Tugas Pendahuluan Praktikum SNORT

Tugas Pendahuluan Praktikum SNORT

17.02
Tugas Pendahuluan Praktikum SNORT - Berikut merupakan tugas pendahuluan untuk praktikum SNORT keamanan data semester 6. secara umum SNORT merupakan software yang digunakan untuk melakukan sniffing pada aktivitas jaringan, sehingga aplikasi ini cocok untuk mengawasi segala bentuk aktivitas pada jaringan.







TUGAS PENDAHULUAN
1. Sebutkan dan jelaskan dengan singkat apa yang disebut dengan konsep IDS ?
2. Jelaskan cara membuat rule baru di snort !
3.bagaimana cara menampilkan event/serangan pada snort
4. bagaimana cara menyimpan event dalam database

Jawab :

1.      Intrusion Detection System (IDS)
IDS IntrusionDetection System adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan  traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol).

IDS sendiri muncul dengan beberapa jenis dan pendekatan yang berbeda yang intinya berfungsi untuk mendeteksi traffic yang mencurigakan didalam sebuah jaringan. Beberapa jenis IDS adalah : yang berbasis jaringan (NIDS) dan berbasis host (HIDS).

Ada IDS yang bekerja dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari percobaan yang sering dilakukan. Cara ini hampir sama dengan cara kerja perangkat lunak antivirus dalam mendeteksi dan melindungi sistem terhadap ancaman. Kemudian ada juga IDS yang bekerja dengan cara mendeteksi berdasarkan pada pembandingan pola traffic normal yang ada dan kemudian mencari ketidaknormalan traffic yang ada. Ada IDS yang fungsinya hanya sebagai pengawas dan pemberi peringatan ketika terjadi serangan dan ada juga IDS yang bekerja tidak hanya sebagai pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah kegiatan yang merespon adanya percobaan serangan terhadap sistem jaringan dan komputer.

2.      Membuat Rule baru :
1. Buat sebuat file baru di /etc/snort/rules/local.rules

# nano /etc/snort/rules/local.rules

isi dengan kode kayak gini :

alert icmp any any -> any any (msg:"ada orang yang lagi nyoba ngeping";sid:10000001;rev:0;)
alert tcp any any -> any 21 (msg:"FTP server lagi di akses";sid:10000002;rev:1;)

Save kemudian tutup.

rumusnya itu sebenarnya seperti berikut:

jenis_perintah protokol network_sumber port_sumber -> network_tujuan port_tujuan


3.      Menampilkan event pada snort :
1. Sniffer mode
Untuk melihat paket yang lewat di jaringan.
            Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh perintah-nya terdapat di bawah ini,
#snort –v
#snort –vd
#snort –vde
#snort –v –d –e
dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket.
-e, untuk melihat header link layer paket seperti ethernet header.
2. Packet logger mode
            Untuk mencatat semua paket yang lewat di jaringan untuk dianalisa dikemudian hari.Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama jikakita menggunakan ethernet berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekalisusah untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini adalahmenyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian, sambil santai.Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah
./snort –dev –l ./log
./snort –dev –l ./log –h 192.168.0.0/24
./snort –dev –l ./log –b
            perintah yang paling penting untuk me-log paket yang lewat adalah -l ./log yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII.
untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah –r nama file log-nya, seperti,
./snort –dv –r packet.log
./snort –dvr packet.log icmp
3. Intrusion Detection mode
            Pada mode ini snort akan berfungsi untuk mendeteksi serangan yangdilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini diperlukan setup dariberbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yangmembawa serangan.
            Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) dijaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi penyusup adaah denganmenambahkan perintah ke snort untuk membaca file konfigurasi –c nama-file-konfigurasi.conf. Isifile konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contohsnort.conf yang dibawa oleh source snort.
Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup,seperti :
./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf
./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf

            Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan perintah –l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi perintah snort.conf.
           
            Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien, mekanisme pemberitahuan alert di Linux dapat di set dengan perintah –A sebagai berikut :
-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full, mode alert dengan informasi lengkap.
-A unsock, mode alert ke unix socket.
-A none, mematikan mode alert.
Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s, seperti tampak pada beberapa contoh di bawah ini :
./snort –c snort.conf –l ./log –s –h 192.168.0.0/24
./snort –c snort.conf –s –h 192.168.0.0/24

            Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah di bawah ini :
./snort –c snort.conf –b –M WORKSTATIONS
            Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini /usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D atau /usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar) .

4.      Instalasi SNORT untuk disimpan dalam database :
Install Snort
#sudo apt-get install nmap snort-mysql snort-rules-default acidbase

-     Pada saat proses instalasi kita akan diminta memasukkan network mana yang akan dimonitor (gunakan slash notation), dan juga akan diminta password untuk mysql. karena log dan alert akan disimpan di mysql. Selanjutnya kita konfigurasi database mysql:
mysql -u root -p
> create database snort;
> exit

-     Lalu dump database ke mysql
#cd /usr/share/doc/snort-mysql/
#zcat create_mysql.gz | mysql -u root -p snort

-    Konfigurasi database snort, edit file konfigurasi nya /etc/snort/database.conf
   dan pastikan baris berikut:
   output database: alert, mysql, user=root password=snort  
  dbname=snort host=localhost

        output database: log, mysql, user=root password=snort
        dbname=snort host=localhost

-    Tahap selanjutnya konfigurasi acidbase agar terhubung dengan database, edit
   file konfigurasi /etc/acidbase/database.php (sesuaikan username dan
               passwordnya)
              
               $alert_user='root';
$alert_password='snort';
$basepath='/acidbase';
$alert_dbname='snort';
$alert_host='localhost';
$alert_port='';
$DBtype='mysql';

-    Terakhir restart apache dan snort dengan perintah:
               #sudo /etc/init.d/apache2 restart
        #sudo /etc/init.d/snort restart

-    Setup acidbase di alamat http://localhost/acidbase , jika ingin snort bisa dibaca
   oleh komputer lain sesuaikan ip dan network yang ada di   
   /etc/acidbase/apache.conf , misalnya:

<IfModule mod_alias.c>
Alias /acidbase "/usr/share/acidbase"
</IfModule>

<DirectoryMatch /usr/share/acidbase/>
Options +FollowSymLinks
AllowOverride None
order deny,allow
deny from all
allow from 0.0.0.0/0.0.0.0
<IfModule mod_php5.c>
php_flag magic_quotes_gpc Off
php_flag track_vars On
php_value include_path .:/usr/share/php
</IfModule>
</DirectoryMatch>


-    Jika sudah dirubah, restart kembali service apachenya akses pada browser
   client http://ipserver/acidbase ikuti petunjutk setupnya sampai selesai. Hasil  
   akhirnya akan menampilkan semua alert dan protokol tcp/udp beserta detil
  semua event pada network yang kita pantau.

Setting Database untuk SNORT
Buat  database untuk snort, disarankan menggunakan phpmyadmin, karena lebih mudah dan memiliki tampilan yang menyenangkan. Jangan lupa untuk menyesuaikan dengan keadaan konfigurasi database yang sudah diedit tadi di /etc/snort/snort.conf. Table layout ada di file create_mysql di direktori
/root/snorttemp/snort-2.6.1.1/schemas.
-    Kalo sudah jadi, silakan test konfigurasi Snort:
# snort -c /etc/snort/snort.conf

Apabila tidak ada error, berarti sukses. Batalkan test dengan menekan Ctrl+C.
Memindahkan ADODB dan BASE ADODB
-    Kembali ke tempat semula:
# cd /root/snorttemp/


-    Pindahkan direktori ADODB ke root direktori web server:
# mv adodb /var/www/
BASE (Basic Analysis and Security Engine)



-    Pindakan direktori base-1.2.7 ke direktori web server yang dapat diakses:
# mv base-1.2.7 /var/www/html/

-    Pindahkan  kesana
# cd /var/www/html/

-    Agar mudah diakses, ganti namanya menjadi base:
# mv base-1.2.7 base
-    Ganti permissionnya:
# chmod 757 base
BASE Web based Setup
-  Silakan buka web browser Anda, dan arahkan ke http://192.168.10.1/base/setup


-    Klik Continue
-    Masukkan path ADODB (/var/www/adodb): 
-     Klik Submit Query-
-      Masukkan  informasi yang ada, dan biarkan pilihan “Use Archive Database” apa adanya: 
-    Klik Submit Query
Jika mau, bisa menggunakan pilihan “Use Authentication System” agar lebih aman:
-    Klik Submit Query
-    Klik Create BASE AG untuk membuat database:
-    Jika sudah, lanjutkan ke step 5
-    Untuk melihat tampilan grafis dari traffic BASE,  download

-        Image_Color, Image_Canvas dan Image_Graph

# pear install Image_Color
# pear install Image_Canvas-alpha
# pear install Image_Graph-alpha


-       Ganti permission direktori base dari 757 ke 775
# chmod 775 base

-       Delete juga direktori temporary /root/snorttemp:
# rm -rf /root/snorttemp

-    Menjalankan SNORT
-   Untuk menjalankan Snort, silakan jalankan perintah berikut:
  # /usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g  
  root -D

Next
« Prev Post
Previous
Next Post »
Langganan: Posting Komentar (Atom)