LAPORAN RESMI KEAMANAN JARINGAN INTRUSION DETECTION SYSTEM (SNORT)

Transkripsi

1 LAPORAN RESMI KEAMANAN JARINGAN INTRUSION DETECTION SYSTEM (SNORT) Oleh : Akbar Nadzif Dosen Pengampu : Ferry Astika Saputra PROGRAM STUDI D3 TEKNIK INFORMATIKA DEPARTEMEN TEKNIK INFOR MATIKA DAN TEKNIK KOMPUTER POLITEKNIK ELEKTRONIKA NEGERI SURABAYA 2016

2 LAPORAN RESMI KEAMANAN JARINGAN A. TUJUAN 1. Mengenalkan pada mahasiswa tentang konsep Intrusion Detection System 2. Mahasiswa mampu melakukan instalasi dan konfigurasi SNORT sebagai tools IDS 3. Mehasiswa mampu membangun rule baru untuk mendeteksi eksploti baru B. DASAR TEORI Deteksi Penyusupan (Intrusion Detection) Deteksi penyusupan adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis. Program yang dipergunakan biasanya disebut sebagai Intrusion Detection System (IDS). Tipe dasar dari IDS adalah: Rule-based systems - berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan. Adaptive systems - mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru. Bentuk yang sering dipergunakan untuk komputer secara umum adalah rule-based systems. Pendekatan yang dipergunakan dalam rule-based systems ada dua, yakni pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah waktu saja. Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintas jaringan. Jika ditemukan paket yang mencurigakan, maka program akan melakukan tindakan yang perlu. Pendekatan reaksi, program pendeteksi penyusupan hanya mengamati file log. Jika ditemukan paket yang mencurigakan, program juga akan melakukan tindakan yang perlu. Snort Mengoperasikan Snort Tiga (3) buah mode, yaitu : Sniffer mode, untuk melihat paket yang lewat di jaringan. Packet logger mode, untuk mencatat semua paket yang lewat di jaringanuntuk di analisa di kemudian hari. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan. C. PERCOBAAN

3 1. Network Card Configuration #sudo apt-get install -y ethtool #sudo vi /etc/network/interfaces post-up ethtool -K eth0 gro off post-up ethtool -K eth0 lro off Melakukan restart jaringan serta memverifikasi bahwa LRO dan GRO are disabled. 2. Installing the Snort Pre-Requisites #sudo apt-get install -y build-essential #sudo apt-get install -y libpcap-dev libpcre3-dev libdumbnet-dev

4 Membuat folder untuk menampung file Snort yang akan di download mkdir ~/snort_src cd ~/snort_src Snort DAQ (Data AcQuistion library) #sudo apt-get install -y bison flex 3. Installing Snort #sudo apt-get install -y zlib1g-dev liblzma-dev openssl libssl-dev

5 Selain itu juga dibutuhkan Snort source #sudo ldconfig #sudo ln -s /usr/local/bin/snort /usr/sbin/snort #snort -V 4. Configuration Snort to Run in NIDS Mode Pada tahap ini akan dilakukan konfigurasi dengan membuat file dan direktori untuk melakukan set permissions pada Snort.. untuk konfigurasi file di /etc/snort/. Untuk Alert akan di tulis di /var/log/snort. Untuk file yang telah di compile akan masuk ke /usr/local/lib/snort.

6 Pada gambar command diatas juga dilakukan change ownership sudo chown -R snort:snort /etc/snort sudo chown -R snort:snort /var/log/snort sudo chown -R snort:snort /usr/local/lib/snort_dynamicrules Hal ini dilakukan karena snort perlu melakukan konfigurasi file dan melakukan copy dynamic preprocessor dari snort source ke folder /etc/snort. Konfigurasi file meliputi : classification.config threshold.conf file_magic.conf attribute_table.dtd reference.config gen-msg.map snort.conf unicode.map Melakukan listing direktori snort dengan Tree #sudo apte-get install tree

7 Untuk listing directori nya seperti ini : #sudo sed -i "s/include \ RULE\_PATH/#include \ RULE\_PATH/" /etc/snort/snort.conf Melakukan setting melalui command line #sudo nano /etc/snort/snort.conf #sudo snort -T -i eth0 -c /etc/snort/snort.conf

8 5. Writing a Simple Rule to Test Snort Detection Snort Configuration #sudo snort -T -c /etc/snort/snort.conf -i eth0 #sudo /usr/local/bin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

9 Gambar dibawah adalah melakukan ping dari PC lain, untuk memastikan Snort computer berhasil. 6. Installing Barnyard2 #sudo apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool edit the /etc/snort/snort.conf fille, and after line 521 output unified2: filename snort.u2, limit 128

10 Now download and install Barnyard release 336: Saya melakukan download dari pc lain dan melakukan scp file cd ~/snort_src Setelah selesai melakukan install ke /usr/local/bin/barnyard2, selanjutnya adalah #make #sudo make install

11 Konfigurasi MySQL Snort #mysql -u root -p #sudo chmod o-r /etc/snort/barnyard2.conf Masuk ke /var/log/snort direktori

12 Untuk mengecek data yang aktif #mysql -u snort -p -D snort -e "select count(*) from event" 7. Installing PulledPork #sudo apt-get install -y libcrypt-ssleay-perl liblwp-useragent-determined-perl Download and install the PulledPork perl script and conguration files Check that PulledPork runs by checking the version, using the -V flag 8. Configuring PulledPork to Download Rulesets Configure PulledPork by editing /etc/snort/pulledpork.conf with the following command #sudo nano /etc/snort/pulledpork.conf Lakukan (comment out lines 19 and 26).

13 #sudo /usr/local/bin/pulledpork.pl -c /etc/snort/pulledpork.conf -l 9. Creating Startup Scripts Melakukan konfigurasi pada snort.conf dengan command line #sudo nano /lib/systemd/system/snort.service Snort ukses memvalidasi Mengaktifkan snort #sudo systemctl enable snort Melakukan start snort dan mengecek apakah snort aktif atau tidak. #sudo systemctl start snort #systemctl status snor Konfigurasi barnyard #sudo vi /lib/systemd/system/barnyard2.service #sudo systemctl enable barnyard2 #sudo systemctl start barnyard2 #systemctl status barnyard2

14 10. Melakukan instalasi untuk menjalankan Database phpmyadmin - Menginstal goldeneye - Menginstall IDSwakeup - Melakukan penetration untuk testing

15 - Malakukan cekpada database, apakah ada data yang terdeteksi oleh snort dan disimpan di database atau tidak - Melakukan cek langsung pada halaman web dari phpmyadmin

16 Hasilnya adalah ditemukan berupa nilai dari data yang terdeteksi yakni 70. D. KESIMPULAN Dari percobaan ini, kita belajar melakukan pehaman terhadap konsep SNORT dalam kaitanya sebagai Intrution Detection System. Dalam prosesnya kita harus melakukan beberapa alur yang harus di penuhi untuk mengetahui kinerja dari system SNORT untuk mendeteksi serangan yang ada. Disini kami mencoba menggunakan PING sebagai alat serang dan akan dideteksi oleh system yang kemudian dsimpan dalam database. Untuk alur yang panjang sebelum menjalankan proses SNORT ini perlu mengikuti rule-rule dimana kita harus malakukan beberapa instalasi program speerti snort, service, barnyard, phpmyadmin, goldeneye dan IDSwakup sebagai pendeteksi serangan yang masuk. Dari percobaan diatas kita dapat mengetahui kinerja snort dalam mendeteksi serangan.