LaporanPratikum

1 PratikumKeamanan Data

Intrusion Detection System

MenggunakanSnort Keamananjaringanmenjadifokuspentingdalammelindungiseranganterhadapinformasiatauaset yang

berhargabagisebuahorganisasi. Salah satumetodepengamanan yang

baikadalahmembangunsistempendeteksipenyusupan.

Intrusion Detection System berfungsimelakukanpengamatan (monitoring) kegiatan-kegiatan yang

tidaklazimpadajaringan, sehinggalangkahawaldari para penyerangdapatdiketahui. Dengandemikian

administrator jaringanbisamelakukantindakanpencegahandanbersiapataskemungkinan yang

akanterjadikemudian. Ada beberapaalasanuntukmenggunakan IDS, diantaranyaadalah :

Mendeteksiserangandanpelanggarankeamanansistemjaringan yang tidakbisadicegaholeh

firewall, danjuga

Mencegahresikokeamanan yang terusmeningkat agar serangantidakterulangkembali.

Untukmembangun IDS tentuadabanyakhal yang perludipertimbangkanentahdenganbiaya yang

mahaldenganmemanfaatkanbeberapa device yang memilikimodul IDS, adapula yang

tanpabiayadenganmemanfaatkansebuah open source yang telahada. Melihatadasesuatu yang

dapatdibangundengan gratis tentulahbanyaksekali orang yang memanfaatkannya,

karenacukupmudahmemanfaatkan tools tersebut. Tools umum yang banyaksekalidigunakanadalah

Snort IDS.

Dalampengoperasiannya, Snort memiliki 3 mode yaitu:

1. Sniffer mode,untukmelihatpaket yang lewat di jaringan.

2. Packet logger mode,untukmencatatsemuapaket yang lewat di jaringanuntuk di analisa di

kemudianhari.

3. Intrusion Detection mode,pada mode ini snort akanberfungsiuntukmendeteksiserangan

yang dilakukanmelaluijaringankomputer. Untukmenggunakan mode IDS ini di perlukan setup

dariberbagai rules / aturan yang akanmembedakansebuahpaket normal denganpaket yang

membawaserangan.

Snort Setup Padapembahasan kali inidigunakanMikroTikRouterBoard 1100.

Padapembahasaninidigunakan 3 NIC dengan detail penggunaansebagaiberikut:

eth1dengan 10.252.108.14, IP address yang berasaldari EEPIS server (dalamhalini, IP address

inidianggap IP publik), didapatdari DHCP EEPIS Server .

eth3dengan 192.168.1.1 private IP address, jaringanprivatdigunakanuntuk client.

eth4dengan master port eth3 sehinggamenggunakan private IP address.

LaporanPratikum

2 PratikumKeamanan Data

Berikutpenggambaranskemapadapembahasan:

Setelahkonfigurasi router danclientsudahdibuat,

lingkungandapatdigunakanuntukmelakukanpercobaanmenggunakan Snort.

Instalasi Snort Lakukaninstalasi snort pada Client1. Padapercobaanini Client1 digunakansebagai PC server temapat

Snort diinstal.

# apt-get install snort

Kemudianmasukkan range network yang akandianalisa. Berikuthasilpemasukan range network

untukinstalasi snort:

LaporanPratikum

3 PratikumKeamanan Data

Menjalankan Snort dalam Sniffer mode Sepertisudahdibahasdiatasbahwa Snort memiliki 3 mode pengoperasian,

padapembahasaniniakandibahas mode pengoperasiantersebut. Mode yang pertamaadalah Sniffer

mode. Untukmenjalankan snort pada sniffer mode tidaklahsukar, beberapacontoh parameter yang

dapatdigunakan di bawahini:

#snort –v

Berikuthasilperintah #snort –v:

Setelah startup, Snort menampilkan mode, logging directory dan interface Snort langsung me-listen

pada port. Kemudian Snort mulai men-dump paket. Snort akanmeng-generate ringkasanpaket yang

diambil, termasukprotokoldanstatistiklainnya, sepertifragmentasipaket. Opsi -d akanmenampikan

data aplikasi. Opsiinimenyediakan output bahkanlebihrinci. Data

aplikasiterlihatjelasdandapatmelihatteksbiasadalampaket.

LaporanPratikum

4 PratikumKeamanan Data

#snort –vd

Berikuthasilperintah #snort –vd:

Untukmelihatlebih detail danmendapatkanhasil yang miripdengantcpdump (termasuk header

lapisan data link), gunakanopsi -ejuga. Menggunakanopsi-d danopsi -

eakanmenampilkanhampirsemua data di dalampaket.

