LAPORAN RESMI PRAKTIKUM KEAMANAN DATA LAPORAN RESMI INTRUSION DETECTION SYSTEM SNORT

Transkripsi

1 Nama Anggota Kelompok : LAPORAN RESMI PRAKTIKUM KEAMANAN DATA 1. Mursidayanti Aprilia R Nanda Pratyaksa Adam Shidqul Aziz Kelas : 3 D4 IT B LAPORAN RESMI INTRUSION DETECTION SYSTEM SNORT A. TUJUAN PEMBELAJARAN: 1. Mengenalkan pada mahasiswa tentang konsep Intrusion Detection System 2. Mahasiswa mampu melakukan installasi dan konfigurasi SNORT sebagai tools IDS 3. Mahasiswa mampu membangun rule baru untuk mendeteksi eksploit terbaru B. DASAR TEORI Deteksi Penyusupan (Intrusion Detection) Deteksi penyusupan adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis. Program yang dipergunakan biasanya disebut sebagai Intrusion Detection System (IDS). Tipe dasar dari IDS adalah: - Rule-based systems - berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan. - Adaptive systems - mempergunakan metode yang lebih canggih. Tidak hanya Snort berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru. Mengoperasikan Snort Tiga (3) buah mode, yaitu 1. Sniffer mode, untuk melihat paket yang lewat di jaringan. 2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari. 3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS 1

2 ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan. C. PERCOBAAN 1. Bangunlah jaringan sebagai berikut : Gambar Topologi Percobaan Snort 2. Konfigurasi sesuai dengan topologi yang diminta : Sebelum memasang snort maka kita harus melihat ip address dari server yang akan dipasangi snort terlebih dahulu. Untuk melihat ip address dari computer server adalah dengan perintah ifconfig seehingga akan menampilkan ip address dari computer server yaitu Lakukan installasi snort pada PC Server # apt-get install snort 2

3 Setelah melihat ip address dari computer server, maka selanjutnya adalah instalasi snort pada computer server dengan perintah apt-get install snort. Masukkan range network yang akan dianalisa : Address range for the local network : /16 Selanjutnya, setelah melakukan installasi snort maka konfigurasi snort dengan memasukkan range network yang akan dianalisa dimana pada percobaan ini address range untuk local network adalah / Manjalankan snort a. Bekerjalah dengan kelompok anda, salah satu menjalankan snort (PC Server) dan yang lain menjalankan aplikasi yang lain (PC Client). 3

4 Pada praktikum kali PC Server menggunakan komputer server yang telah disediakan. Untuk melakukan konfigurasi terhadap PC Server dapat dilakukan dengan menggunakan telnet / ssh. b. Jalankan perintah ping dan nmap dari PC Client ke PC Server. Pada saat menjalakan snort, langkah pertama adalah melakukan pengecekan ke computer server apakah sudah terhubung dengan client atau belum dengan menggunakan perintah ping. Perintah #nmap digunakan untuk melihat port yang sedang aktif. c. Jalankan snort dengan menggunakan mode sniffer #snort v #snort vd 4

5 #snort vde 5

6 #snort v d e Ket : Running in packet dump mode Jelaskan perbedaan hasil dari option di atas. Analisa Setiap perintah #snort [option] akan menampilkan informasi informasi secara detail mulai dari sequence, acknowledge yang digunakan. Semua port akan diperiksa oleh snort dan akan dihitung jumlah message yang bertransmisi selama proses snort terjadi. d. Untuk mempermudah pembacaan masukkan hasil snort ke dalam file, jalankan perintah berikut : #snort dev i eth0 L /var/log/snort/snort.log Ket : Running in packet logging mode 6

7 Perintah diatas digunakan untuk mempermudah pembacaan masukkan hasil snort ke dalam file. Seluruh hasil dari proses snort akan dimasukkan bahasa yang telah dienkripsi sehingga untuk membacanya perlu perintah tertentu. Akan menghasilkan sebuah file di folder /var/log/snort, lihat dengan perintah : # ls /var/log/snort Output diatas merupakan file hasil pembacaan masukan hasil snort yang disimpan dalam direktori /var/log/snort. e. Untuk membaca file snort (misal : snort.log.1234) berikan option r pada snort # snort -dev -r /var/log/snort/snort.log.1234 Output diatas adalah hasil dari file snort yang telah dibaca dengan menggunakan perintah -r. perintah tersebut untuk menampilkan sekaligus melakukan decript terhadap hasil yang di-encript sebelumnya. 5. Menjalankan snort dengan mode NIDS (Network Intrusion Detection System) a. Opsi e, dihilangkan karena kita tidak perlu mengetahui link layer MAC. Opsi v dihilangkan juga, jalakan menggunakan option sbb : #snort -d -h /24 -l /var/log/snort -c /etc/snort/snort.conf Ket : Running in IDS mode 7

8 b. Bekerjasamalah dengan rekan anda. Sekarang coba jalankan scanning dari komputer lain (PC Client) dengan nmap menuju komputer yang anda pasangi snort (PC Server). Terlebih dulu jalankan snort dengan mode NIDS, kemudian lakukan scanning dengan perintah : # snort -d -h /24 host <no_ip_snort> -l /var/log/snort c /etc/snort/snort.conf #nmap -ss -v <no_ip_snort> 8

9 Melakukan scanning dari dari computer client ke computer server yang sudah dipasangi snort. Tetapi sebelum melakukan scanning, jalankan snort terlebih dahulu pada computer server dengan mode NIDS. c. Lihatlah apakah scan anda terekam oleh snort. Jika iya, copy paste hasil snort pada bagian scanning SYN. Untuk melihat, gunakan perintah : # snort dev r <nama-log-file> more 9

10 Pada output diatas untuk melihat apakah scanning dari computer client terekam oleh snort atau tidak. Apakah scanning ini ditandai sebagai alert? Coba lihat di /var/log/snort, gunakan perintah : # vim /var/log/snort/alert 10

11 d. Jalankan snort. Buka halaman web. Apakah ini terdeteksi sebagai alert? Akses tidak terdeteksi sebagai alert oleh system snort. e. Sekarang coba ubah rule snort. Buat rule baru yaitu alltcp.rules dan simpan di /etc/snort/rules # vim /etc/snort/rules/alltcp.rules alert tcp any any -> any any (content: ; msg: Someone is visiting Facebook ;sid: ;rev:1;) alert tcp any any -> any any (msg:"tcp Traffic";sid: ;rev:0;) Apa artinya? Ket : any any (host port), sid harus lebih dari 1 juta, rev mulai dari 0. 11

12 Membuat rule baru yang akan digunakan untuk percobaan selanjutnya apakah bisa atau tidak dan melihat perbedaan dari rule lama dan rule baru yang telah dibuat. Pastikan space serta enter terletak pada bagian yang tepat. f. Coba lihat snort.conf. Beri tanda # pada semua rule lain dan tambahkan rule anda yaitu : alltcp.rules. # vim /etc/snort/snort.conf include $RULE_PATH/alltcp.rules Menambahkan rule baru yang telah dibuat dan menonaktifkan rule-rule lama agar dapat melihat apakah fungsi dari rule baru yang dibuat sudah benar atau tidak. g. Lakukan restart aplikasi snort anda : # /etc/init.d/snort restart Setelah membahkan rule baru dan menonaktifkan semua rule lama, maka restart snort agar dapat mencoba menggunakan dengan rule yang baru. h. Bukalah halaman web untuk mengakses lihatlah apakah ada tanda sebagai alert atau tidak 12

13 i. Coba lakukan scanning seperti perintah b. Lihatlah apakah ada tanda sebagai alert atau tidak Untuk mengetahui beberapa baris terakhir dari informasi alert : # tail f /var/log/snort/alert Terdapat dua role yang didefinisikan kedalam system. Namun ketika kedua proses dijalankan hanya satu proses yang dianggap alert yaitu proses TCP Traffic. Akses terhadap tidak terdeteksi sebagai alert. Kemungkinan karena port yang di-scan tidak termonitor oleh snort. Karena akses facebook dilakukan pada PC Client. j. Apa yang dapat anda simpulkan dari langkah diatas? Rule dapat didefinisikan sendiri oleh user sesuai dengan kebutuhan. Didalam pengaturan rule snort banyak informasi yang dapat diatur mulai dari port, dan http yang akan diakses. Soal 1. Berikan kesimpulan hasil praktikum yang anda lakukan. Jawab : Snort merupakan aplikasi system yang digunakan untuk melakukan deteksi terhadap gangguan yang mungkin dan akan terjadi. Gangguan tersebut datang dari sniffer. Banyak rule / aturan yang diterapkan oleh snort. Selain itu user dapat mendefinisikan sendiri rule yang akan diterapkan pada snort yang digunakan. Setiap gangguan yang dapat akan dideteksi oleh alert. Dan pada alert tersebut akan terdapat message alert sesuai dengan yang telah didefinisikan. 2. Download rule terbaru di snort dan bandingkan dengan rule yang lama, apa saja perubahan yang ada! 13

14 Jawab : Penerapan rule yang baru terlihat pada penambahan rules yang diterapkan. Namun untuk mendeteksi gangguan tergantung pada rule yang diterapkan. 3. Jelaskan rule apa saja yang bisa didekteksi oleh snort! Jawab : rule yang diterapkan oleh snort secara default : chat, ddos, dns, dos, ftp, icmp, mysql, netbios, oracle, dll. 4. Untuk mempermudah pembacaan data snort dimungkinkan dimasukkan dalam database, carilah artikel tentang konfigurasi snort menggunakan database? Jawab : Install database #apt-get install mysql-server #apt-get install php5 php5-mysql php5-gd php-pear #apt-get install snort-mysql Create database Mysql u root p >create database snort; >grant all on snort * to snortuser@localhost identified by snortpwd ; >flush privillages 5. Jelaskan juga aplikasi yang bisa dipakai untuk membaca database snort! Jawab : Tripwire 6. Apa yang dimaksud promiscuous mode? Jawab : promiscuous mode merupakan mode untuk NIC berkabel atau wireless NIC yang menyebabkan controller melewatkan semua traffic yang diterima oleh CPU. Promiscuous mode sering digunakan untuk mendiagnosa konektivitas network. Terdapat program menggunakan fitur ini untuk menampilkan semua data yang sedang dikirimkan melewati jaringan. beberapa protocol seperti FTP dan Telnet mengirimkan data dan password pada clear text, tanpa enkripsim dan scanner jaringan dapat melihat data ini. Promiscuous mode dapat digunakan untuk memantu jaringan. pada promiscuous mode, mungkin mengirimkan response kepada frame bahkan mespikun mereka dialamatkan pada mesin yang lain. 14