Intrusion Detection System (SNORT) – PRAKTIKUM KEAMANAN DATA
PRAKTIKUM
5 – PRAKTIKUM KEAMANAN DATA
Johan Zakaria 2110131005
Berlian
Rahmy Lidiawaty 2110131011
Lutfi
Hariyanto 2110131023
JUDUL
PRAKTIKUM : Intrusion
Detection System (SNORT)
HARI
/ TANGGAL : Rabu / 04
Mei 2016
DASAR TEORI
Deteksi Penyusupan
(Intrusion Detection)
Deteksi penyusupan
adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan
program khusus yang otomatis. Program yang dipergunakan biasanya disebut
sebagai Intrusion Detection System (IDS).
Tipe dasar dari IDS
adalah:
·
Rule-based systems - berdasarkan atas
database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS
mencatat lalulintas yang sesuai dengan database yang ada, maka langsung
dikategorikan sebagai penyusupan.
·
Adaptive systems - mempergunakan metode
yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga
membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang
baru.
Bentuk yang sering
dipergunakan untuk komputer secara umum adalah rule-based systems.
Pendekatan yang
dipergunakan dalam rule-based systems ada dua, yakni pendekatan pencegahan
(preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah
waktu saja. Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan
semua lalu lintas jaringan. Jika ditemukan paket yang mencurigakan, maka
program akan melakukan tindakan yang perlu. Pendekatan reaksi, program
pendeteksi penyusupan hanya mengamati file log. Jika ditemukan paket yang
mencurigakan, program juga akan melakukan tindakan yang perlu.
Snort
Mengoperasikan
Snort
Tiga (3) buah mode,
yaitu
1.
Sniffer
mode,
untuk melihat paket yang lewat di jaringan.
2.
Packet
logger mode, untuk mencatat semua paket yang lewat
di jaringan untuk di analisa di kemudian hari.
3.
Intrusion
Detection mode, pada mode ini snort akan berfungsi
untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk
menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang
akan membedakan sebuah paket normal dengan paket yang membawa serangan
Sniffer
Mode
Untuk menjalankan snort
pada sniffer mode tidaklah sukar, beberapa contoh perintahnya terdapat di bawah
ini,
·
#snort –v
·
#snort –vd
·
#snort –vde
·
#snort –v –d –e
dengan menambahkan
beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda,
yaitu
·
-v, untuk melihat header TCP/IP paket
yang lewat.
·
-d, untuk melihat isi paket.
·
-e, untuk melihat header link layer
paket seperti ethernet header.
Packet
Logger Mode
Tentunya cukup
melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama
jika kita menggunakan ethernet berkecepatan 100Mbps, layar anda akan scrolling
dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling
sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat
ke sebuah file untuk di lihat kemudian, sambil santai. Beberapa perintah yang
mungkin dapat digunakan untuk mencatat paket yang ada adalah
·
./snort –dev –l ./log
·
./snort –dev –l ./log –h 192.168.0.0/24
·
./snort –dev –l ./log –b
perintah yang paling
penting untuk me-log paket yang lewat adalah
-l ./log
yang menentukan bahwa
paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah
tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa yang
di catat hanya packet dari host mana saja, dan –b yang memberitahukan agar file
yang di log dalam format binary, bukan ASCII.
Untuk membaca file log
dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah –r nama
file log-nya, seperti,
·
./snort –dv –r packet.log
·
./snort –dvr packet.log icmp
Intrusion
Detection Mode
Mode operasi snort yang
paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) di
jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi penyusup
adaah dengan menambahkan perintah ke snort untuk membaca file konfigurasi –c
nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi
sebagian besar telah di set secara baik dalam contoh snort.conf yang dibawa
oleh source snort.
Beberapa contoh
perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti
·
./snort –dev –l ./log –h 192.168.0.0/24
–c snort.conf
·
./snort –d –h 192.168.0.0/24 –l ./log –c
snort.conf
Untuk melakukan deteksi
penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat
menggunakan perintah –l nama-file-logging, atau membiarkan snort menggunakan
default file logging-nya di directory /var/log/snort. Kemudian menganalisa
catatan / logging paket yang ada sesuai dengan isi perintah snort.conf.
Ada beberapa tambahan
perintah yang akan membuat proses deteksi menjadi lebih effisien, mekanisme
pemberitahuan alert di Linux dapat di set dengan perintah –A sebagai berikut,
·
-A fast, mode alert yang cepat berisi
waktu, berita, IP & port tujuan.
