LAPORAN RESMI PRAKTIKUM KEAMANAN DATAPRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS 2 ini di perlukan...
Transcript of LAPORAN RESMI PRAKTIKUM KEAMANAN DATAPRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS 2 ini di perlukan...
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
1
LAPORAN RESMI
PRAKTIKUM KEAMANAN DATA
Nama Anggota Kelompok :
1. Mursidayanti Aprilia R. 2110121037
2. Nanda Pratyaksa 2110121038
3. Adam Shidqul Aziz 2110121039
Kelas : 3 D4 IT B
LAPORAN RESMI
INTRUSION DETECTION SYSTEM
SNORT
A. TUJUAN PEMBELAJARAN:
1. Mengenalkan pada mahasiswa tentang konsep Intrusion Detection System
2. Mahasiswa mampu melakukan installasi dan konfigurasi SNORT sebagai tools IDS
3. Mahasiswa mampu membangun rule baru untuk mendeteksi eksploit terbaru
B. DASAR TEORI
Deteksi Penyusupan (Intrusion Detection)
Deteksi penyusupan adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan
menggunakan program khusus yang otomatis. Program yang dipergunakan biasanya
disebut sebagai Intrusion Detection System (IDS).
Tipe dasar dari IDS adalah:
- Rule-based systems - berdasarkan atas database dari tanda penyusupan atau serangan
yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada,
maka langsung dikategorikan sebagai penyusupan.
- Adaptive systems - mempergunakan metode yang lebih canggih. Tidak hanya
berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi
terhadap bentuk bentuk penyusupan yang baru.
Snort
Mengoperasikan Snort
Tiga (3) buah mode, yaitu
1. Sniffer mode, untuk melihat paket yang lewat di jaringan.
2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di
analisa di kemudian hari.
3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi
serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
2
ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket
normal dengan paket yang membawa serangan.
C. PERCOBAAN
1. Bangunlah jaringan sebagai berikut :
Gambar Topologi Percobaan Snort
2. Konfigurasi sesuai dengan topologi yang diminta :
Sebelum memasang snort maka kita harus melihat ip address dari server yang akan
dipasangi snort terlebih dahulu. Untuk melihat ip address dari computer server adalah
dengan perintah ifconfig seehingga akan menampilkan ip address dari computer
server yaitu 10.252.108.40.
3. Lakukan installasi snort pada PC Server
# apt-get install snort
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
3
Setelah melihat ip address dari computer server, maka selanjutnya adalah instalasi
snort pada computer server dengan perintah apt-get install snort.
Masukkan range network yang akan dianalisa :
Address range for the local network :
192.168.0.0/16
Selanjutnya, setelah melakukan installasi snort maka konfigurasi snort dengan
memasukkan range network yang akan dianalisa dimana pada percobaan ini address
range untuk local network adalah 192.168.0.0/16.
4. Manjalankan snort
a. Bekerjalah dengan kelompok anda, salah satu menjalankan snort (PC Server) dan
yang lain menjalankan aplikasi yang lain (PC Client).
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
4
Pada praktikum kali PC Server menggunakan komputer server yang telah
disediakan. Untuk melakukan konfigurasi terhadap PC Server dapat dilakukan
dengan menggunakan telnet / ssh.
b. Jalankan perintah ping dan nmap dari PC Client ke PC Server.
Pada saat menjalakan snort , langkah pertama adalah melakukan pengecekan ke
computer server apakah sudah terhubung dengan client atau belum dengan
menggunakan perintah ping. Perintah #nmap digunakan untuk melihat port yang
sedang aktif.
c. Jalankan snort dengan menggunakan mode sniffer
#snort –v
#snort –vd
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
5
#snort –vde
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
6
#snort –v –d –e
Ket : Running in packet dump mode
Jelaskan perbedaan hasil dari option di atas.
Analisa
Setiap perintah #snort [option] akan menampilkan informasi – informasi secara
detail mulai dari sequence, acknowledge yang digunakan. Semua port akan
diperiksa oleh snort dan akan dihitung jumlah message yang bertransmisi selama
proses snort terjadi.
d. Untuk mempermudah pembacaan masukkan hasil snort ke dalam file, jalankan
perintah berikut :
#snort –dev –i eth0 –L /var/log/snort/snort.log
Ket : Running in packet logging mode
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
7
Perintah diatas digunakan untuk mempermudah pembacaan masukkan hasil
snort ke dalam file. Seluruh hasil dari proses snort akan dimasukkan bahasa
yang telah dienkripsi sehingga untuk membacanya perlu perintah tertentu.
Akan menghasilkan sebuah file di folder /var/log/snort, lihat dengan perintah :
# ls /var/log/snort
Output diatas merupakan file hasil pembacaan masukan hasil snort yang disimpan
dalam direktori /var/log/snort.
e. Untuk membaca file snort (misal : snort.log.1234) berikan option –r pada snort
# snort -dev -r /var/log/snort/snort.log.1234
Output diatas adalah hasil dari file snort yang telah dibaca dengan menggunakan
perintah -r. perintah tersebut untuk menampilkan sekaligus melakukan decript
terhadap hasil yang di-encript sebelumnya.
5. Menjalankan snort dengan mode NIDS (Network Intrusion Detection System)
a. Opsi e, dihilangkan karena kita tidak perlu mengetahui link layer MAC. Opsi v
dihilangkan juga, jalakan menggunakan option sbb :
#snort -d -h 192.168.1.0/24 -l /var/log/snort -c
/etc/snort/snort.conf
Ket : Running in IDS mode
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
8
b. Bekerjasamalah dengan rekan anda. Sekarang coba jalankan scanning dari
komputer lain (PC Client) dengan nmap menuju komputer yang anda pasangi
snort (PC Server). Terlebih dulu jalankan snort dengan mode NIDS, kemudian
lakukan scanning dengan perintah :
# snort -d -h 192.168.1.0/24 host <no_ip_snort> -l
/var/log/snort –c /etc/snort/snort.conf
#nmap -sS -v <no_ip_snort>
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
9
Melakukan scanning dari dari computer client ke computer server yang sudah
dipasangi snort. Tetapi sebelum melakukan scanning, jalankan snort terlebih
dahulu pada computer server dengan mode NIDS.
c. Lihatlah apakah scan anda terekam oleh snort. Jika iya, copy paste hasil snort
pada bagian scanning SYN. Untuk melihat, gunakan perintah :
# snort –dev –r <nama-log-file> | more
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
10
Pada output diatas untuk melihat apakah scanning dari computer client terekam
oleh snort atau tidak .
Apakah scanning ini ditandai sebagai alert ? Coba lihat di /var/log/snort,
gunakan perintah :
# vim /var/log/snort/alert
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
11
d. Jalankan snort. Buka halaman web. Apakah ini terdeteksi sebagai alert?
Akses tidak terdeteksi sebagai alert oleh system snort.
e. Sekarang coba ubah rule snort. Buat rule baru yaitu alltcp.rules dan simpan di
/etc/snort/rules
# vim /etc/snort/rules/alltcp.rules
alert tcp any any -> any any
(content:”www.facebook.com”;
msg:”Someone is visiting
Facebook”;sid:1000001;rev:1;) alert tcp
any any -> any any (msg:"TCP
Traffic";sid:1000002;rev:0;)
Apa artinya ?
Ket : any any (host port), sid harus lebih dari 1 juta, rev mulai dari 0.
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
12
Membuat rule baru yang akan digunakan untuk percobaan selanjutnya apakah
bisa atau tidak dan melihat perbedaan dari rule lama dan rule baru yang telah
dibuat. Pastikan space serta enter terletak pada bagian yang tepat.
f. Coba lihat snort.conf. Beri tanda # pada semua rule lain dan tambahkan rule anda
yaitu : alltcp.rules.
# vim /etc/snort/snort.conf include $RULE_PATH/alltcp.rules
Menambahkan rule baru yang telah dibuat dan menonaktifkan rule-rule lama
agar dapat melihat apakah fungsi dari rule baru yang dibuat sudah benar atau
tidak.
g. Lakukan restart aplikasi snort anda :
# /etc/init.d/snort restart
Setelah membahkan rule baru dan menonaktifkan semua rule lama , maka restart
snort agar dapat mencoba menggunakan dengan rule yang baru.
h. Bukalah halaman web untuk mengakses “www.facebook.com”, lihatlah apakah
ada tanda sebagai alert atau tidak
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
13
i. Coba lakukan scanning seperti perintah b. Lihatlah apakah ada tanda sebagai alert
atau tidak
Untuk mengetahui beberapa baris terakhir dari informasi alert :
# tail –f /var/log/snort/alert
Terdapat dua role yang didefinisikan kedalam system. Namun ketika kedua
proses dijalankan hanya satu proses yang dianggap alert yaitu proses TCP Traffic.
Akses terhadap http://www.facebook.com tidak terdeteksi sebagai alert.
Kemungkinan karena port yang di-scan tidak termonitor oleh snort. Karena akses
facebook dilakukan pada PC Client.
j. Apa yang dapat anda simpulkan dari langkah diatas ?
Rule dapat didefinisikan sendiri oleh user sesuai dengan kebutuhan. Didalam
pengaturan rule snort banyak informasi yang dapat diatur mulai dari port, dan http
yang akan diakses.
Soal
1. Berikan kesimpulan hasil praktikum yang anda lakukan.
Jawab :
Snort merupakan aplikasi system yang digunakan untuk melakukan deteksi terhadap
gangguan yang mungkin dan akan terjadi. Gangguan tersebut datang dari sniffer. Banyak
rule / aturan yang diterapkan oleh snort. Selain itu user dapat mendefinisikan sendiri rule
yang akan diterapkan pada snort yang digunakan. Setiap gangguan yang dapat akan
dideteksi oleh alert. Dan pada alert tersebut akan terdapat message alert sesuai dengan yang
telah didefinisikan.
2. Download rule terbaru di snort dan bandingkan dengan rule yang lama, apa saja
perubahan yang ada !
PRAKTIKUM KEAMANAN DATA – KELOMPOK 3 - PENS
14
Jawab : Penerapan rule yang baru terlihat pada penambahan rules yang diterapkan. Namun
untuk mendeteksi gangguan tergantung pada rule yang diterapkan.
3. Jelaskan rule apa saja yang bisa didekteksi oleh snort !
Jawab : rule yang diterapkan oleh snort secara default : chat, ddos, dns, dos, ftp, icmp,
mysql, netbios, oracle, dll.
4. Untuk mempermudah pembacaan data snort dimungkinkan dimasukkan dalam
database, carilah artikel tentang konfigurasi snort menggunakan database ?
Jawab :
Install database
#apt-get install mysql-server
#apt-get install php5 php5-mysql php5-gd php-pear
#apt-get install snort-mysql
Create database
Mysql –u root –p
>create database snort;
>grant all on snort * to snortuser@localhost identified by
‘snortpwd’;
>flush privillages
5. Jelaskan juga aplikasi yang bisa dipakai untuk membaca database snort!
Jawab : Tripwire
6. Apa yang dimaksud promiscuous mode ?
Jawab : promiscuous mode merupakan mode untuk NIC berkabel atau wireless NIC yang
menyebabkan controller melewatkan semua traffic yang diterima oleh CPU. Promiscuous
mode sering digunakan untuk mendiagnosa konektivitas network. Terdapat program
menggunakan fitur ini untuk menampilkan semua data yang sedang dikirimkan melewati
jaringan. beberapa protocol seperti FTP dan Telnet mengirimkan data dan password pada
clear text, tanpa enkripsim dan scanner jaringan dapat melihat data ini. Promiscuous mode
dapat digunakan untuk memantu jaringan. pada promiscuous mode, mungkin mengirimkan
response kepada frame bahkan mespikun mereka dialamatkan pada mesin yang lain.