Minggu, 16 Oktober 2016

LAPORAN PENDAHULUAN “INTRUSION DETECTION SYSTEM [SNORT]”

Posted by Unknown on 20.02 with No comments


LAPORAN PENDAHULUAN
KEAMANAN JARINGAN “INTRUSION DETECTION SYSTEM [SNORT]”
Muhammad Munawir / 2103142001 / 3D3ITA

1.      Sebutkan dan jelaskan dengan singkat apa yang disebut dengan konsep IDS?
Intrusion Detection System (disingkat IDS) adalah sebuah metode yang dapat digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).
v Jenis-Jenis IDS:
Ada dua jenis IDS, yakni:
·      Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
·      Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
2.      Sebutkan fasilitas kemampuan yang dimiliki snort!
Snort ini mempunyai kemampuan untuk mengexport log ke bentuk database, ada beberapa database yang dapat digunakan, kayak MySQL, PostgreSQL, oracle, MSSQL dan odbc.
·      Snort yang berbasis jaringan intrusion detection system (NIDS) memiliki kemampuan untuk melakukan real-time analisis lalu lintas dan paket logging pada Internet Protocol (IP) jaringan. Snort melakukan analisis protokol, pencarian isi, dan pencocokan konten. Program ini juga dapat digunakan untuk mendeteksi probe atau serangan, termasuk, namun tidak terbatas pada, upaya sistem operasi sidik jari, antarmuka gateway umum, buffer overflows, probe server pesan blok, dan port scan siluman.
·      Snort log adalah kemampuan untuk memotong dan menyisipkan berbagai mendeteksi ke dalam pesan e-mail yang akan dikirim ke analis lain, CIRT Anda, atau pihak yang bersalah.
Snort memiliki karakteristik, sebagai berikut:
·      Berukuran kecil – Source code dan rules untuk rilis 2.1.1 hanya 2256k.
·      Portable untuk banyak OS – Telah diporting ke Linux, Windows, OSX, Solaris, BSD,dll.
·      Cepat – Snort mampu mendeteksi serangan pada network 100Mbps.
·      Mudah dikonfigurasi – Snort sangat mudah dikonfigurasi sesuai dengan kebutuhan network kita. Bahkan kita juga dapat membuat rule sendiri untuk mendeteksi adanya serangan baru.
·      Free – Kita tidak perlu membayar sepeser pun untuk menggunakan snort. Snort bersifat open source dan menggunakan lisensi GPL.
3.      Jelaskan cara installasi dan konfigurasi snort!
-          Untuk menginstall snort gunakan perintah:
#apt-get install snort
-          Setelah instalasi selesai, lakukan konfigurasi pada file snort.conf. Ketikkan perintah berikut #nano /etc/snort/snort.conf
-          Tekan CTRL-W cari kata kunci HOME_NET any. Setelah ketemu baris HOME_any, edit menjadi seperti ini :
var HOME_NET 172.16.100.0/24

-          Kemudian edit juga baris :
#Set up the external network address as well. A good start may be “any”
var EXTERNAL_NET any
#var EXTERNAL_NET !$HOME_NET

Menjadi seperti ini :
#Set up the external network address as well. A good start may be “any”
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET

-          Restart Service
#service snort restart

4.      Jelaskan cara membuat rule baru di snort!
Untuk membuat rule baru, edit file alltcp.rules yang tersimpan pada direktori /etc/snort/rules dengan menggunakan perintah:
#gedit /etc/snort/rules/alltcp.rules
Contoh:
# gedit /etc/snort/rules/alltcp.rules
alert tcp any any -> any any (content:”www.facebook.com”;msg:”Someone is visiting Facebook”;sid:1000001;rev:1;)
alert tcp any any -> any any (msg:”TCP Traffic”;sid:1000002;rev:0;)
Keterangan: any any (host port), sid harus lebih dari 1 juta, rev mulai dari 0.
lihat snort.conf. Beri tanda # pada semua rule lain dan tambahkan rule anda yaitu : alltcp.rules.
# gedit /etc/snort/snort.conf
include $RULE_PATH/alltcp.rules
Lakukan restart aplikasi snort anda :
#/etc/init.d/snort restart
Posted in , , , ,

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)