THREAT PACKET ANALYSIS USING SNORT

dokumen-dokumen yang mirip
PRESENTATION IDS (Intrusion Detection System) Ade Surya Iskandar a.k.a patusa.cyber

Gambar 1. Topologi Jaringan Scanning

TUGAS KEAMANAN JARINGAN SNORT

Intrusion Detection System

Mengamankan Sistem Informasi. Gentisya Tri Mardiani, S.Kom

PENDETEKSIAN SERANGAN DDOS (DISTRIBUTED DENIAL OF SERVICE) MENGGUNAKAN IDS (INTRUSION DETECTION SYSTEM)

PERANCANGAN DAN IMPLEMENTASI SISTEM KEAMANAN BERBASIS IDS DI JARINGAN INTERNET UNIVERSITAS BINA DARMA

PERANCANGAN DAN IMPLEMENTASI SISTEM KEAMANAN BERBASIS IDS DI JARINGAN INTERNET UNIVERSITAS BINA DARMA

MODUL 7 INTRUSION DETECTION SYSTEM [SNORT]

Pendahuluan Tinjauan Pustaka

TUJUAN PEMBELAJARAN: DASAR TEORI

PENDAHULUAN. Bab Latar Belakang

PENGGUNAAN SISTEM IDS (Intrution detection System) UNTUK PENGAMANAN JARINGAN DAN KOMPUTER

IDS (Intrusion Detection Systems )

ANALISA SISTEM KEAMANAN INTRUSION DETECTION SYSTEM (IDS)

BAB II LANDASAN TEORI

INTRUSION DETECTION SYSTEM [SNORT]

MODUL 3 INTRUSION DETECTION SYSTEM SNORT

DAFTAR ISI HALAMAN JUDUL

BAB 1. PENDAHULUAN. Ancaman keamanan terhadap penyedia layanan web semakin meningkat

BAB 5. KESIMPULAN DAN SARAN

INTRUCTION DETECTION SYSTEM [SNORT. Kelompok 1. Muhammad Nawawi. Oleh : Muhammad Nawawi Fadlul fikri Abid famasyah

BAB I PENDAHULUAN 1.1 Latar Belakang

BAB II ANALISIS DAN PERANCANGAN. komputer, printer dan peralatan lainnya (biasa disebut node) yang terhubung

Jurnal JARKOM Vol. 2 No. 1 Desember 2014

BAB I PENDAHULUAN 1.1 Latar Belakang

BAB I. Pendahuluan. 1.1 Latar Belakang

SISTEM KEAMANAN JARINGAN KOMPUTER MENGGUNAKAN SNORT

BAB II TINJAUAN PUSTAKA. intrusion detection system (IDS) sebagai dasar menjelaskan deteksi intrusi adalah

ANALISIS PERBANDINGAN KINERJA INSTRUSION DETECTION SYSTEM (IDS) SNORT DAN SURICATA DALAM MENDETEKSI SERANGAN DENIAL OF SERVICE PADA SERVER LINUX

Jurnal JARKOM Vol. 2 No. 2 Juni2015

OPTIMALISASI SISTEM KEAMANAN JARINGAN BERBASIS SNORT

TUGAS AKHIR. Disusun sebagai salah satu syarat untuk kelulusan Program Strata 1, Program Studi Teknik Informatika, Universitas Pasundan Bandung

Bab III Implementasi Ossim

Perancangan dan Implementasi Sistem Keamanan Berbasis IDS di Jaringan Internet Universitas Bina Darma

LAPORAN RESMI PRAKTIKUM KEAMANAN DATA LAPORAN RESMI INTRUSION DETECTION SYSTEM SNORT

Gambar 2.1. Bagian IDS

BAB I PENDAHULUAN UKDW

BAB 4 IMPLEMENTASI DAN EVALUASI. Untuk membangun sebuah network intrusion detection system (NIDS), dapat

BAB 1 PENDAHULUAN Latar Belakang

1. BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Jurnal JARKOM Vol. 2 No. 1 Desember 2014

atau berubahnya metoda untuk mengoperasikan sistem.

APLIKASI MOBILE UNTUK K-NEAREST NEIGHBOR PADA INTRUSION DETECTION SYSTEM BERBASIS SNORT

BAB I PENDAHULUAN 1.1. Latar Belakang

BAB I PENDAHULUAN. 1.1 Latar Belakang

Evaluasi Keamanan Sistem Informasi

Secara umum, intrusi adalah ketika seseorang mencoba untuk menembus, penyalahgunaan, atau memanfaatkan sistem anda. Lebih khusus lagi, kebijakan

APLIKASI WEB UNTUK METODE FUZZY NEUARAL NETWORK PADA INTRUSION DETECTION SYSTEM BERBASIS SNORT

BAB III METODOLOGI 3.1 Analisis Kebutuhan Sistem Kebutuhan Perangkat Keras

BAB IV IMPLEMENTASI PROGRAM

Monitoring Keamanan Jaringan Komputer Menggunakan Network Intrussion Detection System (NIDS)

BAB 4 Hasil dan Pembahasan

IMPLEMENTASI INTRUSION DETECTION SYSTEM (IDS) MENGGUNAKAN JEJARING SOSIAL SEBAGAI MEDIA NOTIFIKASI

ANALISA GENERALISASI RULES MENGGUNAKAN SNORT IDS SKRIPSI

BAB I PENDAHULUAN 1.1. Latar Belakang Masalah

BAB 3 ANALISIS DAN PERANCANGAN SISTEM

Rancang Bangun Sistem Monitoring Keamanan Jaringan Prodi Teknik Informatika Melalui SMS Alert dengan Snort

Wireshark. Netstat. Berikut ini keterangan dari output netstat diatas :

ATTACK TOOLS. Oleh: M. RUDYANTO ARIEF 1

APLIKASI HIERARCHICAL CLUSTERING PADA INTRUSION DETECTION SYSTEM BERBASIS SNORT

APLIKASI IPS MANAGEMENT SYSTEM BERBASIS WEB UNTUK PENGAMANAN WEB SERVER WEB BASED IPS MANAGEMENT SYSTEM APPLICATION FOR WEB SERVER PROTECTION

Bab 4 Hasil dan Pembahasan

ANALISIS PENGGUNAAN PORTSENTRY SEBAGAI TOOLS INTRUSION DETECTION SYSTEM PADA JARINGAN KOMPUTER

Artikel Ilmiah. Diajukan kepada Fakultas Teknologi Informasi untuk memperoleh gelar Sarjana Komputer

LAPORAN PENDAHULUAN PRAKTIKUM KEAMANAN DATA Network Scanner dan Network Probing

Bab 1. Pendahuluan. 1.1 Latar Belakang

BAB 4 IMPLEMENTASI DAN EVALUASI. Untuk membangun sebuah Network Intrusion Prevention System (NIPS), penulis

Analisa dan Implementasi Sistem Keamanan Jaringan Komputer dengan Iptables sebagai Firewall Menggunakan Metode Port Knocking

BAB III ANALISIS. 3.1 Analisis Domain Masalah Analisis Keamanan Jaringan III-1

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

IMPLEMENTASI SENSOR MONITORING PADA JARINGAN WI-FI (HOTSPOT) BERBASIS SNORT

PENERAPAN SMS GATEWAY DAN PACKET FILTER PADA PENGEMBANGAN SECURITY ALERT SYSTEM JARINGAN KOMPUTER

ANALISIS DAN IMPLEMENTASI IDS PADA WIRELESS NETWORK SECURITY BERBASIS MIKROTIK DI H&W Net

Implementasi Log Dalam Forensik Router Terhadap Serangan Distributed Denial of Service(DDoS)

DETEKSI MALWARE DALAM JARINGAN MENGGUNAKAN DIONAEA. (Malware Detection in the Network Using Dionaea)

Koneksi TCP sebelum Spoofing

Bab 3. Metode dan Perancangan Sistem

Kolaborasi Intrusion Detection System Berbasis Publish/Subscribe

Modul 1 Network Scanner & Probing

BAB 3. METODOLOGI PENELITIAN

INTRUSION PREVENTION SYSTEM DENGAN METODE SIGNATURE BASED INTRUSION DETECTION PADA JARINGAN LOCAL AREA NETWORK (LAN)

BAB I PENDAHULUAN 1.1 Latar Belakang

DAFTAR ISTILAH / SINGKATAN

BAB II TEORI PENDUKUNG

Computer Security. Network Security

IMPLEMENTASI METODE IPS (INTRUSION PREVENTION SYSTEM) TERHADAP SERANGAN BACKDOOR DAN SYNFLOOD

BAB I PENDAHULUAN. kejahatan yang tercipta dari kesalahan pengguna internet seperti phising,

9. NETWORK FORENSICS

BAB I PENDAHULUAN 1.1 Latar Belakang

BAB II TINJAUAN PUSTAKA

SATIN Sains dan Teknologi Informasi

BAB 4 HASIL DAN PEMBAHASAN

BAB 4 IMPLEMENTASI DAN UJI COBA

UNIVERSITAS INDONESIA. Pengembangan dan Analisa Kinerja Intrusion Detection Prevention System (IDPS) pada Web Server TESIS

JARINGAN KOMPUTER. Disusun Oleh : Nama : Febrina Setianingsih NIM : Dosen Pembimbing : Dr. Deris Stiawan, M.T., Ph.D.

BAB I PENDAHULUAN 1.1. Latar Belakang

KEAMANAN KOMPUTER. Pertemuan 11

BAB I PENDAHULUAN. sistem informasi. Sementara itu, masalah keamanan ini masih sering kali

IMPLEMENTASI INTRUSION PREVENTION SYSTEM(IPS) PADA JARINGAN KOMPUTER KAMPUS B UNIVERSITAS BINA DARMA

Transkripsi:

THREAT PACKET ANALYSIS USING SNORT 1. Introduction Dalam sebuah jaringan komputer, keamanan menjadi salah satu bagian yang terpenting dan harus di perhatikan untuk menjaga validitas dan integritas data serta menjamin ketersediaan layanan bagi para pengguna. Sistem harus di lindungi dari segala macam serangan dan ancaman oleh pihak pihak yang tidak bertanggung jawab. Implementasi Intrusion Detection System (IDS) adalah salah satu upaya untuk mengindentifikasi adanya serangan maupun ancaman dari pihak yang tidak bertanggung jawab, misalnya penyusup yang tidak mempunyai otoritas (cracker) ataupun seorang user yang sah tetapi menyalahgunakan privilege sumber daya sistem. IDS akan melakukan pemberitahuan saat mendeteksi sesuatu yang dianggap mencurigakan atau tindakan ilegal. IDS tidak melakukan pencegahan terjadinya penyusupan. Selain analisa secara realtime, IDS bisa juga melakukan analisa terhadap data hasil capture sebuah jaringan untuk di analisa apakah telah terjadi serangan atau tidak. 2. Scope of Problem Intrusion Detection System (IDS) yang di gunakan pada percobaan ini adalah Snort versi 2.9.6.0 GRE (Build 47) alamat IP sistem yang di uji 103.241.4.11 ( http://unsri.ac.id), hanya untuk pembelajaran, di luar itu menyalahi aturan dan akan di proses sesuai undangundang yang berlaku. IDS Snort di gunakan untuk deteksi serangan tidak secara realtime, melainkan dari sebuah file pcap hasil Capture Malicious Traffic. hanya melakukan aktivitas scanning port yang terbuka dan service remote yang aktif pada sistem. 3. Network Scanning. Network Scanning adalah sebuah teknik yang digunakan untuk melakukan scanning pada sebuah jaringan. Teknik ini digunakan untuk mendapatkan data seperti IP, Port, File data yang keluar masuk melalui jaringan serta merekam aktivitas internet browsing. 1

4. What is Intrusion Detection? Dikutip dari Wikipedia [1] Intrusion Detection System (disingkat IDS) adalah sebuah metode yang dapat digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan). A. Network Based (Network IDS) Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah mendukung penerapan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi. B. Host Based (HIDS) Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet. C. Implementasi dan cara kerja Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan. Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul. 2

5. Snort Snort adalah NIDS yang bekerja dengan menggunakan signature detection, berfungsi juga sebagai sniffer dan packet logger [2]. Snort pertama kali di buat dan dikembangkan oleh Marti Roesh, lalu menjadi sebuah opensource project. Tiga (3) buah mode mengoperasikan snort, yaitu : 1. Sniffer mode, untuk melihat paket yang lewat di jaringan. 2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari. 3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini diperlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan. a) Cara Kerja Snort Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan. (gambar : cara kerja snort ) 3

Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS, Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa. (gambar : Implementasi dan cara kerja ) 6. Scan Port and Service Remote Attack. Port Scaning adalah aktivitas yang dilakukan untuk memeriksa status port TCP dan UDP pada sebuah sistem, ada beberapa option yang di gunakan pada saat melakukan scanning, diantaranya : Command & Option Nmap -sv <ip address> Nmap -O <ip address> Nmap -PA <ip address> Nmap -PS <ip address> Nmap -PO <ip address> Nmap -PU <ip address> Nmap -su <ip address> Keterangan Deteksi remote service Deteksi remote Opeting sistem Scan using TCP ACK Scan using TCP Syn Scan using IP Protocol ping Scan using UDP ping Scan using UDP services 4

7. Spoofing TCP/IP stack OS Fingerprinting attack. OS Fingerprint adalah aktifitas yang di lakukan untuk mengetahui sistem operasi yang di gunakan oleh server target, pada percobaan disini menggunakan tools nmap dan xprobe2 di linux. Command and Options Nmap -O <ip address> Xprobe2 <ip address> Keterangan Deteksi remote Opeting sistem Deteksi remote Opeting sistem 8. Structure Rules Snort Untuk bisa mendektesi sebuah serangan dan malicious traffic, snort membutuhkan rules yang mempunyai format penulisan, di bawah ini contoh rules basic untuk deteksi aktifitas scanning port di jaringan Struktur rule untuk deteksi aktifitas scanning port Penjelasan format : Rules Header Alert (Rule Action) Udp (Protocol) $192.168.10.100 ( Source Address) Any ( Source Port) -> (Drection) $10.10.10.100 (Destination Address) 1900 (Destination Port) Rules Option content:"ssdp 3A discover" (Keyword) msg:"indicator-scan UPnP service discover attempt"; (Message Alert) 5

9. Assessment Results a) Hasil Scan menggunakan tools nmap option -sv Port Number Status Port Services dan Versi b) Data alert attack dari snort 6

c) Grafik perbandingan antara Protokol yang di gunakan dan Total Serangan d) Grafik perbandingan antara Alert Attack, Total Serangan dan Tingkat Prioritas Serangan. 7

e) Grafik perbandingan antara Klasifikasi Attack dan Total Attack 10. Reference [1]"Intrusion detection system", En.wikipedia.org, 2017. [Online]. Available: https://en.wikipedia.org/wiki/intrusion_detection_system. [Accessed: 04- Mar- 2017]. [2] T. Cook, G. Conti, and D. Raymond, When Good Ninjas Turn bad: Preventing Your Students from becoming the Threat, Proc. 16th Colloquium for Information System Security Education, 2012, pp. 61-67. [3] CommView tool, http://www.tamos.com/ 8

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan