MODUL 3 INTRUSION DETECTION SYSTEM SNORT

dokumen-dokumen yang mirip
MODUL 7 INTRUSION DETECTION SYSTEM [SNORT]

INTRUSION DETECTION SYSTEM [SNORT]

TUJUAN PEMBELAJARAN: DASAR TEORI

INTRUCTION DETECTION SYSTEM [SNORT. Kelompok 1. Muhammad Nawawi. Oleh : Muhammad Nawawi Fadlul fikri Abid famasyah

LAPORAN RESMI PRAKTIKUM KEAMANAN DATA LAPORAN RESMI INTRUSION DETECTION SYSTEM SNORT

LAPORAN RESMI KEAMANAN DATA IDS Snort

SISTEM KEAMANAN JARINGAN KOMPUTER DENGAN MENGGUNAKAN FIREWALL IPTABLES DAN SNORT

IMPLEMENTASI PENGAMANAN JARINGAN MENGGUNAKAN INTRUSION DETECTION SYSTEM (IDS) DAN IP TABLES BERBASIS LINUX DI LAB POLITEKNIK TELKOM

BAB 3 METODOLOGI. Berikut adalah diagram alir kerangka berpikir dalam melakukan

BAB II TEORI PENDUKUNG

LAPORAN RESMI KEAMANAN JARINGAN INTRUSION DETECTION SYSTEM (SNORT)

THREAT PACKET ANALYSIS USING SNORT

SNORT : Tools deteksi intrusi pada system. (tutorial pada system Unix) 1.0 Pengantar dari

Gambar 1. Topologi Jaringan Scanning

TUTORIAL SNORT UNTUK IDS

BAB 4 IMPLEMENTASI DAN EVALUASI. Untuk membangun sebuah Network Intrusion Prevention System (NIPS), penulis

TUGAS KEAMANAN JARINGAN SNORT

UNIVERSITAS INDONESIA. Pengembangan dan Analisa Kinerja Intrusion Detection Prevention System (IDPS) pada Web Server TESIS

1. Jalankan komputer Linux Backtrack. Buka jendela Terminal. 2. Pada jendela Terminal window, ketikan perintah berikut, dan lanjutkan dengan Enter:

PENDETEKSIAN SERANGAN DDOS (DISTRIBUTED DENIAL OF SERVICE) MENGGUNAKAN IDS (INTRUSION DETECTION SYSTEM)

BAB II LANDASAN TEORI

BAB 3 ANALISIS DAN PERANCANGAN SISTEM

BAB 4 IMPLEMENTASI DAN EVALUASI. Untuk membangun sebuah network intrusion detection system (NIDS), dapat

SISTEM KEAMANAN JARINGAN KOMPUTER MENGGUNAKAN SNORT

BAB 4 HASIL DAN PEMBAHASAN

Intrusion Detection System

ANALISIS PERBANDINGAN KINERJA INSTRUSION DETECTION SYSTEM (IDS) SNORT DAN SURICATA DALAM MENDETEKSI SERANGAN DENIAL OF SERVICE PADA SERVER LINUX

BAB 4 HASIL DAN PEMBAHASAN

LAPORAN RESMI M. RIZAL PRIHARTADI ( ) ANDI GUSTAF ACHMAD ( ) TITIS OCTARY SATRIO ( )

1. BAB 1 PENDAHULUAN. 1.1 Latar Belakang

LAPORAN PRAKTIKUM KEAMANAN JARINGAN SNORT

BAB 3 Metode dan Perancangan Sistem

ANALISIS PENGGUNAAN PORTSENTRY SEBAGAI TOOLS INTRUSION DETECTION SYSTEM PADA JARINGAN KOMPUTER

IMPLEMENTASI INTRUSION DETECTION SYSTEM UNTUK PENINGKATAN KEAMANAN JARINGAN PT TRIPUTRA AGRO PERSADA

Jurnal JARKOM Vol. 2 No. 2 Juni2015

APLIKASI HIERARCHICAL CLUSTERING PADA INTRUSION DETECTION SYSTEM BERBASIS SNORT

IMPLEMENTASI METODE IPS (INTRUSION PREVENTION SYSTEM) TERHADAP SERANGAN BACKDOOR DAN SYNFLOOD

Jurnal JARKOM Vol. 2 No. 1 Desember 2014

BAB III PEMBAHASAN. 3.1 Analisis Fisik Bangunan. Dari hasil analilis yang telah dilakukan di Balai Besar Bahan dan Barang

ANALISA SISTEM KEAMANAN INTRUSION DETECTION SYSTEM (IDS)

IDS, Dingap, dan Honeypot Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

BAB IV PENGUJIAN DAN ANALISA

BAB I PENDAHULUAN 1.1 Latar Belakang

BAB I PENDAHULUAN. sistem informasi. Sementara itu, masalah keamanan ini masih sering kali

Bab III Implementasi Ossim

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, Program Studi Teknik Informatika, Universitas Pasundan Bandung

BAB 1 PENDAHULUAN Latar Belakang

PRESENTATION IDS (Intrusion Detection System) Ade Surya Iskandar a.k.a patusa.cyber

Koneksi TCP sebelum Spoofing

Laporan Resmi Praktikum Snort

LAPORAN PRAKTIKUM MK. PRAKTIKUM KEAMANAN JARINGAN PRAKTIKUM : SNORT

BAB II LANDASAN TEORI

LAPORAN PENDAHULUAN PRAKTIKUM ADMIN DAN MANAJEMEN JARINGAN Host Based IDS

Pendahuluan Tinjauan Pustaka

DETEKSI DAN PENCEGAHAN FLOODING DATA PADA JARINGAN KOMPUTER

ATTACK TOOLS. Oleh: M. RUDYANTO ARIEF 1

BAB II ANALISIS DAN PERANCANGAN. komputer, printer dan peralatan lainnya (biasa disebut node) yang terhubung

IDS (Intrusion Detection Systems )

Rancang Bangun Sistem Monitoring Keamanan Jaringan Prodi Teknik Informatika Melalui SMS Alert dengan Snort

Implementasi Intrusion Detection System Pada Rule Based System Menggunakan Sniffer Mode Pada Jaringan Lokal

Gambar 2.1. Bagian IDS

BAB 4 Hasil dan Pembahasan

SELF DEFENDING LINUX NETWORK

Jurnal JARKOM Vol. 2 No. 1 Desember 2014

ARP (Address Resolutio Protocol) Secara internal ARP melakukan resolusi address tersebut dan ARP berhubungan langsung dengan Data Link Layer. ARP meng

ANALISA GENERALISASI RULES MENGGUNAKAN SNORT IDS SKRIPSI

BAB III METODOLOGI 3.1 Analisis Kebutuhan Sistem Kebutuhan Perangkat Keras

OPTIMALISASI SISTEM KEAMANAN JARINGAN BERBASIS SNORT

BAB 1 PENDAHULUAN. Sebagai universitas yang berkembang pesat dan memiliki rencana untuk

LAPORAN PENDAHULUAN PRAKTIKUM KEAMANAN DATA Network Scanner dan Network Probing

UNIVERSITAS INDONESIA

Bab 3. Metode dan Perancangan Sistem

BAB I PENDAHULUAN. Kebutuhan akan informasi dan komunikasi dewasa ini menjadi sangat

IMPLEMENTASI INTRUSION DETECTION SYSTEM (IDS) MENGGUNAKAN JEJARING SOSIAL SEBAGAI MEDIA NOTIFIKASI

Modul 1 Network Scanner & Probing

Gambar 13.1 Sniffing pada jaringan antara router 1 dan 2

PortSentry dapat di download secara pada

PERANCANGAN DAN IMPLEMENTASI SISTEM KEAMANAN BERBASIS IDS DI JARINGAN INTERNET UNIVERSITAS BINA DARMA

atau berubahnya metoda untuk mengoperasikan sistem.

2.2 Dasar Teori. Layer # Nama Unit. Dimana setiap layer memiliki fungsi dan contoh masing-masing.

Analisa dan Implementasi Sistem Keamanan Jaringan Komputer dengan Iptables sebagai Firewall Menggunakan Metode Port Knocking

Mengamankan Sistem Informasi. Gentisya Tri Mardiani, S.Kom

BAB II TINJAUAN PUSTAKA. intrusion detection system (IDS) sebagai dasar menjelaskan deteksi intrusi adalah

BAB I PENDAHULUAN 1.1 Latar Belakang

Monitoring Keamanan Jaringan Komputer Menggunakan Network Intrussion Detection System (NIDS)

PERANCANGAN IDS DENGAN TEKNIK HIDS (HOST BASED INTRUSION DETECTION SYSTEM) MENGGUNAKAN SOFTWARE OSSEC

BAB I PENDAHULUAN 1.1. Latar Belakang

PERANCANGAN DAN IMPLEMENTASI SISTEM KEAMANAN BERBASIS IDS DI JARINGAN INTERNET UNIVERSITAS BINA DARMA

SIMULASI PERANCANGAN KEAMANAN JARINGAN DENGAN MENGGUNAKAN IPS (INTRUSION PREVENTION SYSTEM) PADA UNIT INFOKOM UNIVERSITAS MUHAMMADIYAH MALANG

Evaluasi Keamanan Sistem Informasi

Sniffers and Electronic Eavesdropping

SNORT IDS SEBAGAI TOOLS FORENSIK JARINGAN UNIVERSITAS NUSANTARA PGRI KEDIRI

IMPLEMENTASI SNORT SEBAGAI ALAT PENDETEKSI INTRUSI MENGGUNAKAN LINUX ABSTRACT

Jarwanto Helman Muhammad, S.T., M.T.

PENDAHULUAN. Bab Latar Belakang

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Monitoring The Network

Implementasi Intrusion Detection System Pada Rule Based System Menggunakan Sniffer Mode Pada Jaringan Lokal

Transkripsi:

MODUL 3 INTRUSION DETECTION SYSTEM DG SNORT TUJUAN PEMBELAJARAN: 1. Mengenalkan pada mahasiswa tentang konsep IDS dg snort di linux 2. Mahasiswa memahami cara membuat rule pada snort 3. Mahasiswa mampu menggabungkan snort dengan base dan mysql DASAR TEORI Deteksi Penyusupan (Intrusion Detection) Deteksi penyusupan adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis. Program yang dipergunakan biasanya disebut sebagai Intrusion Detection System (IDS). Tipe dasar dari IDS adalah: Rule-based systems - berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan. Adaptive systems - mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru. Bentuk yang sering dipergunakan untuk komputer secara umum adalah rule-based systems. Pendekatan yang dipergunakan dalam rule-based systems ada dua, yakni pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah waktu saja. Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintas jaringan. Jika ditemukan paket yang mencurigakan, maka program akan melakukan tindakan yang perlu. Pendekatan reaksi, program pendeteksi penyusupan hanya mengamati file log. Jika ditemukan paket yang mencurigakan, program juga akan melakukan tindakan yang perlu. Snort Mengoperasikan Snort Tiga (3) buah mode, yaitu 1. Sniffer mode, untuk melihat paket yang lewat di jaringan. 2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari. 3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan

sebuah paket normal dengan paket yang membawa serangan. Sniffer Mode Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh perintah-nya terdapat di bawah ini, #snort v #snort vd #snort vde #snort v d e dengan menambahkan beberapa switch v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu -v, untuk melihat header TCP/IP paket yang lewat. -d, untuk melihat isi paket. -e, untuk melihat header link layer paket seperti ethernet header. Packet Logger Mode Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama jika kita menggunakan ethernet berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian, sambil santai Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah./snort dev l./log./snort dev l./log h 192.168.0.0/24./snort dev l./log b perintah yang paling penting untuk me-log paket yang lewat adalah -l./log yang menentukan bahwa paket yang lewat akan di log / di catat ke file./log. Beberapa perintah tambahan dapat digunakan seperti h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII. Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah r nama file log-nya, seperti,./snort dv r packet.log./snort dvr packet.log icmp Intrusion Detection Mode Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi penyusup adaah dengan menambahkan perintah ke snort untuk membaca file konfigurasi c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh snort.conf yang dibawa oleh source snort. Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti./snort dev l./log h 192.168.0.0/24 c snort.conf

./snort d h 192.168.0.0/24 l./log c snort.conf Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan perintah l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi perintah snort.conf. Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien, mekanisme pemberitahuan alert di Linux dapat di set dengan perintah A sebagai berikut, -A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan. -A full, mode alert dengan informasi lengkap. -A unsock, mode alert ke unix socket. -A none, mematikan mode alert. Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch s, seperti tampak pada beberapa contoh di bawah ini../snort c snort.conf l./log s h 192.168.0.0/24./snort c snort.conf s h 192.168.0.0/24 Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah di bawah ini,./snort c snort.conf b M WORKSTATIONS Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini /usr/local/bin/snort d h 192.168.0.0/24 c /root/snort/snort.conf A full s D atau /usr/local/bin/snort d c /root/snort/snort.conf A full s D dimana D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar). TUGAS PENDAHULUAN 1. Sebutkan dan jelaskan dengan singkat apa yang disebut dengan konsep logging? 2. Sebutkan fasilitas logging yang ada di linux! 3. Sebutkan beberapa software yang biasa dipakai untuk melakukan monitoring log di linux. PERCOBAAN 1. Siapkan 3 file source o Snort o snortrules-pr 2. Copikan Semua File Tadi Ke /usr/local/src 3. Langkah Insallasi Snort # tar -xvzf <snort...tar.gz> --dir=/usr/local #./configure # make # make install

4. Buat user dan grup snort # groupadd snort #useradd -g snort snort -s /sbin/nologin 5. Unzip snort-rules source file # tar -xvzf <snort-rules-..tar.gz> --dir=/usr/local # cd /usr/local/snort-rules 6. Buat direktori dan kopikan /snort-2.7.0.1 ke /etc/snort # mkdir /etc/snort #mkdir /etc/snort/rules # mkdir /var/log/snort # cd /usr/local/snort-2.6/etc # cp * /etc/snort 7. Copikan rules dari direktori /rules (hasil unzip snort rules) ke /etc/snort/rules 8. Edit file snort.conf. Ubahlah baris-baris berikut : var HOME_NET 10.252.102.0/24 var EXTERNAL_NET!$HOME_NET var RULE_PATH /etc/snort/rules 9. Manjalankan snort Menjalankan snort dengan mode sniffer a. Bekerjalah dengan teman anda, salah satu menjalankan snort yang satunya menjalankan aplikasi yang lain. b. Jalankan perintah ping dari komputer lain ke komputer snort, buka terminal yang lain dan jalankan nmap. c. Jalankan snort dengan menggunakan mode sniffer snort v #snort vd #snort vde #snort v d e Jelaskan perbedaan hasil dari option di atas. Menjalankan snort untuk melihat paket dari dan menuju host tertentu : # snort -h 10.252.102.0/24 -d -v host 10.252.102.33 Coba lakukan scanning dg nmap dari komputer lain dan lihat apakah terekan oleh snort anda Menjalankan snort dengan mode logger. d. Untuk mempermudah pembacaan masukkan hasil snort ke dalam file, jalankan perintah berikut : snort dev l /root/snort-2.7.0.1/log e. Untuk membaca file snort berikan option r pada snort Buka direktori /root/snort-2.7.0.1/log. Pilih log mana yang hendak anda lihat.

snort dev r <nama-log-file> more Menjalankan snort dengan mode NIDS (Network Intrusion Detection System) f. Opsi e, dihilangkan karena kita tidak perlu mengetahui link layer MAC. Opsi v dihilangkan juga snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort/snort.conf 10. Bekerjasamalah dengan rekan anda. Sekarang coba jalankan scanning dari komputer lain dengan nmap menuju komputer yang anda pasangi snort. Terlebih dulu jalankan snort dengan mode NIDS, kemudia lakukan scanning dengan perintah : # snort -d -h 192.168.1.0/24 host <no_ip_snort> -l /var/log/snort -c /etc/snort/snort.conf #nmap -ss -v <no_ip_snort> 11. Lihatlah apakah scan anda terekam oleh snort. Jika iya, copy paste hasil snort pada bagian scanning SYN. Untuk melihat, gunakan perintah : # snort dev r <nama-log-file> more Apakah scanning ini ditandai sebagai alert? Coba lihat di /var/log/snort 12. Jalankan snort. Buka halaman web. Apakah ini terdeteksi sebagai alert? 13. Sekarang coba ubah rule snort. Buat rule baru yaitu alltcp.rules. alert tcp any any -> any any (msg:"tcp Traffic";sid:9000000;rev:0;) Apa artinya? 14. Coba lihat snort.conf. Beri tanda # pada semua rule lain kecuali rule anda yaitu : alltcp.rules. 15. Bukalah halaman web, lihatlah apakah ada tanda sebagai alert atau tidak 16. Coba lakukan scanning seperti perintah 11. Lihatlah apakah ada tanda sebagai alert atau tidak 17. Apa yang dapat anda simpulkan dari langkah diatas? Have fun with snort.

LAPORAN RESMI FORMAT LAPORAN RESMI Nama dan NRP mahasiswa Judul Percobaan : Intrusion Detection System [Snort] Dasar Teori : Tugas Pendahuluan : Hasil percobaan : Daftar Pertanyaan Berikan kesimpulan hasil praktikum yang anda lakukan. Download rule terbaru di snort dan bandingkan dengan rule yang lama, apa saja perubahan yang ada! Jelaskan rule apa saja yang bisa didekteksi oleh snort! Untuk mempermudah pembacaan data snort dimungkinkan dimasukkan dalam database, carilah artikel tentang konfigurasi snort menggunakan database Jelaskan juga aplikasi yang bisa dipakai untukmembaca database snort!

2026 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan