Bastion Host

TUGAS TEORI

Bastion Host

Bastion Host  merupakan komputer  khusus yang bertujuan pada jaringan khusus yang  dirancang dan dikonfigurasi untuk menahan serangan. Komputer umumnya adalah host dengan single application, misalnya server proxy, dan semua layanan lainnya yang dihapus atau dibatasi untuk mengurangi ancaman terhadap komputer. Hal ini dikarenakan lokasi dan tujuan, baik di luar firewall atau di DMZ dan biasanya melibatkan akses dari untrusted network atau komputer.

Istilah ini secara umum dikaitkan dengan Marcus J. Ranum dalam sebuah artikel yang membahas tentang firewall. Ia mendefinisikan bastion host sebagai sebuah sistem yang diidentifikasi oleh administrator firewall sebagai critical strong point dalam keamanan jaringan. Pada umumnya, bastion host akan memiliki beberapa tingkat extra attention paidr untuk keamanan mereka, mungkin menjalankan audit reguler, dan mungkin telah dimodifikasi software.

Ada dua konfigurasi jaringan yang umum yang termasuk bastion host dan penempatan mereka. Yang pertama membutuhkan dua firewall, dengan bastion host berada diantara "outside world" firewall pertama, dan sebuah firewall dalam, di zona demiliterisasi (DMZ). Seringkali jaringan yang lebih kecil tidak memiliki multiple firewall, jadi jika hanya ada satu firewall dalam jaringan, bastion host biasanya ditempatkan di luar firewall.

Bastion host yang terkait dengan multi-homed host dan screened host. Sementara dual-homed host seringkali mengandung firewall juga digunakan untuk host layanan lain juga. Sebuah host disaring adalah dual-homed host yang didedikasikan untuk menjalankan firewall. Bastion Server juga dapat diatur menggunakan ProxyCommand dengan OpenSSH.

Ada beberapa contoh dari bastion host system atau services :

·         DNS (Domain Name System) server

·         Email server

·         FTP (File Transfer Protocol) server

·         Honeypot

·         Proxy server

·         VPN (Virtual Private Network) server

·         Web server

FTP dan NAT

·         FTP (File Transfer Protocol)

Protokol TCP/IP memiliki beberapa aplikasi, terutama yang berhubungan dengan memodifikasi file. Ada 2 mekanisme untuk melakukan transfer file, mekanisme yang pertama melakukan pengiriman file dari komputer lain ke komputer lokal, dan mekanisme yang lain adalah menggunakan mekanisme file sistem, dimana ada suatu mekanisme yang memperbolehkan suatu pengguna untuk melakukan perubahan terhadap file yang berada di komputer yang lain. Contoh protokol yang menggunakan mekanisme pertama adalah FTP dan TFTP, sedangkan yang menggunakan mekanisme kedua adalah NFS.

FTP merupakan protokol standar dengan STD nomer 9. Dijelaskan pada RFC 959 – File Transfer Protocol (FTP) dan diupdate dengan RFC 2228 – FTP security extention. FTP melakukan duplikat file dari komputer yang satu dengan komputer yang lain dengan dapat dilakukan 2 arah. Client dapat mengirim file menuju ke server atau dapat meminta suatu file dari server. Untuk mengakses file di server, pengguna diharuskan untuk mengidentifikasikan dirinya terlebih dahulu. Dan server akan melakukan proses authentikasi untuk pengguna tersebut. FTP menggunakan koneksi berbasis connection-oriented, sehingga dari kedua sisi harus memiliki koneksi TCP/IP.

·         NAT (Network Address Translation)

NAT adaah sebuah fungsi router yang memetakan alamat IP private (Lokal) ke alamat IP yang dikenal di Internet, sehingga jaringan private bisa internetan. NAT merupakan salah satu metode yang memungkinkan host pada alamat private bisa berkomunkasi dengan jaringan di internet. NAT jalan pada router yang menghubungkan antara private networks dan public Internet, dan menggantikan IP address dan Port pada sebuah paket dengan IP address dan Port yang lain pada sisi yang lain.

Penggunaan utama NAT :

·         Pooling IP address

·         Men-support perpindahan ISP tanpa harus merubah konfigurasi pada jaringan lokal

·         IP masquerading

·         Load balancing servers

FTP melalui sebuah NAT router / firewall

SFTP (Secure FTP) menggunakan koneksi tunggal (biasanya pada port 22). Umumnya mengkonfigurasi firewall agar mengizinkan penggunaan port 22 untuk SSH (Secure Shell) dan firewall yang tidak bermasalah.

FTP menggunakan beberapa koneksi TCP/IP, yang satu untuk mengirimkan command dan yang lainya untuk mentransfer data.

Tiga panah yang ada menunjukkan koneksi TCP/IP yang terpisah, dengan command yang dikirim kepada main FTP connection.

Masalah timbul kettika router NAT diperkenalkan. Karena main connection keluar dari firewall NAT sehingga connection harus dibuat terlebih dahulu, tetapi ketika server mencoba untuk connect lagi di client, namun diblokir oleh firewall.

Teknik passive mode / PASV diperkenalkan untuk mengurangi masalah pada active mode. Dari skema di bawah ini connection selalu dibuat dari client ke server dan bukan sebaliknya.

Perbedaan antara jaringan yang menggunakan Teknik NAT dengan yang tidak menggunakan teknik NAT, adalah pada saat dilakukan proses monitoring pengaksesan IP number.  Apabila jaringan tersebut menggunakan NAT maka IP number yang tampak adalah IP number dari router saja. Sedangkan jaringan yang tidak menggunakan teknik NAT, IP number yang tampak adalah IP number dari masing-masing PC client.

MIKROTIK

LAPORAN RESMI

PRAKTIKUM KEAMANAN DATA – MIKROTIK

De-Militarised Zone(DMZ) merupakan mekanisme untuk melindungi sistem internal dari serangan hacker atau pihak-pihak lain yang ingin memasuki sistem tanpa mempunyai hak akses. Cara kerjanya adalah dengan membuat zona DMZ ZONE yang terpisah dari jaringan lokal untuk digunakan sebagai tempat server / resource yang akan diakses untuk publik. Sehingga jaringan LAN kita tetap aman. Client pada jaringan internet mengira bahwa IP yang diaksesnya adalah IP server, padahal itu IP router yang nantinya akan alihkan oleh router ke server yang sebenarnya. Dan tidak ada yang bisa mengakses jaringan LAN dari INTERNET karena router/firewall tidak akan mengijinkan koneksi apapun selain koneksi ke DMZ zone. Di kasus ini hanya koneksi ssh ke ssh server saja yang diperbolehkan. Tetapi akan berbeda - beda peraturan difirewall tergantung kepentingan, misalnya jikaclient LAN ingin mengakses server maka akan ada konfigurasi tambahan. DMZ dapat dibuat menggunakan MikroTik Router. DI bawah ini merupakan gambar DMZ.

Mikrotik adalah perusahaan kecil berkantor pusat di Latvia, bersebelahan dengan Rusia, pembentukannya diprakarsai oleh John Trully dan Arnis Riekstins. John Trully yang berkebangsaan Amerika Serikat berimigrasi ke Latvia dan berjumpa Arnis yang sarjana Fisika dan Mekanika di sekitar tahun 1995. Tahun 1996 John dan Arnis mulai me-routing dunia (visi Mikrotik adalah me-routing seluruh dunia). Mulai dengan sistem Linux dan MS DOS yang dikombinasikan dengan teknologi Wireless LAN (W-LAN) Aeronet berkecepatan 2Mbps di Moldova, tetangga Latvia, baru kemudian melayani lima pelanggannya di Latvia, karena ambisi mereka adalah membuat satu peranti lunak router yang handal dan disebarkan ke seluruh dunia. Ini agak kontradiksi dengan informasi yang ada di web Mikrotik, bahwa mereka mempunyai 600 titik (pelanggan) wireless dan terbesar di dunia.

                Prinsip dasar mereka bukan membuat Wireless ISP (WISP), tapi membuat program router yang handal dan dapat dijalankan di seluruh dunia. Latvia hanya merupakan “tempat eksperimen” John dan Arnis, karena saat ini mereka sudah membantu negara-negara lain termasuk Srilanka yang melayani sekitar empat ratusan pelanggannya.

MikroTik RouterOS™ adalah sistem operasi dan perangkat lunak yang dapat digunakan untuk menjadikan komputer menjadi router network yang handal, mencakup berbagai fitur yang dibuat untuk IP network dan jaringan wireless, cocok digunakan oleh ISP, provider hotspot, & warnet.

                Mikrotik Merupakan Router yang Handal dan mampu memberikan kelebihan pada sistem jaringan kita, dengan menggunakan mikrotik maka jaringan kita akan lebih stabil maka dari itu kita perlu menggunakan Mikrotik sebagai router. Belakangan ini banyak usaha warnet yang menggunakan mikrotik sebagai routernya, dan hasilnya mereka merasa puas dengan apa yang diberikan mikrotik. Terlebih kemajuan dunia wireless yang menyajikan berbagai macam pelayanan

mulai melirik benda yang satu ini. Berbagai fitur ditawarkan pada mikrotik diantaranya  :

·         Firewall dan NAT

·         Routing – Static routing

·         Data Rate Management

·         Hotspot

·         Point-to-Point tunneling protocols

·         Simple tunnels

·         IPsec

·         Web proxy

·         Caching DNS client

·         DHCP

·         Universal Client

·         VRRP

·         UPnP

·         NTP

·         Monitoring/Accounting

·         SNMP

·         M3P

·         MNDP

·         Tools

Kemampuan yang di tawarkan oleh mikrotik sebagai router yang handal hampir tidak bisa di percaya, dari mulai management bandwidth, data user, bahkan mikrotik mampu menggabungkan 2 line Speedy atau lebih kedalam satu router (load balance) yang pastinya akan mempercepat koneksi Internet kita, dan halaman web login yang mengagumkan.

Mikrotik bukanlah perangkat lunak yang gratis jika kita ingin memanfaatkannya secara penuh, dibutuhkan lisensi dari MikroTikls untuk dapat menggunakanya dan kita harus membayarnya. Mikrotik dikenal dengan istilah Level pada lisensinya. Tersedia mulai dari Level 0 kemudian 1, 3 hingga 6, untuk Level 1 adalah versi Demo Mikrotik dapat digunakan secara gratis dengan fungsi-fungsi yang sangat terbatas. Tentunya setiap level memilki kemampuan yang berbeda-beda sesuai dengan harganya, Level 6 adalah level tertinggi dengan fungsi yang paling lengkap. Secara singkat dapat digambarkan jelaskan sebagai berikut :

·         Level 0 (gratis) : tidak membutuhkan lisensi untuk menggunakannya dan penggunaan fitur hanya dibatasi selama 24 jam setelah instalasi dilakukan.

·         Level 1 (demo) : pada level ini kamu dapat menggunakannya sbg fungsi routing standar saja dengan 1 pengaturan serta tidak memiliki limitasi waktu untuk menggunakannya.

·         Level 3 : sudah mencakup level 1 ditambah dengan kemampuan untuk menajemen segala perangkat keras yang berbasiskan Kartu Jaringan atau Ethernet dan pengelolan perangkat wireless tipe klien.

·         Level 4 : sudah mencakup level 1 dan 3 ditambah dengan kemampuan untuk mengelola perangkat wireless tipe akses poin.

·         Level 5 : mencakup level 1, 3 dan 4 ditambah dengan kemampuan mengelola jumlah pengguna hotspot yang lebih banyak.

·         Level 6 : mencakup semua level dan tidak memiliki limitasi apapun.

DMZ dapat dirancang dengan berbagai cara salah satunya adalah  seperti yang dilakukan pada praktikum kali ini yaitu dengan menggunakan single Linux firewall dengan 3 Ethernet Card.  Winbox adalah utility untuk melakukan remote GUI ke Router Mikrotik pada system operasi windows. Berikut adalah langkah-langkah konfigurasi mikrotik menggunakan winbox :

1.       Buka winbox, lalu connect dengan mikrotik.

2.       Setelah berhasil connect dengan mikrotik maka kita perlu restore File List pada winbox agar file-file konfigurasi sebelumnya terbackup dan kembali kosong seperti semula.

3.       Ketika sudah mengalami proses restrore maka Mikrotik akan direstart.

4.       Setting waktu dan tanggal

5.       Dapat dilihat dari interface list terdapat 3 ether yang connect.

6.       Cara lain untuk mengecek interface list adalah menggunakan terminal dengan perintah interface print.

7.       Berikan nama untuk tiap ether sesuai dengan fungsinya agar lebih mudah untuk mengkonfigurasi.

A.      eth13 adalah public. IP address public ini berasal dari EEPIS server yang didapat dari DHCP EEPIS Server .

B.       eth9 adalah DMZ yang menggunakan private IP address dan tersambung ke Web server.

C.      eth1 adalah client dengan private IP address dan jaringan privat yang digunakan untuk client.

8.       Konfigurasikan IP untuk Public. IP address ini harus berada dalam EEPIS server.

9.       Konfigurasikan IP address untuk DMZ.

10.   Konfigurasikan IP address untuk client.

11.   Tambahkan IP public sebagai gateway dengan menggunakan terminal pada winbox.

12.   Lalu buat DHCP server dengan assign dari DNS server. DNS server yang digunakan adalah DNS server EEPIS yaitu 202.9.85.3. Set remore request yes agar memperbolehkan network request untuk DNS.

13.   Lalu buat DHCP service dengan dhcp-server setup

14.   Lalu tambahkan source NAT atau srcnat dengan action masquerade menggunakan perintah di bawah ini.

15.   Konfigurasikan NAT.

16.   Ping gateway untuk memastikan IP dari DHCP client tadi sudah benar-benar terhubung dengan jaringan.

17.   Men-setting TCP

Setting pada Computer Client

Pertama menjalankan aplikasi winbox kemudian klik pada menu new terminal. Kemudian mengetikkan command seperti berikut :

[admin@MikroTik9] > ip firewall nat add chain=dstnat src-address=0.0.0.0/0 dst-address=10.252.108.60 protocol=tcp port=80 action=dst-nat to-addresses=192.168.6.2 to-port=80

[admin@MikroTik9] >

 

Kemudian ping IP 192.168.6.1 yang di definisikan sebagai IP client, ping IP 192.168.14.1 yang didefinisikan sebagai IP DMZ, dan ping IP 10.252.108.60 yang di definisikan sebagai IP public.

                                                                                   

Kemudian melakukan ping terhadap www.eepis-its.edu

Mengakses web eepis-its.edu untuk memastikan setting yang kita lakukan berhasil,

Mengecek status pada Network Connection Details untuk memastikan IP pada client sudah benar.

Pada saat kita mengakses IP 192.168.6.1 (client)

Apabila kita meng-klik button login maka akan seperti berikut. Tampilan ini sama dengan tampilan pada winbox yang digunakan untuk men-setting mikrotik.

Tracert command digunakan untuk  Trace route ke sebuah remote host (www.eepis-its.edu)

Kemudian mengakses 10.252.108.60 untuk mengecek apakah computer client sudah terkoneksi dengan benar dan bisa mengakses DMZ.

Konfigurasi Keamanan Layanan Proxy

Praktikum 13

Konfigurasi Keamanan Layanan

Proxy

A.      TUJUAN PEMBELAJARAN

1.       Memahami dan mampu melakukan instalasi, konfigurasi keamanan proxy server.

2.       Memahami dan mampu melakukan instalasi dan konfigurasi autentikasi user pada squid server dengan menggunakan RADIUS.

B.      DASAR TEORI

Proxy umumnya digunakan untuk memberikan layanan caching ke jaringan local dengan mengunakan squid cache. Client-client proxy tidak perlu mengakses langsung halaman web yang ditujunya, melainkan cukup dengan mengambilnya di cache server (proxy)

Cara kerjanya adalah ketika ada client yang mengkses suatu alamat web, maka squid akan menyimpan file-file halaman web tersebut ke dalam cache lokal proxy tersebut untuk kemudian diberikan lagi kepada client yang mengakses halaman web yang sama, ketika ada client yang mengakses halaman web yang sama, proxy server hanya melakukan pengecekan ke server yang dituju, apakah obyek yang disimpan di cache local proxy masih sama dengan yang ada di server web tujuan, apabila ternyata telah ada perubahan barulah proxy server memintakanya untuk client yang mengakses server web tujuan, sementara itu file yang diberikan kepada client tersebut juga akan disimpan di direktori cache pada proxy sever, dan begitu seterusnya sehingga secara tidak langsung metode ini akan menghemat bandwidth dan secara tidak langsung akan mempercepat koneksi internet, selain fungsi diatas proxy server juga dapat digunakan untuk membuat kebijakan keamanan untuk jaringan lokal. Proxy server juga memiliki fungsi untuk memblokir situs-situs tertentu serta memblok beberapa kata-kata yang tidak diperbolehkan untuk diakses.

Aplikasi proxy server yang paling populer digunakan adalah squid, dikarenakan squid memiliki tingkat performa yang baik dan keamanan yang relatif lebih baik daripada aplikasi-aplikasi proxy server lainya.

Autentikasi pada squid dapat digunakan untuk memberi batasan user-user mana saja yang boleh mengakses proxy server dan user mana yang diperbolehkan, untuk mengaktifkan autentikasi kita memerlukan autentikator yang akan menangangi urusan autentikasi, salah satunya dengan menggunakan RADIUS sebagai autentikasi user proxy.

C.      TUGAS PENDAHULUAN

1.       Jelaskan pengertian dan fungsi dari proxy, squid, dan RADIUS sebagai autentikasi user proxy.

Proxy umumnya digunakan untuk memberikan layanan caching ke jaringan local dengan mengunakan squid cache. Autentikasi pada squid dapat digunakan untuk memberi batasan user-user mana saja yang boleh mengakses proxy server dan user mana yang diperbolehkan, untuk mengaktifkan autentikasi kita memerlukan autentikator yang akan menangangi urusan autentikasi, salah satunya dengan menggunakan RADIUS sebagai autentikasi user proxy

2.       Gambarkan dan jelaskan sebuah topology jaringan yang menggambarkan sebuah proses aktifitas user yang konek ke internet melalui server proxy.

Client 1, 2, dan 3 dihubungkan dengan switch. Switch akan mengakses proxy server dan akan langsung terkoneksi dengan internet

 

D.      PERCOBAAN

1.       Install freeradius:

#apt-get install freeradius freeradius-mysql freeradius-utils

2.       Install database mysql:

#apt-get install mysql-server mysql-client

3.       Membuat database dan memberikan privilege ke user radius:

#mysql -uroot -p

kemudian masukkan password root mysql.

#CREATE DATABASE radius;

#GRANT ALL ON radius.* TO radius@localhost IDENTIFIED BY "radpass";

impor tabel dari radius:

#mysql> use radius;

#SOURCE /etc/freeradius/sql/mysql/schema.sql

#exit

4.       Buka file /etc/freeradius/sql.conf dan masukkan database mysql:

# Connection info:

server = "localhost"

#port = 3306

login = "radius"

password = "radpass"

# Database table configuration for everything except Oracle

radius_db = "radius"

5.       Buka file /etc/freeradius/radiusd.conf, hilngakan tanda comment pada baris berikut.

$INCLUDE sql.conf

6.       Edit /etc/freeradius/sites-available/default dan hilangkan tanda comment pada baris yang mengandung ‘sql’ di bagian authorize{} dan‘sql’ di bagian accounting{}, dan ‘sql’ di bagian session{}.

7.       Edit /etc/freeradius/sites-available/inner-tunnel, dan hilangkan tanda comment yang mengandung ‘sql’ di dalam bagian “authorize {}” dan di bagian session {}.

8.       Mengecek apakah radius berjalan dengan baik:

#service freeradius restart               

#service freeradius stop

#service freeradius start

9.        Install squid:

# apt-get install squid

10.   Buka file /etc/squid/squid.conf dan tambahkan konfigurasi dibawah ini:

# TAG: auth_param

#Authentication Radius:

auth_param basic program /usr/local/squid/libexec/squid_radius_auth –f

/etc/squid/squid_rad_auth.conf

auth_param basic children 5

auth_param basic realm LAB COMPUTER NETWORKS

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

acl radius-auth proxy_auth REQUIRED

# TAG: http_access

# Allow authorized users:

http_access allow radius-auth

11.   Download plugin radius:

# wget http://www.squidcache.org/contrib/squid_radius_auth/squid_radius_auth-1.10.tar.gz

12.   Ekstrak file:

# tar xvzf squid_radius_auth-1.10.tar.gz

13.   Pindah direktori:

# cd squid_radius_auth-1.10

14.   Install plugin:

# cp Makefile.default Makefile

# make clean

# make install

15.   Copy file binari radius auth ke:

# cp squid_radius_auth /usr/local/squid/libexec/squid_radius_auth

16.   Buat file konfigurasi plugin radius:

# touch /etc/squid/squid_rad_auth.conf

17.   Masukkan konfigurasi berikut ke file squid_rad_auth.conf (sebagai contoh di

server 10.252.108.51):

server 10.252.108.51 # Radius Server IP or Hostname

secret testing123

18.   Restart service squid:

# service squid restart

19.   Setup browser client dengan proxy alamat IP proxy server dan port 3128. Ketika anda mulai browsing dengan browser akan muncul form login sebagai berikut:

20.   Melihat log squid di squid server:

# tail -l /var/log/squid/access.log

 Untuk mempermudah dalam me-manage FreeRadius, install daloradius sebagai user interface management.

Ekstrak daloradius kemudian pindahkan ke var/www/. Kemudian masuk ke direktori ../daloradius/contrib/db. Kemudian tambahkan tabel-tabel daloradius untuk menambahkan beberapa tabel dalam database radius.

Mysql –u root –p radius < mysql-daloradius.sql

Kemudian masukkan password databasenya..        

Kemudian konfigurasi koneksi database ke daloradius ke ../daloradius/library/daloradius.conf.php

Jika mengalami error dalam konfigurasi install paket php5-gd php-pear dan php-db. Berikut hasil konfigurasi daloradius

Modul 5

Modul 5

Intrusion Detection System (Snort)

TUJUAN PEMBELAJARAN

1.       Mengenalkan pada mahasiswa tentang konsep Intrusion Detection System

2.       Mahasiswa mampu melakukan installasi dan konfigurasi SNORT sebagai tools IDS

3.       Mahasiswa mampu membangun rule baru untuk mendeteksi eksploit terbaru

DASAR TEORI

Deteksi Penyusupan (Intrusion Detection)

Deteksi penyusupan adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis. Program yang dipergunakan biasanya disebut sebagai Intrusion Detection System (IDS).

Tipe dasar dari IDS adalah:

·         Rule-based systems - berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan.

·         Adaptive systems - mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru.

Bentuk yang sering dipergunakan untuk komputer secara umum adalah rule-based systems. Pendekatan yang dipergunakan dalam rule-based systems ada dua, yakni pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah waktu saja. Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintas jaringan. Jika ditemukan paket yang mencurigakan, maka program akan melakukan tindakan yang perlu. Pendekatan reaksi, program pendeteksi penyusupan hanya mengamati file log. Jika ditemukan paket yang mencurigakan, program juga akan melakukan tindakan yang perlu.

Snort

Mengoperasikan Snort

Tiga (3) buah mode, yaitu

1.       Sniffer mode, untuk melihat paket yang lewat di jaringan.

2.       Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari.

3.       Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.

Sniffer Mode

Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh perintahnya terdapat di bawah ini,

#snort –v

#snort –vd

#snort –vde

#snort –v –d –e

dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu

-v, untuk melihat header TCP/IP paket yang lewat.

-d, untuk melihat isi paket.

-e, untuk melihat header link layer paket seperti ethernet header.

Packet Logger Mode

Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama jika kita menggunakan ethernet berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian, sambil santai … Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah

./snort –dev –l ./log

./snort –dev –l ./log –h 192.168.0.0/24

./snort –dev –l ./log –b

perintah yang paling penting untuk me-log paket yang lewat adalah

-l ./log

yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII.

Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah –r nama file log-nya, seperti,

./snort –dv –r packet.log

./snort –dvr packet.log icmp

Intrusion Detection Mode

Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi penyusup adaah dengan menambahkan perintah ke snort untuk membaca file konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh snort.conf yang dibawa oleh source snort.

Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti

./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf

./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf

Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan perintah –l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi perintah snort.conf.

Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien, mekanisme pemberitahuan alert di Linux dapat di set dengan perintah –A sebagai berikut,

-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.

-A full, mode alert dengan informasi lengkap.

-A unsock, mode alert ke unix socket.

-A none, mematikan mode alert.

Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s, seperti tampak pada beberapa contoh di bawah ini.

./snort –c snort.conf –l ./log –s –h 192.168.0.0/24

./snort –c snort.conf –s –h 192.168.0.0/24

Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah di bawah ini,

./snort –c snort.conf –b –M WORKSTATIONS

Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini

/usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D

atau

/usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D

dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).

TUGAS PENDAHULUAN

1.       Sebutkan dan jelaskan dengan singkat apa yang disebut dengan konsep IDS ?

IDS (Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan. Jika ditemukan kegiatankegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol) sumber dari usaha pengaksesan jaringan.

2.       Sebutkan fasilitas kemampuan yang dimiliki snort !

Snort ini mempunyai kemampuan untuk mengexport log ke bentuk database, ada beberapa database yang dapat digunakan, kayak MySQL, PostgreSQL, oracle, MSSQL dan odbc.

Snort yang berbasis jaringan intrusion detection system (NIDS) memiliki kemampuan untuk melakukan real-time analisis lalu lintas dan paket logging pada Internet Protocol (IP) jaringan. Snort melakukan analisis protokol, pencarian isi, dan pencocokan konten. Program ini juga dapat digunakan untuk mendeteksi probe atau serangan, termasuk, namun tidak terbatas pada, upaya sistem operasi sidik jari, antarmuka gateway umum, buffer overflows, probe server pesan blok, dan port scan siluman.

Snort log adalah kemampuan untuk memotong dan menyisipkan berbagai mendeteksi ke dalam pesan e-mail yang akan dikirim ke analis lain, CIRT Anda, atau pihak yang bersalah.

Snort memiliki karakteristik, sebagai berikut:

1.       Berukuran kecil – Source code dan rules untuk rilis 2.1.1 hanya 2256k.

2.       Portable untuk banyak OS – Telah diporting ke Linux, Windows, OSX, Solaris, BSD,dll.

3.       Cepat – Snort mampu mendeteksi serangan pada network 100Mbps.

4.       Mudah dikonfigurasi – Snort sangat mudah dikonfigurasi sesuai dengan kebutuhan network kita. Bahkan kita juga dapat membuat rule sendiri untuk mendeteksi adanya serangan baru.

5.        Free – Kita tidak perlu membayar sepeser pun untuk menggunakan snort. Snort bersifat open source dan menggunakan lisensi GPL.

3.       Jelaskan cara installasi dan konfigurasi snort !

Untuk menginstall snort gunakan perintah #apt-get install snort

4.       Jelaskan cara membuat rule baru di snort !

Membuat rule baru yaitu alltcp.rules dan simpan di /etc/snort/rules dengan menggunakan perintah # gedit /etc/snort/rules/alltcp.rules

PERCOBAAN

1.       Konfigurasi sesuai dengan topologi yang diminta :

·         Gunakan dhclient di masing-masing PC untuk i dmendapatkan IP dari router.

·         192.168.50.x & y : IP dari router

·         Pilih 192.168.50.x sebagai PC Server yang akan dipasangi snort

·         Pilih 192.168.50.y sebagai PC Client

2.       Lakukan instalasi snort pada PC Server

# apt-get install snort

Masukkan range network yang akan dianalisa :

Address range for the local network :

192.168.0.0/16

3.       Manjalankan snort

a.       Bekerjalah dengan kelompok anda, salah satu menjalankan snort (PC Server) dan yang lain menjalankan aplikasi yang lain (PC Client).

b.      Jalankan perintah ping dan nmap dari PC Client ke PC Server.

c.       Jalankan snort dengan menggunakan mode sniffer

#snort –v

#snort –vd

#snort –vde

#snort –v –d –e

Ket : Running in packet dump mode

Jelaskan perbedaan hasil dari option di atas.

Perbedaan hasil di atas terletak pada packet wire totals nya. Setiap perintah menghasilkan packet wire total yang berbeda.

d.      Untuk mempermudah pembacaan masukkan hasil snort ke dalam file, jalankan perintah berikut :

#snort –dev –i eth0 –L /var/log/snort/snort.log

Ket : Running in packet logging mode

Akan menghasilkan sebuah file di folder /var/log/snort, lihat dengan perintah :

# ls /var/log/snort

e.      Untuk membaca file snort (misal : snort.log.1234) berikan option –r pada snort

# snort -dev -r /var/log/snort/snort.log.1234

5.       Menjalankan snort dengan mode NIDS (Network Intrusion Detection System)

a.       Opsi e, dihilangkan karena kita tidak perlu mengetahui link layer MAC. Opsi v dihilangkan juga, jalakan menggunakan option sbb :

#snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort/snort.conf

Ket : Running in IDS mode

b.      Bekerjasamalah dengan rekan anda. Sekarang coba jalankan scanning dari komputer lain (PC Client) dengan nmap menuju komputer yang anda pasangi snort (PC Server). Terlebih dulu jalankan snort dengan mode NIDS, kemudian lakukan scanning dengan perintah :

# snort -d -h 192.168.1.0/24 host <no_ip_snort> -l

/var/log/snort –c /etc/snort/snort.conf

#nmap -sS -v <no_ip_snort>

c.       Lihatlah apakah scan anda terekam oleh snort. Jika iya, copy paste hasil snort pada bagian scanning SYN. Untuk melihat, gunakan perintah :

# snort –dev –r <nama-log-file> | more

Apakah scanning ini ditandai sebagai alert ? Coba lihat di /var/log/snort,

gunakan perintah :

# vim /var/log/snort/alert

d.      Jalankan snort. Buka halaman web. Apakah ini terdeteksi sebagai alert?

e.      Sekarang coba ubah rule snort. Buat rule baru yaitu alltcp.rules dan simpan di

/etc/snort/rules

# vim /etc/snort/rules/alltcp.rules

alert tcp any any -> any any (content:”www.facebook.com”;

msg:”Someone is visiting Facebook”;sid:1000001;rev:1;)

alert tcp any any -> any any (msg:"TCP

Traffic";sid:1000002;rev:0;)

      Apa artinya ?

      Ket : any any (host port), sid harus lebih dari 1 juta, rev mulai dari 0.

f.        Coba lihat snort.conf. Beri tanda # pada semua rule lain dan tambahkan rule anda yaitu : alltcp.rules.

# vim /etc/snort/snort.conf

include $RULE_PATH/alltcp.rules

g.       Lakukan restart aplikasi snort anda :

# /etc/init.d/snort restart

h.      Bukalah halaman web untuk mengakses “www.facebook.com”, lihatlah apakah ada tanda sebagai alert atau tidak

i.         Coba lakukan scanning seperti perintah b. Lihatlah apakah ada tanda sebagai alert atau tidak

Untuk mengetahui beberapa baris terakhir dari informasi alert :

# tail –f /var/log/snort/alert

j.        Apa yang dapat anda simpulkan dari langkah diatas ?

LAPORAN RESMI

1.       Berikan kesimpulan hasil praktikum yang anda lakukan.

2.       Download rule terbaru di snort dan bandingkan dengan rule yang lama, apa saja perubahan yang ada !

3.       Jelaskan rule apa saja yang bisa didekteksi oleh snort !

4.       Untuk mempermudah pembacaan data snort dimungkinkan dimasukkan dalam database, carilah artikel tentang konfigurasi snort menggunakan database

5.       Jelaskan juga aplikasi yang bisa dipakai untuk membaca database snort!