·
-A full, mode alert dengan informasi
lengkap.
·
-A unsock, mode alert ke unix socket.
·
-A none, mematikan mode alert.
Untuk mengirimkan alert
ke syslog UNIX kita bisa menambahkan switch –s, seperti tampak pada beberapa
contoh di bawah ini.
·
./snort –c snort.conf –l ./log –s –h
192.168.0.0/24
·
./snort –c snort.conf –s –h
192.168.0.0/24
Untuk mengirimkan alert
binary ke workstation windows, dapat digunakan perintah di bawah ini,
./snort
–c snort.conf –b –M WORKSTATIONS
Agar snort beroperasi
secara langsung setiap kali workstation / server di boot, kita dapat
menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort
–d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D
atau
/usr/local/bin/snort
–d –c /root/snort/snort.conf –A full –s –D
dimana –D adalah switch
yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).
LAPORAN PENDAHULUAN
1.
Sebutkan
dan jelaskan dengan singkat apa yang disebut dengan konsep IDS!
Intrusion Detection System (IDS) adalah sebuah aplikasi perangkat lunak atau
perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah
sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi
(penyusupan).
Ada dua jenis IDS, yaitu:
·
Network-based Intrusion Detection System (NIDS):
Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk
mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan.
NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada
atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah
bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernetsekarang telah
menerapkan fungsi IDS di dalam switch buatannya untuk
memonitor port atau koneksi.
·
Host-based Intrusion Detection System (HIDS):
Aktivitas sebuah host jaringan individual akan dipantau apakah
terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS
seringnya diletakkan pada server-server kritis di jaringan, seperti
halnya firewall, web server,
atau server yang terkoneksi ke Internet.
Kebanyakan
produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah
mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator
jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan.
Akhir-akhir ini, beberapa vendor juga mengembangkan IDS yang
bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau
jaringan dari serangan ketika terdeteksi, seperti halnya menutup beberapa port atau
memblokir beberapa alamat IP. Produk
seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS).
Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan
NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion
detection system).
Ada beberapa
cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan
pendeteksian berbasis signature(seperti halnya yang dilakukan oleh
beberapa antivirus), yang
melibatkan pencocokan lalu lintas jaringan dengan basis data yang
berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang.
Sama seperti halnya antivirus, jenis ini
membutuhkan pembaruan terhadap basis data signature IDS yang
bersangkutan.
Metode
selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based
IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah
serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan
menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang
dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan
kelebihan dibandingkan signature-based IDS, yakni ia dapat
mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis datasignature IDS.
Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga
tugas administrator menjadi lebih rumit, dengan
harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya
laporan false positive yang muncul.
Teknik
lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi,
yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas
sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di
dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk
memantau apakah terjadi kejadian yang tidak biasa.
2.
Sebutkan
fasilitas kemampuan yang dimiliki snort!
A.) Alert Facility (Fasilitas
Peringatan)
Alert
facility ini digunakan oleh Snort untuk memberikan informasi
kepadauser ketika traffic data pada jaringan sesuai dengan
kriteria yang telah ditetapkan pada rules.
Berdasarkan
gambar di atas dapat dilihat bahwa pihak luar melakukan ping kepada sistem.
Gambar di atas juga menjelaskan secara detail, yang diantaranya:
·
Tanggal dan waktu (sampai hingga mikro
detik)
·
SID (Snort ID), merupakan identifikasi
yang menunjukkan bahwa rulestelah sama dengan data jaringan yang ada. SID
ini ditulis dengan format:
[sig_generator:sig_id:sig_revision]
o
sig_generator melakukan
indentifikasi bagian Snort yang waspada
o
sig_id adalah signature Snort
ID yang menunjukan aturan yang sesuai dengan data traffic network
o
sig_rev merupakan nomor revisi
peraturan
·
Pesan text singkat
·
Klasifikasi dan prioritas serangan
·
Protokol paket yang tersandung (trapped)
aturan
·
Alamat sumber dan tujuan IP yang
terlibat
Informasi
di atas hanya berlaku untuk modul fast alert yang mencetak minimal
informasi. Modul-modul lainnya akan mencetak MAC address, flag, TCP
bahkan payload paket dalam ASCII atau hex. Pilihan yang dimiliki
oleh Snort cukup banyak dan tidak terbatas. Dengan pilihan tersebut Snort dapat
mencetak cukup detail untuk memuaskan user-nya.
