INTRUSION DETECTION SYSTEM [SNORT]

dokumen-dokumen yang mirip
MODUL 7 INTRUSION DETECTION SYSTEM [SNORT]

INTRUCTION DETECTION SYSTEM [SNORT. Kelompok 1. Muhammad Nawawi. Oleh : Muhammad Nawawi Fadlul fikri Abid famasyah

TUJUAN PEMBELAJARAN: DASAR TEORI

MODUL 3 INTRUSION DETECTION SYSTEM SNORT

LAPORAN RESMI PRAKTIKUM KEAMANAN DATA LAPORAN RESMI INTRUSION DETECTION SYSTEM SNORT

BAB II TEORI PENDUKUNG

LAPORAN RESMI KEAMANAN DATA IDS Snort

SISTEM KEAMANAN JARINGAN KOMPUTER DENGAN MENGGUNAKAN FIREWALL IPTABLES DAN SNORT

THREAT PACKET ANALYSIS USING SNORT

1. Jalankan komputer Linux Backtrack. Buka jendela Terminal. 2. Pada jendela Terminal window, ketikan perintah berikut, dan lanjutkan dengan Enter:

SNORT : Tools deteksi intrusi pada system. (tutorial pada system Unix) 1.0 Pengantar dari

Gambar 1. Topologi Jaringan Scanning

IMPLEMENTASI PENGAMANAN JARINGAN MENGGUNAKAN INTRUSION DETECTION SYSTEM (IDS) DAN IP TABLES BERBASIS LINUX DI LAB POLITEKNIK TELKOM

LAPORAN RESMI KEAMANAN JARINGAN INTRUSION DETECTION SYSTEM (SNORT)

UNIVERSITAS INDONESIA. Pengembangan dan Analisa Kinerja Intrusion Detection Prevention System (IDPS) pada Web Server TESIS

TUGAS KEAMANAN JARINGAN SNORT

BAB 3 ANALISIS DAN PERANCANGAN SISTEM

PENDETEKSIAN SERANGAN DDOS (DISTRIBUTED DENIAL OF SERVICE) MENGGUNAKAN IDS (INTRUSION DETECTION SYSTEM)

Intrusion Detection System

TUTORIAL SNORT UNTUK IDS

BAB II LANDASAN TEORI

BAB 4 IMPLEMENTASI DAN EVALUASI. Untuk membangun sebuah Network Intrusion Prevention System (NIPS), penulis

BAB 4 IMPLEMENTASI DAN EVALUASI. Untuk membangun sebuah network intrusion detection system (NIDS), dapat

BAB 3 METODOLOGI. Berikut adalah diagram alir kerangka berpikir dalam melakukan

BAB III PEMBAHASAN. 3.1 Analisis Fisik Bangunan. Dari hasil analilis yang telah dilakukan di Balai Besar Bahan dan Barang

BAB IV PENGUJIAN DAN ANALISA

ANALISIS PERBANDINGAN KINERJA INSTRUSION DETECTION SYSTEM (IDS) SNORT DAN SURICATA DALAM MENDETEKSI SERANGAN DENIAL OF SERVICE PADA SERVER LINUX

SISTEM KEAMANAN JARINGAN KOMPUTER MENGGUNAKAN SNORT

BAB 4 HASIL DAN PEMBAHASAN

ANALISA SISTEM KEAMANAN INTRUSION DETECTION SYSTEM (IDS)

Jurnal JARKOM Vol. 2 No. 2 Juni2015

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, Program Studi Teknik Informatika, Universitas Pasundan Bandung

IMPLEMENTASI INTRUSION DETECTION SYSTEM UNTUK PENINGKATAN KEAMANAN JARINGAN PT TRIPUTRA AGRO PERSADA

Jurnal JARKOM Vol. 2 No. 1 Desember 2014

1. BAB 1 PENDAHULUAN. 1.1 Latar Belakang

ANALISIS PENGGUNAAN PORTSENTRY SEBAGAI TOOLS INTRUSION DETECTION SYSTEM PADA JARINGAN KOMPUTER

PortSentry dapat di download secara pada

Bab III Implementasi Ossim

APLIKASI HIERARCHICAL CLUSTERING PADA INTRUSION DETECTION SYSTEM BERBASIS SNORT

BAB 3 Metode dan Perancangan Sistem

BAB I PENDAHULUAN. sistem informasi. Sementara itu, masalah keamanan ini masih sering kali