LaporanPratikum

5 PratikumKeamanan Data

#snort –vde

Berikuthasilperintah #snort –vde:

Kebanyakanjaringanakanmenghasilkanload off trafficdan output sniffer Snort

kelayarakanbergulirdengansangatcepat. Jadilebihbaikuntukmengarahkan output kesebuah file log

gantinya.

LaporanPratikum

6 PratikumKeamanan Data

#snort –v –d –e

Berikuthasilperintah#snort –v –d –e:

denganmenambahkanbeberapa switch –v, -d, -e akanmenghasilkanbeberapakeluaran yang berbeda,

yaitu:

-v, untukmelihat header TCP/IP paket yang lewat.

-d, untukmelihatisipaket.

-e, untukmelihat header link layer paketsepertiEthernet header.

LaporanPratikum

7 PratikumKeamanan Data

Menjalankan Snort dalam Packet Logger mode Karenaoutput sniffer Snort kelayarakanbergulirdengansangatcepat,

untukmempermudahpembacaanmasukkanhasil snort kedalam file, jalankanperintahberikut:

#snort –dev –i eth0 –L /var/log/snort/snort.log

Berikuthasil me-log-kanhasil snort pada snort.log

Akan menghasilkansebuah file di folder /var/log/snort. Berikuthasilperintah # lsdari folder

/var/log/snort:

Untukmembaca file snort (misal: snort.log.1234) berikan option –r pada snort

# snort -dev -r /var/log/snort/snort.log.1234

Berikuthasil read dari snort.log yang sudahdigenerate

Log yang di-generate oleh Snort adalah log yang dienkripsi.

LaporanPratikum

8 PratikumKeamanan Data

Menjalankan Snort dalamNIDS (Network Intrusion Detection

System) mode Mode operasi snort yang paling rumitadalahsebagaipendeteksipenyusup (intrusion detection) di

jaringan yang kitagunakan. Cirikhas mode

operasiuntukpendeteksipenyusupadaahdenganmenambahkanperintahke snort untukmembaca file

konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasiinilumayanbanyak,

tapisebagianbesartelah di set secarabaikdalamcontohsnort.conf yang dibawaoleh source snort.

Untukmenjalankansnort dengan mode NIDS, opsi e dihilangkankarenakitatidakperlumengetahui link

layer MAC. Opsi v dihilangkanjuga, jalankanmenggunakan option sebagaiberikut:

#snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort/snort.conf

Berikuthasileksekusiperintahdari snort running In IDS mode:

Untukmengetahuikerja Snort dalam NIDS mode, jalankan scanning darikomputer lain (PC Client)

dengannmapmenujukomputer yang andapasangi snort (PC Server). Terlebihdulujalankan snort

dengan mode NIDS, kemudianlakukan scanning denganperintah:

#snort -d -h 192.168.1.0/24 host <no_ip_snort> -l /var/log/snort –c

/etc/snort/snort.conf

Berikutmerupakanhasilnmapdari client2 ke client 1:

LaporanPratikum

9 PratikumKeamanan Data

Setelah di scan menggunakannmap. Untukmelihatapa yang dicatatoleh snort, dapat dihasil log snort,

atauuntukmempermudahnya, dapatdilihat di alert log snort. Berikuthasil yang di tangkapoleh alert

log snortpada port 53.

[**] [1:257:9] DNS named version attempt [**] [Classification: Attempted Information Leak] [Priority: 2] 04/08-03:31:08.565026 192.168.1.253:62292 -> 192.168.1.252:53 TCP TTL:128 TOS:0x0 ID:22366 IpLen:20 DgmLen:72 DF ***AP*** Seq: 0x55293CD9 Ack: 0x190DE26D Win: 0x100 TcpLen: 20 [Xref => http://cgi.nessus.org/plugins/dump.php3?id=10028][Xref =>http://www.whitehats.com/info/IDS278] Untukpercobaanberikutyaadalahpercobaanmembuat rule baru. rulebarusimpan di /etc/snort/rules. Rule yang dibuatkuranglebihadalahsepertiberikut: alert tcp any any -> any any (content:”10.252.108.99”; msg:”Someone is visiting Webfig”;sid:1000001;rev:1;) alerttcp any any -> any any (msg:"TCP Traffic";sid:1000002;rev:0;) Rule diatasbermaksuduntukmemberikan alert ketikaadatransaksidat TCP dariIpberapasajadan port

berapasajakemudiake IP berapasajake port

berapasajadengankonten10.252.108.99akanmemberikanpesansepertidiatas.

Kemudiantambahkaninclude $RULE_PATH/alltcp.rulespada/etc/snort/snort.conf. kemudian restart

sevice snort.

Hasilnyaadalah