B.) Log Facility (Fasilitas log)
Fasilitas
log melakukan tugasnya dengan mencatat informasi paket yang sesuai untuk
serangan tertentu. Akan tetapi, user juga dapat melakukan pencatatan
informasi paket tanpa melakukan generalisasi serangan terlebih dahulu.
Menunjukan
keterangan secara rinci bahwa Snort dapat melakukan ping kepada sistem serta
data scan port 80. Apabila menjalankan Snort sebagaiIntrusion
Detection System (IDS) user harus melakukan generalisasi
serangan sehingga user dapat melakukan pencarian pada setiap
langkahnya.
3.
Jelaskan
cara instalasi dan konfigurasi snort!
Membuat grup dan user
snort
groupadd snort
useradd -g snort snort
*
Membuat direktori snort untuk keperluan log dan file biner (sistem)
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
*
Dari direktori dimana snort di ekstrak (file instal)
Copy semua file yang terdapat di direktori rules ke /etc/snort/rules
cd rules
cp * /etc/snort/rules
*
Copy semua file yang terdapat di direktori etc ke direktori /etc/snort/
cd ../etc
cp * /etc/snort
*
Modifikasi file snort.conf yang terletak di /etc/snort,
var HOME_NET 10.2.2.0/24
(Gunakan CIDR / Classless InterDomain Routing, http://www.oav.net/mirrors/cidr.html)
groupadd snort
useradd -g snort snort
*
Membuat direktori snort untuk keperluan log dan file biner (sistem)
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
*
Dari direktori dimana snort di ekstrak (file instal)
Copy semua file yang terdapat di direktori rules ke /etc/snort/rules
cd rules
cp * /etc/snort/rules
*
Copy semua file yang terdapat di direktori etc ke direktori /etc/snort/
cd ../etc
cp * /etc/snort
*
Modifikasi file snort.conf yang terletak di /etc/snort,
var HOME_NET 10.2.2.0/24
(Gunakan CIDR / Classless InterDomain Routing, http://www.oav.net/mirrors/cidr.html)
var EXTERNAL_NET !$HOME_NET
(Semuanya keculi HOME_NET)
*
Ganti “var RULE_PATH ../rules” menjadi “var RULE_PATH /etc/snort/rules”
*
Jangan lupa menambahkan snort pada program startup (rc.local)
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort -Dde
*
Ganti “var RULE_PATH ../rules” menjadi “var RULE_PATH /etc/snort/rules”
*
Jangan lupa menambahkan snort pada program startup (rc.local)
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort -Dde
4.
Jelaskan
cara membuat rule baru di snort!
a.)
Sniffer mode
Untuk
melihat paket yang lewat di jaringan.
Untuk
menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh
perintah-nya terdapat di bawah ini,
#snort –v
#snort –vd
#snort –vde
#snort –v –d
–e
dengan menambahkan
beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda,
yaitu
-v, untuk
melihat header TCP/IP paket yang lewat.
-d, untuk
melihat isi paket.
-e, untuk
melihat header link layer paket seperti ethernet header.
b.)
Packet logger mode
Untuk
mencatat semua paket yang lewat di jaringan untuk dianalisa dikemudian
hari.Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat
di layar terutama jikakita menggunakan ethernet berkecepatan 100Mbps, layar
anda akan scrolling dengan cepat sekalisusah untuk melihat paket yang di
inginkan. Cara paling sederhana untuk mengatasi hal ini adalahmenyimpan dulu
semua paket yang lewat ke sebuah file untuk di lihat kemudian, sambil
santai.Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang
ada adalah:
./snort –dev
–l ./log
./snort –dev
–l ./log –h 192.168.0.0/24
./snort –dev
–l ./log –b
perintah
yang paling penting untuk me-log paket yang lewat adalah -l ./log yang
menentukan bahwa paket yang lewat akan di log / di catat ke file ./log.
Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang
menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang
memberitahukan agar file yang di log dalam format binary, bukan ASCII.
untuk
membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan
perintah –r nama file log-nya, seperti,
./snort –dv
–r packet.log
./snort –dvr
packet.log icmp
c.)
Intrusion Detection mode
Pada mode
ini snort akan berfungsi untuk mendeteksi serangan yangdilakukan melalui
jaringan komputer. Untuk menggunakan mode IDS ini diperlukan setup dariberbagai
rules / aturan yang akan membedakan sebuah paket normal dengan paket
yangmembawa serangan.
Mode operasi
snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion
detection) dijaringan yang kita gunakan. Ciri khas mode operasi untuk
pendeteksi penyusup adaah denganmenambahkan perintah ke snort untuk membaca
file konfigurasi –c nama-file-konfigurasi.conf. Isifile konfigurasi ini lumayan
banyak, tapi sebagian besar telah di set secara baik dalam contohsnort.conf
yang dibawa oleh source snort.
Beberapa
contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian
penyusup,seperti :
./snort –dev
–l ./log –h 192.168.0.0/24 –c snort.conf
./snort –d –h
192.168.0.0/24 –l ./log –c snort.conf
Untuk
melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket
yang lewat dapat menggunakan perintah –l nama-file-logging, atau membiarkan
snort menggunakan default file logging-nya di directory /var/log/snort.
Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi
perintah snort.conf.
Ada beberapa
tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien,
mekanisme pemberitahuan alert di Linux dapat di set dengan perintah –A sebagai
berikut :
-A fast,
mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full,
mode alert dengan informasi lengkap.
-A unsock,
mode alert ke unix socket.
-A none,
mematikan mode alert.
Untuk
mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s, seperti
tampak pada beberapa contoh di bawah ini :
./snort –c
snort.conf –l ./log –s –h 192.168.0.0/24
./snort –c
snort.conf –s –h 192.168.0.0/24
Untuk
mengirimkan alert binary ke workstation windows, dapat digunakan perintah di
bawah ini :
./snort –c
snort.conf –b –M WORKSTATIONS
Agar snort
beroperasi secara langsung setiap kali workstation / server di boot, kita dapat
menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s
–D atau /usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D dimana
–D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja
dibelakang layar).
PERCOBAAN
Praktikum 3: Mengganti User dan Password pada Server
1.
Melakukan
SSH terhadap host 10.252.108.76
2.
Membuka
dan mengubah direktori /etc/hostname
3.
Merubah
password
4.
Melakukan
reboot untuk merestart
5.
Mencoba
untuk melakukan SSH pada hostname kelompok6 dengan memasukan password yang
telah diset sebelumnya.
6.
Melihat
IP dan default gateway.
7.
Menambahkan
10.252.108.9 sebagai gateway.
8.
Melakukan
update terhadap system.
9.
List
hostname dan password untuk kelompok 6:
ip : 10.252.108.76
Gateway : 192.252.108.9
hostname : kelompok6
root pass : jarkom
Praktikum 2: Instalasi Snort dan Percobaan Memberi
Alert
1.
Menginstall
library
2.
Menjalankan
ethtool
3.
Snort
menggunakan library Data Acquisition (DAQ) untuk abstract calls sebagai paket
capture libraries. Untuk itu, diperlukan download DAQ dan man menginstallnya
dari website SNORT.
Proses ekstrak:
Configure dan install:
4.
Melakukan
instalasi snort pada PC Server
Download snort:
Ekstrak snort:
Konfigurasi dan install:
5.
Update
Library
6.
Update
symlink:
7.
Menjalankan
snort:
8.
Mengkonfigurasi
group snort
9.
Membuat
direktori snort
10. Membuat file untuk rule da IP list
11. Membuat direktori logging
12. Membuat permission
13. Merubah kepemilikan folder
14. Mengopraasikan file snort
15. Struktur etc snort
16. Menambah rule path pada snort.conf
17. Menambah IPvar homenet
18. Menambah rulepath IP list
19. Mengecek snort
20. Membuatt rules
Rules any telah tersedia
21. Mengaktifkan local rules
22. Mengakses facebook
23. Mendapatkan alert dari facebook
Praktikum 3: Base
1.
Instal
library untuk banyard
2.
Download
banyard
3.
Ekstrak
banyard
4.
Memindahkan
file banyard
5.
Menjalankan
perintah di banyard
6.
Menjalankan
perintah ln -s /usr/include/dumbnet.h /usr/include/dnet.h
7.
Menjalankan
perintah ldconfig
8.
Mengkopi
file banyard ke snort
9.
Membuat
direktori banyard
10. Menjalankan mysql
11. Membuat user SNORT dan grant
12. Mengedit konfigurasi di banyard2.conf
13. Menjalankan perintah chmod 0-r /etc/snort/banyard2.conf
14. Menjalankan snort sebagai daemon
15. Menjalankan banyard sebagai daemon
16. Mengelompokan snort
17. Membuka file apache
18. Merestart apache
19. Menjalankan perintah peer
20. Download file base
21. Ekstrak file base
22. Membuka database dari web browser
23. Melihat hasilnya
Praktikum 4: NMAP
1.
Masuk
ke super user dari computer client.
2.
Mengecek
IP address client.
3.
Menginstall
nmap dari computer client.
4.
Menjalankan
nmap dari komputer client dengan tujuan ke computer server (10.252.108.76)
5.
Melihat
hasil nmap dari computer client, yang dipantau dari koputer server (umum)
6.
Melihat
hasil nmap dari computer client, yang dipantau dari koputer server (berdasarkan
jenis)
Setelah melakukan percobaan di atas, maka dapat
diambil kesimpulan bahwa:
·
SNORT
IDS dapat mendeteksi aktivitas host ketika mengakses konten tertentu sesuai
rule yang teah dibuat.
·
SNORT
juga dapat memberikan alert atas aktivitas tersebut.
·
Log
dari aktivitas tersebut dapat dilihat di /var/log/snort/alert
PERTANYAAN
1.
Download
rule terbaru di SNORT dan bandingkan dengan rule yang lama, apa saja perubahan
yang ada?
·
1:34466 <-> ENABLED <->
FILE-EXECUTABLE Adobe Reader AcroBroker registry value out of bounds attempt
(file-executable.rules)
·
1:34468 <-> ENABLED <->
BLACKLIST DNS request for known malware domain legendastar.ru -
Win.Backdoor.Nirunte (blacklist.rules)
·
1:34465 <-> DISABLED <->
INDICATOR-COMPROMISE known malicious SSL certificate - APT28 Lisuife
(indicator-compromise.rules)
·
1:34469 <-> ENABLED <->
MALWARE-CNC Win.Backdoor.Nirunte variant outbound connection attempt
(malware-cnc.rules)
·
1:34470 <-> ENABLED <->
MALWARE-CNC Win.Backdoor.Nirunte variant outbound connection attempt
(malware-cnc.rules)
·
1:34471 <-> ENABLED <->
SERVER-WEBAPP Symantec Critical System Protection directory traversal attempt
(server-webapp.rules)
·
1:34472 <-> DISABLED <->
SERVER-WEBAPP Symantec Critical System Protection SQL injection attempt
(server-webapp.rules)
·
1:34473 <-> ENABLED <->
FILE-PDF Adobe Acrobat Reader WillSave action use after free attempt
(file-pdf.rules)
·
1:34474 <-> ENABLED <->
FILE-PDF Adobe Acrobat Reader WillSave action use after free attempt
(file-pdf.rules)
·
1:34475 <-> DISABLED <->
SERVER-WEBAPP Wordpress username enumeration attempt (server-webapp.rules)
·
1:34476 <-> ENABLED <->
MALWARE-CNC Win.Trojan.Kriptovor variant outbound connection attempt
(malware-cnc.rules)
·
1:34477 <-> ENABLED <->
FILE-FLASH Adobe Flash Player object type confusion attempt (file-flash.rules)
·
1:34479 <-> ENABLED <->
FILE-EXECUTABLE Adobe Flash Player Internet Explorer broker process directory
traversal attempt (file-executable.rules)
·
1:34478 <-> ENABLED <->
FILE-FLASH Adobe Flash Player object type confusion attempt (file-flash.rules)
·
1:34480 <-> ENABLED <->
FILE-EXECUTABLE Adobe Flash Player Internet Explorer broker process directory
traversal attempt (file-executable.rules)
·
1:34481 <-> ENABLED <->
OS-OTHER QEMU floppy disk controller buffer overflow attempt (os-other.rules)
·
1:34482 <-> ENABLED <->
OS-OTHER QEMU floppy disk controller buffer overflow attempt (os-other.rules)
·
1:34467 <-> ENABLED <->
FILE-EXECUTABLE Adobe Reader AcroBroker registry value out of bounds attempt
(file-executable.rules)
·
1:34488 <-> ENABLED <->
OS-OTHER QEMU floppy disk controller buffer overflow attempt (os-other.rules)
·
1:34486 <-> ENABLED <->
OS-OTHER QEMU floppy disk controller buffer overflow attempt (os-other.rules)
·
1:34487 <-> ENABLED <->
OS-OTHER QEMU floppy disk controller buffer overflow attempt (os-other.rules)
·
1:34485 <-> ENABLED <->
OS-OTHER QEMU floppy disk controller buffer overflow attempt (os-other.rules)
·
1:34484 <-> ENABLED <->
OS-OTHER QEMU floppy disk controller buffer overflow attempt (os-other.rules)
·
1:34483 <-> ENABLED <->
OS-OTHER QEMU floppy disk controller buffer overflow attempt (os-other.rules)
·
Dan beberapa perubahan rule, yaitu :
·
1:5896 <-> DISABLED <->
MALWARE-TOOLS Hacker-Tool timbuktu pro runtime detection - tcp port 407
(malware-tools.rules)
·
1:27814 <-> DISABLED <->
EXPLOIT-KIT Styx exploit kit landing page request (exploit-kit.rules)
·
1:33539 <-> ENABLED <->
FILE-FLASH Adobe Flash Player object type confusion attempt (file-flash.rules)
·
1:5894 <-> DISABLED <->
MALWARE-TOOLS Hacker-Tool timbuktu pro runtime detection - smb (malware-tools.rules)
·
1:33540 <-> ENABLED <->
FILE-FLASH Adobe Flash Player object type confusion attempt (file-flash.rules)
·
1:5897 <-> DISABLED <->
MALWARE-TOOLS Hacker-Tool timbuktu pro runtime detection - udp port 407
(malware-tools.rules)
2.
Jelaskan
rule apa saja yang bisa dideteksi oleh SNORT!
·
Sniffer
mode,
untuk melihat paket yang lewat di jaringan.
·
Packet
logger mode, untuk mencatat semua paket yang lewat
di jaringan untuk di analisa di kemudian hari.
·
Intrusion Detection mode, pada mode ini snort akan berfungsi untuk
mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk
menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang
akan membedakan sebuah paket normal dengan paket yang membawa serangan.
3.
Untuk
mempermudah pembacaan data SNORT dimungkinkan dimasukan dalam database, carilah
artikel tentang konfigurasi snort menggunakan database.
Pertama-tama,
buat direktori sementara kita untuk mendownload dan kompilasi:
# mkdir /root/snorttemp
# cd /root/snorttemp
# mkdir /root/snorttemp
# cd /root/snorttemp
Kedua,
download file-file yang dibutuhkan:
Snort + Snort Rules
Download Snort versi terbaru (saat artikel ini ditulis versi 2.6.1.1)
Download Snort versi terbaru (saat artikel ini ditulis versi 2.6.1.1)
Kita
juga butuh rules untuk Snort!
Silakan pergi ke http://www.snort.org/pub-bin/downloads.cgi. Lalu perhatikan“Sourcefire VRT Certified Rules – The Official Snort Ruleset (unregistered user release)” (kalo Anda sudah register, silakan download yang “Sourcefire VRT Certified Rules – The Official Snort Ruleset (registered user release)”)
Saya sudah register, jadi harus login dulu kemudian baru bisa download…
Silakan pergi ke http://www.snort.org/pub-bin/downloads.cgi. Lalu perhatikan“Sourcefire VRT Certified Rules – The Official Snort Ruleset (unregistered user release)” (kalo Anda sudah register, silakan download yang “Sourcefire VRT Certified Rules – The Official Snort Ruleset (registered user release)”)
Saya sudah register, jadi harus login dulu kemudian baru bisa download…
Tutorial
Membangun SNORT
# wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_os/snortrules-snapshot-CURRENT.tar.gz
PCRE – Perl Compatible Regular Expressions.
Untuk program BASE, kita butuh PCRE silakan download dihttp://www.pcre.org/
(yang terbaru saat tulisan ini ditulis adalah versi 6.7)
Untuk program BASE, kita butuh PCRE silakan download dihttp://www.pcre.org/
(yang terbaru saat tulisan ini ditulis adalah versi 6.7)
Silakan
download LIBPCAP di http://www.tcpdump.org/
(yang terbaru saat tulisan ini ditulis adalah versi 0.95)
(yang terbaru saat tulisan ini ditulis adalah versi 0.95)
BASE (Basic Analysis and Security Engine)
Download BASE di http://secureideas.sourceforge.net/
(versi terbaru saat tulisan ini ditulis adalah versi 1.2.7)
Download BASE di http://secureideas.sourceforge.net/
(versi terbaru saat tulisan ini ditulis adalah versi 1.2.7)
ADOdb (ADOdb Database Abstraction Library for PHP (and Python)
Download
ADOdb di http://adodb.sourceforge.net/
(versi terbaru saat tulisan ini ditulis adalah adodb-493a-for-php)
(versi terbaru saat tulisan ini ditulis adalah adodb-493a-for-php)
Kalo
sudah di download semua, silakan di ekstrak semuanya:
# tar xzvf snort-2.6.1.1.tar.gz
# tar xzvf snortrules-snapshot-CURRENT.tar.gz
# tar xzvf pcre-6.7.tar.gz
# tar xzvf libpcap-0.9.5.tar.gz
# tar xzvf base-1.2.7.tar.gz
# tar xzvf adodb493a.tgz
# tar xzvf snortrules-snapshot-CURRENT.tar.gz
# tar xzvf pcre-6.7.tar.gz
# tar xzvf libpcap-0.9.5.tar.gz
# tar xzvf base-1.2.7.tar.gz
# tar xzvf adodb493a.tgz
Tutorial
Membangun SNORT
Kemudian
delete file arsipnya:
# rm -rf *gz
Seharusnya
isi dari pada direktori snorttemp adalah sebagai berikut:
sh=3.00#
ls
adodb base-1.2.7 doc libcap-0.9.5 pcre-6.7 rules snort-2.6.1.1 so_rules
sh=3.00#
adodb base-1.2.7 doc libcap-0.9.5 pcre-6.7 rules snort-2.6.1.1 so_rules
sh=3.00#
Sekarang
tinggal kompilasi, dimulai dari LIBPCAP…yuk
mari
LIBPCAP
# cd /root/snorttemp/libpcap-0.9.5
# ./configure
# make && make install
PCRE – Perl Compatible Regular Expressions.
# cd /root/snorttemp/libpcap-0.9.5
# ./configure
# make && make install
PCRE – Perl Compatible Regular Expressions.
# cd /root/snorttemp/pcre-6.7
# ./configure
# make && make install
SNORT
# ./configure
# make && make install
SNORT
# cd /root/snorttemp/snort-2.6.1.1
# ./configure –enable-dynamicplugin –with-mysql
# make && make install
# ./configure –enable-dynamicplugin –with-mysql
# make && make install
Untuk Snort, kita perlu
membuat direktori map untuk log dan rulesnya
# mkdir -p /etc/snort/rules
# mkdir /var/log/snort
# mkdir /var/log/snort
Selanjutnya,
bagian terpenting. Copy seluruh isi ekstrak snortrules ke direktori map snort:
# cp rules/* /etc/snort/rules/
# cp -rvf so_rules /etc/snort/
# cp -rvf doc /etc/snort/
Yang sangat penting lainnya:
# cp rules/* /etc/snort/rules/
# cp -rvf so_rules /etc/snort/
# cp -rvf doc /etc/snort/
Yang sangat penting lainnya:
# cd snort-2.6.1.1/etc
# cp * /etc/snort/
# cp * /etc/snort/
Tutorial
Membangun SNORT
Edit snort.conf sesuai dengan kebutuhan:
# nano /etc/snort.conf
Lakukan
perubahan pada baris-baris berikut:
ganti
“var HOME_NET any” jadi “var HOME_NET 192.168.10.0/24”
ganti “var EXTERNAL_NET any” jadi “var EXTERNAL_NET !$HOME_NET”
ganti “var RULE_PATH ../rules” jadi “var RULE_PATH /etc/snort/rules”
ganti “var EXTERNAL_NET any” jadi “var EXTERNAL_NET !$HOME_NET”
ganti “var RULE_PATH ../rules” jadi “var RULE_PATH /etc/snort/rules”
Berhubung
tadi kita sudah meng-kompile Snort dengan opsi –with-mysql dan memang integrasi dengan database
dibutuhkan untuk program BASE,
maka sekarang kita akan membuat database untuk Snort agar bisa berinteraksi lewatBASE.
Temukan baris:
# output database: log, mysql, user=root password=[your pass]
dbname=snort host=local$
dan
hilangkan tanda “#”
output database: log, mysql, user=root password=[your pass]
dbname=snort host=local$
Sesuaikan
juga username, password dan database yang akan digunakan. BASEakan melakukan
koneksi database menggunakan username, password dan database tersebut. Pastikan
Anda memasukkannya dengan benar. Silakan simpan konfigurasi Anda.