IDS (Intrusion Detection Systems )

BAB II ANALISIS DAN PERANCANGAN. komputer, printer dan peralatan lainnya (biasa disebut node) yang terhubung

IMPLEMENTASI METODE IPS (INTRUSION PREVENTION SYSTEM) TERHADAP SERANGAN BACKDOOR DAN SYNFLOOD

DETEKSI DAN PENCEGAHAN FLOODING DATA PADA JARINGAN KOMPUTER

PortSentry dapat di download secara pada

PRAKTIKUM 3 Dynamic Host Configuration protocol pada Linux (Ubuntu) dan Windows 1. Praktikum 4. Dynamic Host Configuration Protocol

IDS, Dingap, dan Honeypot Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

Gambar 2.1. Bagian IDS

BAB 1 PENDAHULUAN Latar Belakang

BAB 4 HASIL DAN PEMBAHASAN

PRESENTATION IDS (Intrusion Detection System) Ade Surya Iskandar a.k.a patusa.cyber

Modul 1 Network Scanner & Probing

Rancang Bangun Sistem Monitoring Keamanan Jaringan Prodi Teknik Informatika Melalui SMS Alert dengan Snort

BAB I PENDAHULUAN 1.1 Latar Belakang

OPTIMALISASI SISTEM KEAMANAN JARINGAN BERBASIS SNORT

Koneksi TCP sebelum Spoofing

BAB II LANDASAN TEORI

BAB I PENDAHULUAN. Kebutuhan akan informasi dan komunikasi dewasa ini menjadi sangat

PENDAHULUAN. Bab Latar Belakang

Gambar 13.1 Sniffing pada jaringan antara router 1 dan 2

Monitoring The Network

Bab 3. Metode dan Perancangan Sistem

ARP (Address Resolutio Protocol) Secara internal ARP melakukan resolusi address tersebut dan ARP berhubungan langsung dengan Data Link Layer. ARP meng

Sniffers and Electronic Eavesdropping

Bab 4 Hasil dan Pembahasan

Pendahuluan Tinjauan Pustaka

LAPORAN RESMI KEAMANAN DATA Network Scanner & Network Probing

SNORT IDS SEBAGAI TOOLS FORENSIK JARINGAN UNIVERSITAS NUSANTARA PGRI KEDIRI

Implementasi Intrusion Detection System Pada Rule Based System Menggunakan Sniffer Mode Pada Jaringan Lokal

Jurnal JARKOM Vol. 2 No. 1 Desember 2014

LAPORAN RESMI M. RIZAL PRIHARTADI ( ) ANDI GUSTAF ACHMAD ( ) TITIS OCTARY SATRIO ( )

Cara instal dan konfigurasi FTP SERVER

MODUL 5 ACCESS CONTROL LIST

ATTACK TOOLS. Oleh: M. RUDYANTO ARIEF 1

atau berubahnya metoda untuk mengoperasikan sistem.

KONFIGURASI JARINGAN KOMPUTER dan Pengenalan Packet Tracer

Didha Dewannanta I. Dasar Teori. Lisensi Dokumen:

LAPORAN RESMI PRAKTIKUM KEAMANAN JARINGAN PRAKTIKUM 3 NETWORK SCANNING AND NETWORK PROBING

PERALATAN YANG DIBUTUHKAN: 1. Beberapa PC yang akan dihubungkan dalam jaringan. 2. Hub sebagai penghubung jaringan. 3. Kabel jaringan secukupnya.

IMPLEMENTASI INTRUSION DETECTION SYSTEM (IDS) MENGGUNAKAN JEJARING SOSIAL SEBAGAI MEDIA NOTIFIKASI

LAPORAN PENDAHULUAN PRAKTIKUM KEAMANAN DATA Network Scanner dan Network Probing

IMPLEMENTASI SNORT SEBAGAI ALAT PENDETEKSI INTRUSI MENGGUNAKAN LINUX ABSTRACT

PRAKTIKUM ADMINISTRASI JARINGAN KOMPUTER DHCP SERVER

Kolaborasi Intrusion Detection System Berbasis Publish/Subscribe

BAB II TINJAUAN PUSTAKA. intrusion detection system (IDS) sebagai dasar menjelaskan deteksi intrusi adalah

Evaluasi Keamanan Sistem Informasi

SELF DEFENDING LINUX NETWORK

Investigasi Web Attack Menggunakan Intrusion Detection System (IDS) dan Access Log

Implementasi Intrusion Detection System Pada Rule Based System Menggunakan Sniffer Mode Pada Jaringan Lokal

BAB III METODOLOGI 3.1 Analisis Kebutuhan Sistem Kebutuhan Perangkat Keras

ANALISA GENERALISASI RULES MENGGUNAKAN SNORT IDS SKRIPSI

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

ANALISA DAN KONFIGURASI NETWORK INTRUSION PREVENTION SYSTEM (NIPS) PADA LINUX UBUNTU LTS TUGAS AKHIR

BAB 4 Hasil dan Pembahasan

Mengamankan Sistem Informasi. Gentisya Tri Mardiani, S.Kom

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Transkripsi:

INTRUSION DETECTION SYSTEM [SNORT] TUJUAN PEMBELAJARAN: 1. Mengenalkan pada mahasiswa tentang konsep IDS di linux 2. Mahasiswa memahami konsep IDS : Snort yang ada di linux 3. Mahasiswa mampu melakukan konfigurasi dan analisa terhadap aplikasi snort DASAR TEORI Deteksi Penyusupan (Intrusion Detection) Deteksi penyusupan adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis. Program yang dipergunakan biasanya disebut sebagai Intrusion Detection System (IDS). Tipe dasar dari IDS adalah: Rule-based systems - berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan. Adaptive systems - mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru. Bentuk yang sering dipergunakan untuk komputer secara umum adalah rule-based systems. Pendekatan yang dipergunakan dalam rule-based systems ada dua, yakni pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah waktu saja. Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintas jaringan. Jika ditemukan paket yang mencurigakan, maka program akan melakukan tindakan yang perlu. Pendekatan reaksi, program pendeteksi penyusupan hanya mengamati file log. Jika ditemukan paket yang mencurigakan, program juga akan melakukan tindakan yang perlu. Snort Mengoperasikan Snort Tiga (3) buah mode, yaitu 1. Sniffer mode, untuk melihat paket yang lewat di jaringan. 2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari. 3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.

Sniffer Mode Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh perintah-nya terdapat di bawah ini, #snort v #snort vd #snort vde #snort v d e dengan menambahkan beberapa switch v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu -v, untuk melihat header TCP/IP paket yang lewat. -d, untuk melihat isi paket. -e, untuk melihat header link layer paket seperti ethernet header. Packet Logger Mode Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama jika kita menggunakan ethernet berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian, sambil santai. Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah./snort dev l./log./snort dev l./log h 192.168.0.0/24./snort dev l./log b perintah yang paling penting untuk me-log paket yang lewat adalah -l./log yang menentukan bahwa paket yang lewat akan di log / di catat ke file./log. Beberapa perintah tambahan dapat digunakan seperti h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII. Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah r nama file log-nya, seperti,./snort dv r packet.log./snort dvr packet.log icmp Intrusion Detection Mode Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi penyusup adaah dengan menambahkan perintah ke snort untuk membaca file konfigurasi c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh snort.conf yang dibawa oleh source snort. Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti./snort dev l./log h 192.168.0.0/24 c snort.conf./snort d h 192.168.0.0/24 l./log c snort.conf

Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan perintah l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi perintah snort.conf. Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien, mekanisme pemberitahuan alert di Linux dapat di set dengan perintah A sebagai berikut, -A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan. -A full, mode alert dengan informasi lengkap. -A unsock, mode alert ke unix socket. -A none, mematikan mode alert. Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch s, seperti tampak pada beberapa contoh di bawah ini../snort c snort.conf l./log s h 192.168.0.0/24./snort c snort.conf s h 192.168.0.0/24 Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah di bawah ini,./snort c snort.conf b M WORKSTATIONS Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini /usr/local/bin/snort d h 192.168.0.0/24 c /root/snort/snort.conf A full s D atau /usr/local/bin/snort d c /root/snort/snort.conf A full s D dimana D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar). TUGAS PENDAHULUAN 1. Sebutkan dan jelaskan dengan singkat apa yang disebut dengan konsep logging? 2. Sebutkan fasilitas logging yang ada di linux! 3. Sebutkan beberapa software yang biasa dipakai untuk melakukan monitoring log di linux. PERCOBAAN 1. Lakukan instalasi snort : # apt-get install snort Masukkan range network yang akan dianalisa : Address range for the local network : 192.168.0.0/16 2. Manjalankan snort

