LAPORAN RESMI PRAKTIKUM KEAMANAN DATAPRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS 2 ini di perlukan...

PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS

1

LAPORAN RESMI

PRAKTIKUM KEAMANAN DATA

Nama Anggota Kelompok :

1. Mursidayanti Aprilia R. 2110121037

2. Nanda Pratyaksa 2110121038

3. Adam Shidqul Aziz 2110121039

Kelas : 3 D4 IT B

LAPORAN RESMI

INTRUSION DETECTION SYSTEM

SNORT

A. TUJUAN PEMBELAJARAN:

1. Mengenalkan pada mahasiswa tentang konsep Intrusion Detection System

2. Mahasiswa mampu melakukan installasi dan konfigurasi SNORT sebagai tools IDS

3. Mahasiswa mampu membangun rule baru untuk mendeteksi eksploit terbaru

B. DASAR TEORI

Deteksi Penyusupan (Intrusion Detection)

Deteksi penyusupan adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan

menggunakan program khusus yang otomatis. Program yang dipergunakan biasanya

disebut sebagai Intrusion Detection System (IDS).

Tipe dasar dari IDS adalah:

- Rule-based systems - berdasarkan atas database dari tanda penyusupan atau serangan

yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada,

maka langsung dikategorikan sebagai penyusupan.

- Adaptive systems - mempergunakan metode yang lebih canggih. Tidak hanya

berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi

terhadap bentuk bentuk penyusupan yang baru.

Snort

Mengoperasikan Snort

Tiga (3) buah mode, yaitu

1. Sniffer mode, untuk melihat paket yang lewat di jaringan.

2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di

analisa di kemudian hari.

3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi

serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS


2

ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket

normal dengan paket yang membawa serangan.

C. PERCOBAAN

1. Bangunlah jaringan sebagai berikut :

Gambar Topologi Percobaan Snort

2. Konfigurasi sesuai dengan topologi yang diminta :

Sebelum memasang snort maka kita harus melihat ip address dari server yang akan

dipasangi snort terlebih dahulu. Untuk melihat ip address dari computer server adalah

dengan perintah ifconfig seehingga akan menampilkan ip address dari computer

server yaitu 10.252.108.40.

3. Lakukan installasi snort pada PC Server

# apt-get install snort


3

Setelah melihat ip address dari computer server, maka selanjutnya adalah instalasi

snort pada computer server dengan perintah apt-get install snort.

Masukkan range network yang akan dianalisa :

Address range for the local network :

192.168.0.0/16

Selanjutnya, setelah melakukan installasi snort maka konfigurasi snort dengan

memasukkan range network yang akan dianalisa dimana pada percobaan ini address

range untuk local network adalah 192.168.0.0/16.

4. Manjalankan snort

a. Bekerjalah dengan kelompok anda, salah satu menjalankan snort (PC Server) dan

yang lain menjalankan aplikasi yang lain (PC Client).


4

Pada praktikum kali PC Server menggunakan komputer server yang telah

disediakan. Untuk melakukan konfigurasi terhadap PC Server dapat dilakukan

dengan menggunakan telnet / ssh.

b. Jalankan perintah ping dan nmap dari PC Client ke PC Server.

Pada saat menjalakan snort , langkah pertama adalah melakukan pengecekan ke

computer server apakah sudah terhubung dengan client atau belum dengan

menggunakan perintah ping. Perintah #nmap digunakan untuk melihat port yang

sedang aktif.

c. Jalankan snort dengan menggunakan mode sniffer

#snort –v

#snort –vd


5

#snort –vde


6

#snort –v –d –e

Ket : Running in packet dump mode

Jelaskan perbedaan hasil dari option di atas.

Analisa

Setiap perintah #snort [option] akan menampilkan informasi – informasi secara

detail mulai dari sequence, acknowledge yang digunakan. Semua port akan

diperiksa oleh snort dan akan dihitung jumlah message yang bertransmisi selama

proses snort terjadi.

d. Untuk mempermudah pembacaan masukkan hasil snort ke dalam file, jalankan

perintah berikut :

#snort –dev –i eth0 –L /var/log/snort/snort.log

Ket : Running in packet logging mode


7

Perintah diatas digunakan untuk mempermudah pembacaan masukkan hasil

snort ke dalam file. Seluruh hasil dari proses snort akan dimasukkan bahasa

yang telah dienkripsi sehingga untuk membacanya perlu perintah tertentu.

Akan menghasilkan sebuah file di folder /var/log/snort, lihat dengan perintah :

# ls /var/log/snort

Output diatas merupakan file hasil pembacaan masukan hasil snort yang disimpan

dalam direktori /var/log/snort.

e. Untuk membaca file snort (misal : snort.log.1234) berikan option –r pada snort

# snort -dev -r /var/log/snort/snort.log.1234

Output diatas adalah hasil dari file snort yang telah dibaca dengan menggunakan

perintah -r. perintah tersebut untuk menampilkan sekaligus melakukan decript

terhadap hasil yang di-encript sebelumnya.

5. Menjalankan snort dengan mode NIDS (Network Intrusion Detection System)

a. Opsi e, dihilangkan karena kita tidak perlu mengetahui link layer MAC. Opsi v

dihilangkan juga, jalakan menggunakan option sbb :

#snort -d -h 192.168.1.0/24 -l /var/log/snort -c

/etc/snort/snort.conf

Ket : Running in IDS mode


8

b. Bekerjasamalah dengan rekan anda. Sekarang coba jalankan scanning dari

komputer lain (PC Client) dengan nmap menuju komputer yang anda pasangi

snort (PC Server). Terlebih dulu jalankan snort dengan mode NIDS, kemudian

lakukan scanning dengan perintah :

# snort -d -h 192.168.1.0/24 host <no_ip_snort> -l

/var/log/snort –c /etc/snort/snort.conf

#nmap -sS -v <no_ip_snort>


9

Melakukan scanning dari dari computer client ke computer server yang sudah

dipasangi snort. Tetapi sebelum melakukan scanning, jalankan snort terlebih

dahulu pada computer server dengan mode NIDS.

c. Lihatlah apakah scan anda terekam oleh snort. Jika iya, copy paste hasil snort

pada bagian scanning SYN. Untuk melihat, gunakan perintah :

# snort –dev –r <nama-log-file> | more


10

Pada output diatas untuk melihat apakah scanning dari computer client terekam

oleh snort atau tidak .

Apakah scanning ini ditandai sebagai alert ? Coba lihat di /var/log/snort,

gunakan perintah :

# vim /var/log/snort/alert


11

d. Jalankan snort. Buka halaman web. Apakah ini terdeteksi sebagai alert?

Akses tidak terdeteksi sebagai alert oleh system snort.

e. Sekarang coba ubah rule snort. Buat rule baru yaitu alltcp.rules dan simpan di

/etc/snort/rules

# vim /etc/snort/rules/alltcp.rules

alert tcp any any -> any any

(content:”www.facebook.com”;

msg:”Someone is visiting

Facebook”;sid:1000001;rev:1;) alert tcp

any any -> any any (msg:"TCP

Traffic";sid:1000002;rev:0;)

Apa artinya ?

Ket : any any (host port), sid harus lebih dari 1 juta, rev mulai dari 0.


12

Membuat rule baru yang akan digunakan untuk percobaan selanjutnya apakah

bisa atau tidak dan melihat perbedaan dari rule lama dan rule baru yang telah

dibuat. Pastikan space serta enter terletak pada bagian yang tepat.

f. Coba lihat snort.conf. Beri tanda # pada semua rule lain dan tambahkan rule anda

yaitu : alltcp.rules.

# vim /etc/snort/snort.conf include $RULE_PATH/alltcp.rules

Menambahkan rule baru yang telah dibuat dan menonaktifkan rule-rule lama

agar dapat melihat apakah fungsi dari rule baru yang dibuat sudah benar atau

tidak.

g. Lakukan restart aplikasi snort anda :

# /etc/init.d/snort restart

Setelah membahkan rule baru dan menonaktifkan semua rule lama , maka restart

snort agar dapat mencoba menggunakan dengan rule yang baru.

h. Bukalah halaman web untuk mengakses “www.facebook.com”, lihatlah apakah

ada tanda sebagai alert atau tidak


13

i. Coba lakukan scanning seperti perintah b. Lihatlah apakah ada tanda sebagai alert

atau tidak

Untuk mengetahui beberapa baris terakhir dari informasi alert :

# tail –f /var/log/snort/alert

Terdapat dua role yang didefinisikan kedalam system. Namun ketika kedua

proses dijalankan hanya satu proses yang dianggap alert yaitu proses TCP Traffic.

Akses terhadap http://www.facebook.com tidak terdeteksi sebagai alert.

Kemungkinan karena port yang di-scan tidak termonitor oleh snort. Karena akses

facebook dilakukan pada PC Client.

j. Apa yang dapat anda simpulkan dari langkah diatas ?

Rule dapat didefinisikan sendiri oleh user sesuai dengan kebutuhan. Didalam

pengaturan rule snort banyak informasi yang dapat diatur mulai dari port, dan http

yang akan diakses.

Soal

1. Berikan kesimpulan hasil praktikum yang anda lakukan.

Jawab :

Snort merupakan aplikasi system yang digunakan untuk melakukan deteksi terhadap

gangguan yang mungkin dan akan terjadi. Gangguan tersebut datang dari sniffer. Banyak

rule / aturan yang diterapkan oleh snort. Selain itu user dapat mendefinisikan sendiri rule

yang akan diterapkan pada snort yang digunakan. Setiap gangguan yang dapat akan

dideteksi oleh alert. Dan pada alert tersebut akan terdapat message alert sesuai dengan yang

telah didefinisikan.

2. Download rule terbaru di snort dan bandingkan dengan rule yang lama, apa saja

perubahan yang ada !

http://www.facebook.com/


14

Jawab : Penerapan rule yang baru terlihat pada penambahan rules yang diterapkan. Namun

untuk mendeteksi gangguan tergantung pada rule yang diterapkan.

3. Jelaskan rule apa saja yang bisa didekteksi oleh snort !

Jawab : rule yang diterapkan oleh snort secara default : chat, ddos, dns, dos, ftp, icmp,

mysql, netbios, oracle, dll.

4. Untuk mempermudah pembacaan data snort dimungkinkan dimasukkan dalam

database, carilah artikel tentang konfigurasi snort menggunakan database ?

Jawab :

Install database

#apt-get install mysql-server

#apt-get install php5 php5-mysql php5-gd php-pear

#apt-get install snort-mysql

Create database

Mysql –u root –p

>create database snort;

>grant all on snort * to snortuser@localhost identified by

‘snortpwd’;

>flush privillages

5. Jelaskan juga aplikasi yang bisa dipakai untuk membaca database snort!

Jawab : Tripwire

6. Apa yang dimaksud promiscuous mode ?

Jawab : promiscuous mode merupakan mode untuk NIC berkabel atau wireless NIC yang

menyebabkan controller melewatkan semua traffic yang diterima oleh CPU. Promiscuous

mode sering digunakan untuk mendiagnosa konektivitas network. Terdapat program

menggunakan fitur ini untuk menampilkan semua data yang sedang dikirimkan melewati

jaringan. beberapa protocol seperti FTP dan Telnet mengirimkan data dan password pada

clear text, tanpa enkripsim dan scanner jaringan dapat melihat data ini. Promiscuous mode

dapat digunakan untuk memantu jaringan. pada promiscuous mode, mungkin mengirimkan

response kepada frame bahkan mespikun mereka dialamatkan pada mesin yang lain.

LAPORAN RESMI PRAKTIKUM KEAMANAN DATAPRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS 2 ini di perlukan...

Documents

Transcript of LAPORAN RESMI PRAKTIKUM KEAMANAN DATAPRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS 2 ini di perlukan...