LAPORAN PENDAHULUAN
KEAMANAN JARINGAN “INTRUSION DETECTION SYSTEM [SNORT]”
Muhammad Munawir
/ 2103142001 / 3D3ITA
1. Sebutkan
dan jelaskan dengan singkat apa yang disebut dengan konsep IDS?
Intrusion Detection
System (disingkat IDS) adalah sebuah metode
yang dapat digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah
sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound
dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan
intrusi (penyusupan).
v Jenis-Jenis IDS:
Ada dua jenis IDS, yakni:
· Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang
mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan
serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam
segmen jaringan penting di mana server berada atau terdapat pada "pintu
masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit
diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet
sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor
port atau koneksi.
· Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host
jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau
penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server
kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke
Internet.
2. Sebutkan
fasilitas kemampuan yang dimiliki snort!
Snort ini mempunyai kemampuan untuk
mengexport log ke bentuk database, ada beberapa database yang dapat digunakan,
kayak MySQL, PostgreSQL, oracle, MSSQL dan odbc.
· Snort yang berbasis jaringan intrusion detection system (NIDS) memiliki
kemampuan untuk melakukan real-time analisis lalu lintas dan paket logging pada
Internet Protocol (IP) jaringan. Snort melakukan analisis protokol, pencarian
isi, dan pencocokan konten. Program ini juga dapat digunakan untuk mendeteksi
probe atau serangan, termasuk, namun tidak terbatas pada, upaya sistem operasi
sidik jari, antarmuka gateway umum, buffer overflows, probe server pesan blok,
dan port scan siluman.
· Snort log adalah kemampuan untuk memotong dan menyisipkan berbagai
mendeteksi ke dalam pesan e-mail yang akan dikirim ke analis lain, CIRT Anda,
atau pihak yang bersalah.
Snort memiliki karakteristik, sebagai berikut:
· Berukuran kecil – Source code dan rules untuk rilis 2.1.1 hanya 2256k.
· Portable untuk banyak OS – Telah diporting ke Linux, Windows, OSX,
Solaris, BSD,dll.
· Cepat – Snort mampu mendeteksi serangan pada network 100Mbps.
· Mudah dikonfigurasi – Snort sangat mudah dikonfigurasi sesuai dengan
kebutuhan network kita. Bahkan kita juga dapat membuat rule sendiri untuk
mendeteksi adanya serangan baru.
· Free – Kita tidak perlu membayar sepeser pun untuk menggunakan snort.
Snort bersifat open source dan menggunakan lisensi GPL.
3. Jelaskan
cara installasi dan konfigurasi snort!
-
Untuk
menginstall snort gunakan perintah:
#apt-get install snort
-
Setelah
instalasi selesai, lakukan konfigurasi pada file snort.conf. Ketikkan perintah
berikut #nano /etc/snort/snort.conf
-
Tekan
CTRL-W cari kata kunci HOME_NET any. Setelah ketemu baris HOME_any, edit menjadi
seperti ini :
var HOME_NET 172.16.100.0/24
|
-
Kemudian
edit juga baris :
#Set up the external network
address as well. A good start may be “any”
var EXTERNAL_NET any
#var EXTERNAL_NET !$HOME_NET
|
Menjadi
seperti ini :
#Set up the external network address
as well. A good start may be “any”
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET
|
-
Restart
Service
4. Jelaskan
cara membuat rule baru di snort!
Untuk
membuat rule baru, edit file alltcp.rules yang tersimpan pada direktori /etc/snort/rules dengan menggunakan perintah:
#gedit
/etc/snort/rules/alltcp.rules
Contoh:
# gedit
/etc/snort/rules/alltcp.rules
alert tcp any any -> any any
(content:”www.facebook.com”;msg:”Someone is visiting
Facebook”;sid:1000001;rev:1;)
alert tcp any any -> any any
(msg:”TCP Traffic”;sid:1000002;rev:0;)
|
Keterangan:
any any (host port), sid harus lebih dari 1 juta, rev mulai dari 0.
lihat
snort.conf. Beri tanda # pada semua rule lain dan tambahkan rule anda yaitu :
alltcp.rules.
# gedit /etc/snort/snort.conf
include $RULE_PATH/alltcp.rules
|
Lakukan
restart aplikasi snort anda :
#/etc/init.d/snort restart