a. Bekerjalah dengan teman anda, salah satu menjalankan snort yang satunya menjalankan aplikasi yang lain. b. Jalankan perintah ping dari komputer lain ke komputer snort, buka terminal yang lain dan jalankan nmap. c. Jalankan snort dengan menggunakan mode sniffer #snort v #snort vd #snort vde #snort v d e Ket : Running in packet dump mode Jelaskan perbedaan hasil dari option di atas. d. Untuk mempermudah pembacaan masukkan hasil snort ke dalam file, jalankan perintah berikut : #snort dev i eth0 L /var/log/snort/snort.log Ket : Running in packet logging mode Akan menghasilkan sebuah file di folder /var/log/snort, lihat dengan perintah : # ls /var/log/snort e. Untuk membaca file snort (misal : snort.log.1234) berikan option r pada snort # snort -dev -r /var/log/snort/snort.log.1234 f. Jalankan perintah ping dan nmap dari komputer lain ke komputer snort. 3. Menjalankan snort dengan mode NIDS (Network Intrusion Detection System) a. Opsi e, dihilangkan karena kita tidak perlu mengetahui link layer MAC. Opsi v dihilangkan juga #snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort/snort.conf Ket : Running in IDS mode b. Bekerjasamalah dengan rekan anda. Sekarang coba jalankan scanning dari komputer lain dengan nmap menuju komputer yang anda pasangi snort. Terlebih dulu jalankan snort dengan mode NIDS, kemudia lakukan scanning dengan perintah : # snort -d -h 192.168.1.0/24 host <no_ip_snort> -l /var/log/snort c /etc/snort/snort.conf #nmap -ss -v <no_ip_snort> c. Lihatlah apakah scan anda terekam oleh snort. Jika iya, copy paste hasil snort pada bagian scanning SYN. Untuk melihat, gunakan perintah : # snort dev r <nama-log-file> more Apakah scanning ini ditandai sebagai alert? Coba lihat di /var/log/snort, gunakan perintah : # vim /var/log/snort/alert

d. Jalankan snort. Buka halaman web. Apakah ini terdeteksi sebagai alert? e. Sekarang coba ubah rule snort. Buat rule baru yaitu alltcp.rules dan simpan di /etc/snort/rules # vim /etc/snort/rules/alltcp.rules alert tcp any any -> any any (content: www.facebook.com ; msg: Someone is visiting Facebook ;sid:1000001;rev:1;) alert tcp any any -> any any (msg:"tcp Traffic";sid:1000002;rev:0;) Apa artinya? Ket : any any (host port), sid harus lebih dari 1 juta, rev mulai dari 0. f. Coba lihat snort.conf. Beri tanda # pada semua rule lain dan tambahkan rule anda yaitu : alltcp.rules. # vim /etc/snort/snort.conf include $RULE_PATH/alltcp.rules g. Lakukan restart aplikasi snort anda : # /etc/init.d/snort restart h. Bukalah halaman web untuk mengakses www.facebook.com, lihatlah apakah ada tanda sebagai alert atau tidak i. Coba lakukan scanning seperti perintah b. Lihatlah apakah ada tanda sebagai alert atau tidak Untuk mengetahui beberapa baris terakhir dari informasi alert : # tail f /var/log/snort/alert j. Apa yang dapat anda simpulkan dari langkah diatas? LAPORAN RESMI Daftar Pertanyaan 1. Berikan kesimpulan hasil praktikum yang anda lakukan. 2. Download rule terbaru di snort dan bandingkan dengan rule yang lama, apa saja perubahan yang ada! 3. Jelaskan rule apa saja yang bisa didekteksi oleh snort! 4. Untuk mempermudah pembacaan data snort dimungkinkan dimasukkan dalam database, carilah artikel tentang konfigurasi snort menggunakan database 5. Jelaskan juga aplikasi yang bisa dipakai untukmembaca database snort!

2026 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan