1.
Sebutkan
dan jelaskan dengan singkat konsep IDS?
Jawab:
Dalam konsep keamanan jaringan kita mengenal istilah
false positif dan false negatif.
1. False positif – adalah peringatan yang dihasilkan
oleh IDS karena telah mendeteksi adanya serangan yang valid terhadap sistem
yang kita monitor, tetapi serangan itu sendiri tidak valid. Atau dengan kata
lain, kita mendapat laporan serangan, padahal itu bukan serangan. Ini adalah
masalah bagi kita karena banyaknya peringatan yang dibuat oleh IDS padahal
serangan yang sebenarnya tidak terjadi. False positif bisa saja terjadi karena
adanya serangan pada sistem yang tidak di monitor.
2. False negatif – adalah serangan yang benar-benar
terjadi tetapi tidak terdeteksi oleh IDS. IDS bisa melewatkan serangan karena
menganggap serangan yang dilakukan tidak sesuai dengan aturan yang ada (rule),
atau karena terlalu banyak serangan, atau bisa juga karena penyerang berhasil
melumpuhkan IDS. Dampak dari false negatif ini artinya penyerang berhasil
melewati IDS, sama artinya dengan ada yang menyerang kita, tapi kita tidak
menyadarinya!
Bagaimana IDS bisa mendeteksi bahwa telah terjadi
serangan? Setidaknya ada dua cara IDS bisa mendeteksi serangan:
1. Signature detection – IDS yang bekerja menggunakan
signature (rule/peraturan) akan mendeteksi serangan jika ada traffic network
yang masuk ke dalam daftar serangan. Signature – lah yang menentukan paket yang
masuk ke network tersebut merupakan serangan atau biasa disebut “bad traffic”.
Kekurangan dari metode ini adalah bahwa IDS hanya bisa mendeteksi suatu
serangan yang telah terdaftar sebelumnya di dalam signature. Oleh karena itu,
metode ini akan kesulitan menghadapi daftar serangan jenis baru. Bila kita
menggunakan signature detection mungkin akan berdampak sedikitnya peringatan
false positif tetapi banyak false negatif.
2. Anomaly detection – IDS yang menggunakan anomaly
detection bekerja menggunakan cara yang berbeda. IDS akan mengenal traffic
“normal” jaringan kita dan akan mulai mengingatkan kita bila ternyata ada
traffic yang “abnormal”. Masalahnya adalah, sesuatu yang baru atau berbeda juga
bisa dianggap abnormal. Jadi jika kita menggunakan metode ini IDS akan
memberikan sedikit false negatif tetapi banyak false positif.
Beberapa IDS ada yang menggunakan signature detection,
tapi ada juga yang menggunakan anomaly detection, dan ada juga yang menggunakan
keduanya.
2.
Sebutkan
fasilitas kemampuan yang dimiliki snort!
Jawab:
a) Alert
Facility (Fasilitas Peringatan)
Alert
facility ini digunakan oleh Snort untuk memberikan informasi
kepada user ketika traffic data pada jaringan sesuai dengan
kriteria yang telah ditetapkan pada rules.
Berdasarkan
gambar di atas dapat dilihat bahwa pihak luar melakukan ping kepada sistem.
Gambar di atas juga menjelaskan secara detail, yang diantaranya:
·
Tanggal dan waktu (sampai hingga mikro detik)
·
SID (Snort ID), merupakan
identifikasi yang menunjukkan bahwa rules telah sama dengan data
jaringan yang ada. SID ini ditulis dengan format:
[sig_generator:sig_id:sig_revision]
o
sig_generator
melakukan indentifikasi bagian Snort yang waspada
o
sig_id adalah
signature Snort ID yang menunjukan aturan yang sesuai dengan data traffic
network
o
sig_rev merupakan
nomor revisi peraturan
·
Pesan text singkat
·
Klasifikasi dan prioritas serangan
·
Protokol paket yang tersandung (trapped)
aturan
·
Alamat sumber dan tujuan IP yang
terlibat
Informasi
di atas hanya berlaku untuk modul fast alert yang mencetak minimal
informasi. Modul-modul lainnya akan mencetak MAC address, flag, TCP
bahkan payload paket dalam ASCII atau hex. Pilihan yang dimiliki
oleh Snort cukup banyak dan tidak terbatas. Dengan pilihan tersebut Snort dapat
mencetak cukup detail untuk memuaskan user-nya.
b) Log
Facility (Fasilitas log)
Fasilitas
log melakukan tugasnya dengan mencatat informasi paket yang sesuai untuk
serangan tertentu. Akan tetapi, user juga dapat melakukan pencatatan
informasi paket tanpa melakukan generalisasi serangan terlebih dahulu.
menunjukan
keterangan secara rinci bahwa Snort dapat melakukan ping kepada sistem serta
data scan port 80. Apabila menjalankan Snort sebagai Intrusion
Detection System (IDS) user harus melakukan generalisasi serangan
sehingga user dapat melakukan pencarian pada setiap langkahnya.
3.
Jelaskan
cara instalasi dan konfigurasi snort!
Jawab:
Membuat grup dan user snort
groupadd snort
useradd -g snort snort
*
Membuat direktori snort untuk keperluan log dan file biner (sistem)
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
*
Dari direktori dimana snort di ekstrak (file instal)
Copy semua file yang terdapat di direktori rules ke /etc/snort/rules
cd rules
cp * /etc/snort/rules
*
Copy semua file yang terdapat di direktori etc ke direktori /etc/snort/
cd ../etc
cp * /etc/snort
*
Modifikasi file snort.conf yang terletak di /etc/snort,
var HOME_NET 10.2.2.0/24
(Gunakan CIDR / Classless InterDomain Routing, http://www.oav.net/mirrors/cidr.html)
groupadd snort
useradd -g snort snort
*
Membuat direktori snort untuk keperluan log dan file biner (sistem)
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
*
Dari direktori dimana snort di ekstrak (file instal)
Copy semua file yang terdapat di direktori rules ke /etc/snort/rules
cd rules
cp * /etc/snort/rules
*
Copy semua file yang terdapat di direktori etc ke direktori /etc/snort/
cd ../etc
cp * /etc/snort
*
Modifikasi file snort.conf yang terletak di /etc/snort,
var HOME_NET 10.2.2.0/24
(Gunakan CIDR / Classless InterDomain Routing, http://www.oav.net/mirrors/cidr.html)
var EXTERNAL_NET !$HOME_NET
(Semuanya keculi HOME_NET)
*
Ganti “var RULE_PATH ../rules” menjadi “var RULE_PATH /etc/snort/rules”
*
Jangan lupa menambahkan snort pada program startup (rc.local)
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort -Dde
*
Ganti “var RULE_PATH ../rules” menjadi “var RULE_PATH /etc/snort/rules”
*
Jangan lupa menambahkan snort pada program startup (rc.local)
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort -Dde
4.
Jelaskan
cara membuat rule baru pada snort!
Jawab:
1. Sniffer mode
Untuk
melihat paket yang lewat di jaringan.
Untuk
menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh
perintah-nya terdapat di bawah ini,
#snort
–v
#snort
–vd
#snort
–vde
#snort
–v –d –e
dengan
menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang
berbeda, yaitu
-v,
untuk melihat header TCP/IP paket yang lewat.
-d,
untuk melihat isi paket.
-e,
untuk melihat header link layer paket seperti ethernet header.
2. Packet logger mode
Untuk
mencatat semua paket yang lewat di jaringan untuk dianalisa dikemudian
hari.Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat
di layar terutama jikakita menggunakan ethernet berkecepatan 100Mbps, layar
anda akan scrolling dengan cepat sekalisusah untuk melihat paket yang di
inginkan. Cara paling sederhana untuk mengatasi hal ini adalahmenyimpan dulu semua
paket yang lewat ke sebuah file untuk di lihat kemudian, sambil santai.Beberapa
perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah
./snort
–dev –l ./log
./snort
–dev –l ./log –h 192.168.0.0/24
./snort
–dev –l ./log –b
perintah
yang paling penting untuk me-log paket yang lewat adalah -l ./log yang
menentukan bahwa paket yang lewat akan di log / di catat ke file ./log.
Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang
menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang
memberitahukan agar file yang di log dalam format binary, bukan ASCII.
untuk
membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan
perintah –r nama file log-nya, seperti,
./snort
–dv –r packet.log
./snort
–dvr packet.log icmp
3. Intrusion Detection mode
Pada
mode ini snort akan berfungsi untuk mendeteksi serangan yangdilakukan melalui
jaringan komputer. Untuk menggunakan mode IDS ini diperlukan setup dariberbagai
rules / aturan yang akan membedakan sebuah paket normal dengan paket
yangmembawa serangan.
Mode
operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion
detection) dijaringan yang kita gunakan. Ciri khas mode operasi untuk
pendeteksi penyusup adaah denganmenambahkan perintah ke snort untuk membaca
file konfigurasi –c nama-file-konfigurasi.conf. Isifile konfigurasi ini lumayan
banyak, tapi sebagian besar telah di set secara baik dalam contohsnort.conf
yang dibawa oleh source snort.
Beberapa
contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian
penyusup,seperti :
./snort
–dev –l ./log –h 192.168.0.0/24 –c snort.conf
./snort
–d –h 192.168.0.0/24 –l ./log –c snort.conf
Untuk
melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket
yang lewat dapat menggunakan perintah –l nama-file-logging, atau membiarkan
snort menggunakan default file logging-nya di directory /var/log/snort.
Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi
perintah snort.conf.
Ada
beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih
effisien, mekanisme pemberitahuan alert di Linux dapat di set dengan perintah
–A sebagai berikut :
-A
fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A
full, mode alert dengan informasi lengkap.
-A
unsock, mode alert ke unix socket.
-A
none, mematikan mode alert.
Untuk
mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s, seperti
tampak pada beberapa contoh di bawah ini :
./snort
–c snort.conf –l ./log –s –h 192.168.0.0/24
./snort
–c snort.conf –s –h 192.168.0.0/24
Untuk
mengirimkan alert binary ke workstation windows, dapat digunakan perintah di
bawah ini :
./snort
–c snort.conf –b –M WORKSTATIONS
Agar
snort beroperasi secara langsung setiap kali workstation / server di boot, kita
dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s
–D atau /usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D dimana
–D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja
dibelakang layar) .
Tidak ada komentar:
Posting Komentar