Laporan Pendahuluan 3 Host Based IDS - Sebuah host-based IDS analyzes several areas untuk
menentukan penyalahgunaan (aktivitas berbahaya atau kasar di dalam jaringan)
atau intrusi (pelanggaran dari luar). Host-based IDSes berkonsultasi beberapa
jenis file log (kernel, sistem, server, jaringan, firewall, dan banyak lagi),
dan membandingkan log terhadap database internal. IDSes berbasis host juga
dapat memverifikasi integritas data file penting dan executable. Ia memeriksa
database file sensitif (setiap file yang ditambahkan oleh administrator) dan
menciptakan checksum setiap file dengan pesan-berkas, mencerna utilitas seperti
md5sum atau sha1sum. Host-based IDS menyimpan jumlah dalam file teks biasa dan
secara berkala membandingkan checksum berkas terhadap nilai-nilai dalam file
teks. Jika salah satu checksum file ada yang tidak cocok, akan muncul IDS alert
administrator melalui email atau pager seluler. Ini adalah proses yang
digunakan oleh Tripwire
Pembagian
HIDS berdasarkan tipe terbagi 4 macam yaitu (http://staff.science.uva.nl) :
1.
system monitors
System
akan melakukan pengecekkan terhadap integritas terhadap file dan direktori.
Point yang menjadi objek analisa nya adalah :
a.
Permissions, adanya perubahan hak akses terhadap suatu file atau direktori.
b.
Inode, adanya perubahan terhadap hirarki terhadap suatu file pada
direktori.
c.
Number of Link, terjadinya perubahan terhadap link suatu
file ke file yang lainnya.
d.
Owner/ Group, perubahan terhadap kepemilikan dari sebuah file atau
direktori.
e.
Size, penambahan ukuran terhadap suatu file secara significant.
f.
Direktori size, penambahan atau pengurangan terhadap apa-apa
yang terdapat didalam suatu direktori.
g.
Time, pengecekkan terhadap kapan terakhir kali suatu file di akses,
dilakukan modifikasi terhadap suatu file dan berubahnya suatu kepemilikan dari
suatu file atau direktori.
h.
Checksums, keabsahan terhadap suatu file atau direktori.
i.
Type, adanya penggantian terhadap suatu file dengan direktori dengan
nama yang sama dengan file.
2.
Log file analysers
System akan melakukan analisa pada log file
terhadap perbandingan tentang adanya indikasi yang mencurigakan.
3.
Connection analysers
System akan memantau koneksi yang \masuk dan
keluar dari host.
4.
Kernel based IDS
System
melakukan pendeteksian terhadap keanehan dari kegiatan pada setiap level
kernel. Point yang menjadi objek analisa adalah :
a.
Pendeteksian secara anomaly terhadap
pemakaian resurce dari tiap-tiap user.
b.
Aktivitas dari log port address.
c.
Log yang menjelaskan tentang perubahan pada file biner
system
d.
Log yang terdapat kemungkinan penggunaan yang aneh terhadap
proses pemanggilan pada suatu aplikasi.
TRIPWARE
Tripwire
berfungsi untuk menjaga integritas file sistem dan direktori, dengan mencatat
setiap perubahan yang terjadi pada file dan direktori. Tripwire biasanya
digunakan untuk mempermudah pekerjaan yang dilakukan oleh System Administrator
dalam mengamankan System. Cara kerja tripwire adalah dengan melakukan
perbandingan file dan direktori yang ada dengan database system yang dibuat
pada saat tripwire diinstall. Perbandingan tersebut meliputi perubahan tanggal,
ukuran file, penghapusan dan lain-lainnya. Setelah tripwire dijalankan, secara
otomatis akan melakukan pembuatan database sistem. Kemudian secara periodik
akan selalu melaporkan setiap perubahan pada file dan direktori.
Dan
berikut ini adalah aturan-aturan yang dapat digunakan dalam tripwire :
SEC_CRIT= $(IgnoreNone)-SHa ;
# Critical files that cannot change
SEC_SUID= $(IgnoreNone)-SHa ;
# Binaries with the SUID or SGID flags set
SEC_BIN= $(ReadOnly) ; # Binaries
that should not change
SEC_CONFIG= $(Dynamic) ; # Config
files that are changed infrequently but accessed often
SEC_LOG= $(Growing) ; # Files that
grow, but that should never change ownership
SEC_INVARIANT= +tpug ; # Directories
that should never change permission or ownership
SIG_LOW= 33 ; # Non-critical files
that are of minimal security impact
SIG_MED= 66 ; # Non-critical files
that are of significant security impact
SIG_HI= 100; # Critical files that
are significant points of vulnerability@@section FS
Sign up here with your email
ConversionConversion EmoticonEmoticon