Pemasangan program intrusi deteksi sebenarnya ditujukan untuk
mendeteksi, memantau keadaan anomali jaringan yang disebabkan salah satunya
oleh penyusup (intruder). Setalah tahap pendeteksian biasanya IDS dapat diset
untuk dapat memberikan peringatan bagi network administrator. Type IDS sendiri
secara garis besar dibagi 2 yaitu host-based dan network-based IDS. Pada
praktikum kali ini, kita akan membahas salah satu contoh aplikasi dari
host-based IDS, yaitu tripwire. Program tripwire berfungsi untuk menjaga integritas
file sistem dan direktori, dengan mencatat setiap perubahan yang terjadi pada
file dan direktori. Penggunaan tripwire biasanya digunakan untuk mempermudah
pekerjaan yang dilakukan oleh System Administrator dalam mengamankan System.
Cara kerja tripwire adalah dengan melakukan perbandingan file dan direktori
yang ada dengan database system yang dibuat pada saat tripwire diinstall.
Perbandingan tersebut meliputi perubahan tanggal, ukuran file, penghapusan dan lain-lainnya.
Setelah tripwire dijalankan, secara otomatis akan melakukan pembuatan database
sistem. Kemudian secara periodik akan selalu melaporkan setiap perubahan pada
file dan direktori.
B.
PERCOBAAN
I. Proses Instalasi
1. Login
sebagai root
2. Lakukan
sinkronisasi terkini index paket software local dengan repository
#apt-get update
3. Lakukan
instalasi tripwire
4. Masukkan site key passphrase dan local key passphrase, setelah
muncul dialog seperti dibawah. Ulangi sekali lagi !
5. Kemudian akan mucul dialog bahwa trip wire telah terinstal.
Perhatikan pesan pada dialog tersebut !
6. Ubah mode dari 2 buah file dari tripwire : tw.cfg dan tw.pol.
#cd /etc/tripwire
#chmod 0600 tw.cfg tw.pol
II. Melakukan Modifikasi pada file “Policy”
dan file Konfigurasi
Setelah proses instalasi berakhir,
lakukan langkah-langkah dibawah ini :
1. Modifikasi file twpol.txt.
Perhatikan setiap baris pada file tersebut. Lalu Enkripsi file tersebut. # vi
/etc/tripwire/twpol.txt
# cd /etc/tripwire
# twadmin --create-cfgfile --cfgfile
./tw.cfg --site-keyfile ./site.key ./twcfg.txt
2. Modifikasi file tw.cfg.
Perhatikan setiap baris pada file tersebut. Lalu Enkripsi file tersebut.
# vi /etc/tripwire/twcfg.txt
# cd /etc/tripwire
# twadmin --create-cfgfile --cfgfile
./tw.cfg --site-keyfile ./site.key ./twcfg.txt
III. Inisialisasi Database
Setelah melakukan langkah-langkah pada
point II, anda akan melakukan inisialisasi database dengan menjalankan perintah
:
#tripwire --init --cfgfile
/etc/tripwire/tw.cfg \ --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key
\ --local-keyfile /etc/tripwire/HOSTNAME-local.key
HOSTNAME adalah nama host komputer anda.
Langka ini mungkin membutuhkan waktu yang relatif lama.
IV. Melakukan cek system
Pada tahap ini tripwire menyimpan
informasi awal dari file-file yang akan dimonitor perubahannya:
# tripwire --check
V. Melakukan update file “Policy”
Apabila ada perubahan pada file
twpol.txt, misalnya kita akan menambahkan atau mengurangi folder yang akan
dimonitor maka kita harus melakukan update dengan menjalankan perintah :
# cd /
# tripwire --update-policy --cfgfile
./tw.cfg --polfile ./tw.pol \ --site-keyfile ./site.key --local-keyfile
./HOSTNAME-local.key ./twpol.txt
VI. Melakukan Update database dari system
file
Database dari file system perlu di
update secara berkala. Proses update dapat menggunakan perintah
# tripwire --update -Z low --twrfile
/var/lib/tripwire/report/host-yyyymmddtttttt.twr
Perintah tersebut berarti bahwa tripwire
akan membandingkan antara database yang ada dengan file yang ada di system, kemudian
akan menjalankan editor untuk memilih perubahan di database. Opsi dari twrfile
adalah file report yang dibangkitkan dan disimpan pada folder
/var/lib/tripwire/report. Format penamaan file adalah berdasarkan tahun (yyyy),
bulan (mm), tanggal(dd) dan jam dalam format (HH-MM-SS). Ekstensi file report
adalah .twr.
C. TUGAS
PERCOBAAN
1. Jalankan perintah :
1. Jalankan perintah :
# tripwire –check
Catat dan analisa
hasilnya.
2.
Kerjakan langkah-langkah
dibawah dan analisa setiap langkahnya
a.
Ubah file policy twpol.txt #
vim /etc/tripwire/twpol.txt
b.
Tambahkan di baris paling
bawah
Email akan dikirimkan ke akun email dari
root dari system yang anda monitor. Biasanya, email akan ditujukan kea kun user
yang dapat bertindak sebagai root.
c.
Lakukan enkripsi terhadap
file anda
# cd /etc/tripwire
# twadmin --create-polfile --cfgfile
./tw.cfg \ --site-keyfile ./site.key ./twpol.txt
d.
Ubah file konfigurasi untuk
memasukkan informasi smtp :
# vi /etc/tripwire/twcfg.txt
e.
Lakukan enkripsi terhadap
file tersebut
# cd /etc/tripwire
# twadmin --create-cfgfile --cfgfile
./tw.cfg --site-keyfile ./site.key ./twcfg.txt
f.
Jalankan test dengan
menggunakan perintah :
# tripwire –test –email root@localhost
g.
Check email di akun user
anda
$ mail
3.
Buat sebuah file kosong .
Kemudian salinlah ke dalam direktori /bin
# touch newfile.sh
# cp newfile.sh /root
4.
Lakukan cek konsistensi
dengan menjalankan perintah :
# tripwire –check
Catat dan analisa
hasilnya.
5.
Bandingkan hasil dari
perintah pada nomor 1 dan nomor 4.
D.
KESIMPULAN
1.
Berikan kesimpulan hasil praktikum yang anda lakukan.
Ø Pada awal penginstalan tripwire,
harus membuat database yang berguna menyimpan informasi awal terkait
berkas-berkas atau direktori yang ingin kita amati beserta“signature” dari berkas
tersebut.
Ø Tripwire adalah salah satu utilitas
yang digunakan untuk menghindari adanya backdoor.
Ø Daftar file atau direktori yang akan
diperiksa Tripwire terdapat dalam file konfigurasi Tripwire yang default-nya
bernama tw.config.
Ø Semua informasi perubahan akan
disimpan disebuah database, kemudian dilakukan permbandingan antara database
sebelum adanya perubahan dan setelah adanya perubahan.
2. Berdasarkan percobaan yang anda
lakukan, jelaskan cara kerja tripwire dalam melakukan integrity checker ?
Cara Kerja Tripwire.
Pada waktu
pertama kali digunakan, tripwire harus digunakan untuk membuat database
mengenai berkas-berkas atau direktori yang ingin kita amati beserta“signature”
dari berkas tersebut. Signature berisi informasi mengenai besarnya berkas,
kapan dibuatnya, pemiliknya, hasil checksum atau hash (misalnya dengan
menggunakan program MD5), dan sebagainya. Apabila ada perubahan pada berkas
tersebut, maka keluaran dari hash function akan berbeda dengan yang ada
didatabase sehingga ketahuan adanya perubahan.
Tripwire
yang merupakan salah satu pilhan utilitas yang dapat digunakan oleh user dan
administrator untuk memeriksa perubahan yang terjadi pada file atau direktori.
Hal itu
untuk menghindari adanya backdoor (pintu belakang untuk mendapatkan akses
illegal lagi), penyusupan karena adanya bug pada perangkat lunak, adanya
malicious code dan perubahan terhadap sistem oleh orang lain yang sebenarnya
tidak mempunyai hak untuk itu. Dalam pemeriksaan keutuhan dan keaslian file
ini.
tripwire
perlu mengetahui file mana saja yang akan diperiksa baru setelah itu
membandingkan file yang akan diperiksa tersebut dengan informasi (database)
yang telah disimpan sebelumnya. Dan jika terjadi perubahan atau penambahan file
baru Tripwire akan melaporkannya sehingga administrator dapat segera memeriksa
apakah pengubahan atau penambahan file baru tersebut legal atau tidak.
Daftar
file atau direktori yang akan diperiksa Tripwire terdapat dalam file
konfigurasi Tripwire yang default-nya bernama tw.config. Sedangkan keadaan asli
file tersebut terdapat di dalam file database Tripwire yang default-nya bernama
tw.db_@. Karakter @ diganti dengan hostname komputer yang diinstal Tripwire.
Yang
menjadi file inti dalam program Tripwire ini sebenarnya adalah kedua file
tersebut yaitu file konfigurasi tw.config dan file database tw.db_@. Karena itu
sangat disarankan pada saat menginstalasi program Tripwire agar kedua file ini
diletakkan pada tempat yang hanya di-mount read-only atau di media eksternal
(seperti disket atau NFS) sehingga tidak ada intruder yang dapat mengubahnya.
Sebab jika hal ini tidak dilakukan akan sangat mungkin menyebabkan kita tidak
dapat
mengetahui seorang intruder yang telah berhasil masuk ke dalam sistem dan telah
menyiapkan backdoor. Hal ini dikarenakan pada saat intruder itu telah membuat
file baru atau mengubah suatu file untuk digunakan sebagai backdoor, ia
sekaligus dapat mengubah file database Tripwire sehingga jejaknya tidak akan
terdeteksi oleh Tripwire. Jika hal seperti ini terjadi, berarti program
Tripwire yang telah diinstalasi sama sekali tidak berguna.
Sign up here with your email
ConversionConversion EmoticonEmoticon