekembali untuk memastikan key yang telah dimasukkan.


Setelah proses instalasi berhasil, maka akan muncul tampilan seperti disamping. Pada tampilan tersebut terdapat informasi bahwa binary dari tripwire terletak pada directory /usr/bindan database dari tripwire terletak pada /var/lib/tripwire.

Pada tampilan terminal awal juga ada pemberitahuan bahwa proses instalasi sudah berhasil.

Langkah selanjutnya adalah masuk pada directory tripwire dengan menggunakan perintah cd /etc/tripwire Ubah mode file tw.cfg dan tw.poldengan menggunakan perintah chmod 0600 tw.cfg tw.pol Mode 600 menunjukkan bahwa file hanya bisa dilihat dan dibaca.


2. Modifikasi file Policy & file Konfigurasi

Buka file twpol.txt menggunakan editor. vi /etc/tripwire/twpol.txt

Enkripsi file dengan menggunakan perintah twadmin --create-cfgfile --cfgfile ./tw.cfg--site-keyfile ./site.key ./twcfg.txt

Buka file twcfg.txt dengan menggunakan editor. Vi /etc/tripwire/twcfg.txt

Enkripsi file dengan menggunakan perintah twadmin --create-cfgfile --cfgfile ./tw.cfg--site-keyfile ./site.key ./twcfg.txt


3. Inisialisasi Database

Kemudian lakukan inisialisasi database dengan menggunakan perintah tripwire --init --cfgfile /etc/tripwire/tw.cfg \--polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key \--local-keyfile /etc/tripwire/debian-local.key untuk perintah debian-local key sesuaikan dengan hostname PC yang digunakan

Setelah melakukan perintah inisialisasi, maka program meminta user menginputkan key-local passphrase yang telah didaftarkan di awal instalasi.

4. Cek system

Lakukan check system dengan menggunakan perintah tripwire --check


Tampilan system yang dimonitor oleh program tripwire. Jika ada sesuatu yang berubah dari system, maka dapat dilakukan pengecekan dengan menggunakan perintah tripwire --check

5. Update File Policy

Lakukan update file policy (twpol.txt) dengan menggunakan perintah tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol \--site-keyfile ./site.key --local-keyfile ./HOSTNAME-local.key ./twpol.txt update ini difungsikan apabila ada perubahan pada file twpol.txt, misalnya menambahkan atau mengurangi folder yang dimonitor.


6. Update Database System File

Update database file system dengan menggunakan perintah tripwire --update -Z low --twrfile /var/lib/tripwire/report/debian-20130311-134129.twr debian-20130311-134129 merupakan host dan date (yyyymmdd-time) perintah tersebut berarti bahwa tripwire akan membandingkan antara database yang ada dengan file yang ada di system, kemudian akan menjalankan editor untuk memilih perubahan di database.

Setelah dilakukan perintah update database, maka program akan meminta verifikasi dengan memasukkan key-local passphrase kembali.


Tugas Percobaan 1. Jalankan perintah :

# tripwire –check

Catat dan analisa hasilnya

Gambar 1 Hasil perintah # tripwire –check

2. Kerjakan langkah-langkah dibawah dan analisa setiap langkahnya

a. Ubah file policy twpol.txt

# vim /etc/tripwire/twpol.txt

b. Tambahkan di baris paling bawah

(

rulename = "Kirim Notifikasi ke email",

severity = $(SIG_HI),

emailto = root@localhost

){}

Email akan dikirimkan ke akun email dari root dari system yang anda monitor.

Biasanya, email akan ditujukan kea kun user yang dapat bertindak sebagai root.

Gambar 2 Penambahan rule pada twpol.txt

c. Lakukan enkripsi terhadap file anda

# cd /etc/tripwire


# twadmin --create-polfile --cfgfile ./tw.cfg --site-keyfile

./site.key ./twpol.txt

Gambar 3 Melakukan enkripsi terhadap file twpol.txt

d. Ubah file konfigurasi untuk memasukkan informasi smtp:

# vi /etc/tripwire/twcfg.txt

…

MAILMETHOD =SMTP

SMTPHOST =localhost

SMTPPORT =25

…

Gambar 4 Pengubahan konfigurasi smpt pada twcfg.txt

e. Lakukan enkripsi terhadap file tersebut

# cd /etc/tripwire

# twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile

./site.key ./twcfg.txt

Gambar 5 Pengenkripsian terhadap file twcfg.txt

f. Jalankan test dengan menggunakan perintah:

# tripwire –test –email root@localhost

Gambar 6 Pengetesan pengiriman email tripwire ke localhost

g. Check email di akun user anda

$ mail


Gambar 7 Hasil pengecekan email pada user, terdapat banyak email test dikarenakan kelompok kami mengirim email test banyak kali

3. Buat sebuah file kosong . Kemudian salinlah ke dalam direktori /bin

# touch newfile.sh

# cp newfile.sh /root

4. Lakukan cek konsistensi dengan menjalankan perintah :

# tripwire –check

Catat dan analisa hasilnya.

Gambar 8 Hasilnya terlihat pada log tripwire yang menyatakan penambahan file dan pemodifikasian pada direktori root, kemudian dibeberapa keterangan dibawahnya menyebutkan warning terhadap penambahan file pada direktori root. Terdapat email pula yang

memberikan warning kepada user


5. Bandingkan hasil dari perintah pada nomor 1 dan nomor 4.

Gambar 9 Hasil yang berbeda terlihat pada bagian pada gambar di atas

cara membuat host based intrussion detection system

Documents