Setting Database untuk SNORT
Silakan
buat database untuk snort, terserah dengan apa, namun saya sarankan menggunakan phpmyadmin, karena
lebih mudah dan memiliki tampilan yang menyenangkan. Jangan lupa untuk
menyesuaikan dengan keadaan konfigurasi database yang sudah kita edit tadi di /etc/snort/snort.conf. Table layout ada di file create_mysql di direktori
/root/snorttemp/snort-2.6.1.1/schemas.
/root/snorttemp/snort-2.6.1.1/schemas.
Kalo
sudah jadi, silakan test konfigurasi Snort:
# snort -c /etc/snort/snort.conf
Apabila tidak ada error, berarti SUKSES !! Silakan batalkan test dengan menekan Ctrl+C.
Apabila tidak ada error, berarti SUKSES !! Silakan batalkan test dengan menekan Ctrl+C.
Memindahkan ADODB dan BASE
ADODB
Tutorial
Membangun SNORT
Kembali
ke tempat semula:
# cd /root/snorttemp/
Pindahkan direktori ADODB ke root direktori web server:
Pindahkan direktori ADODB ke root direktori web server:
# mv adodb /var/www/
BASE (Basic Analysis and Security Engine)
Pindakan direktori base-1.2.7 ke direktori web server yang dapat diakses:
Pindakan direktori base-1.2.7 ke direktori web server yang dapat diakses:
# mv base-1.2.7 /var/www/html/
lalu
kita pindah ke sana:
# cd /var/www/html/
Agar mudah diakses, ganti namanya menjadi base:
Agar mudah diakses, ganti namanya menjadi base:
# mv base-1.2.7 base
Ganti
permissionnya:
# chmod 757 base
Tutorial
Membangun SNORT
Klik Continue
Step 1of 5
Masukkan path ADODB (/var/www/adodb):
Step 1of 5
Masukkan path ADODB (/var/www/adodb):
Tutorial
Membangun SNORT
Klik Submit Query
Step 2 of 5
Masukkan informasi yang ada, dan biarkan pilihan “Use Archive Database”apa adanya:
Masukkan informasi yang ada, dan biarkan pilihan “Use Archive Database”apa adanya:
Tutorial
Membangun SNORT
Klik Submit Query
Step 3 of 5
Jika mau, bisa menggunakan pilihan “Use Authentication System” agar lebih aman:
Step 3 of 5
Jika mau, bisa menggunakan pilihan “Use Authentication System” agar lebih aman:
Tutorial
Membangun SNORT
Klik Submit Query
Step 4 of 5
Klik Create BASE AG untuk membuat database:
Step 4 of 5
Klik Create BASE AG untuk membuat database:
Tutorial
Membangun SNORT
Kalo
sudah, lanjutkan ke step
5…
Tutorial
Membangun SNORT
Untuk
melihat tampilan grafis dari traffic BASE,
Anda bisa mendownloadImage_Color, Image_Canvas dan Image_Graph
# pear install Image_Color
# pear install Image_Canvas-alpha
# pear install Image_Graph-alpha
# pear install Image_Color
# pear install Image_Canvas-alpha
# pear install Image_Graph-alpha
Ganti
permission direktori base dari 757 ke 775
# chmod 775 base
Delete
juga direktori temporary /root/snorttemp:
# rm -rf /root/snorttemp
Menjalankan SNORT
Untuk menjalankan Snort, silakan jalankan perintah berikut:
Untuk menjalankan Snort, silakan jalankan perintah berikut:
# /usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g root -D
Sumber: https://jirolu.wordpress.com/2007/02/14/tutorial-membangun-snort-intergrasi-terhadap-mysql-dan-base/
4.
Jelaskan
juga aplikasi yang bisa dipakai untuk membuka database SNORT!
·
ACID - Aplikasi web based yang dapat
digunakan untuk menganalisa, menampilkan, meng-query, mengorganisir, dan
me-manage data dalam database snort
·
DEMARC: Aplikasi web yang digunakan
untuk memantau database MySQL milik snort
·
SnortReport: Aplikasi untuk membuat
laporan intrusion detection secara real time ke dalam fomat yang mudah dibaca
berdasarkan database MySQL snort
Komentar
Posting Komentar