Laporan
Akhir Praktikum
Mata
praktikum : Administrasi
Keamanan Jaringan
Semester : III (tiga)
Praktikum
ke : 12 (dua belas)
Tanggal : 21 Desember 2012
Materi : Aplikasi Snort
dan Tools-tools Host-Based
NIM :
A 1311053
Nama : Rusmawati
Nama Dosen : Hendrik Setyo Utomo, ST
Nama Asisten
Paraf Dosen :
Jumlah
lembar : 8 Lembar
Laboratorium
Informatika
POLITEKNIK TANAH LAUT
2012
1.
Aplikasi Snort
Snort adalah
jaringan sumber intrusi bebas dan terbuka sistem pencegahan (NIPS) dan jaringan
sistem deteksi intrusi (NIDS) diciptakan oleh Martin Roesch pada tahun 1998. Snort
kini dikembangkan oleh Sourcefire, yang Roesch adalah pendiri dan CTO. Pada
tahun 2009,. Snort memasuki Open Source InfoWorld Hall of Fame sebagai salah
satu "[buah] terbesar perangkat lunak open source sepanjang masa".
Open source
Snort yang berbasis jaringan intrusion detection system (NIDS) memiliki
kemampuan untuk melakukan real-time analisis lalu lintas dan paket logging pada
Internet Protocol (IP) jaringan. Snort melakukan analisis protokol, pencarian
isi, dan pencocokan konten. Program ini juga dapat digunakan untuk mendeteksi
probe atau serangan, termasuk, namun tidak terbatas pada, upaya sistem operasi
sidik jari, antarmuka gateway umum, buffer overflows, probe server pesan blok,
dan port scan siluman.
Snort dapat
dikonfigurasi dalam tiga mode utama:. Sniffer, packet logger, dan deteksi intrusi
jaringan. Dalam mode sniffer, program akan membaca paket jaringan dan
menampilkannya pada konsol. Dalam mode paket logger, program akan mencatat
paket ke disk. Dalam modus intrusion detection, program ini akan memonitor lalu
lintas jaringan dan menganalisanya terhadap seperangkat aturan yang ditetapkan
oleh pengguna. Program ini kemudian akan melakukan tindakan tertentu berdasarkan
apa yang telah diidentifikasi.
Kalau ndak bikin TA, saya juga ndak bakal ini bikin beginian :)
Snort, merupakan aplikasi yang
digunakan sebagai tool security yangberfungsi sebagai pendeteksi adanya intrusi
pada jaringan. Intrusi itu misalnya penyusupan, penyerangan, dan berbagai macam
ancaman lain yang membahayakan.
Istilah keren Snort ini adalah Network Prevention System (NIPS) dan Network Intrusion Detection System (NIDS). Dalam buku yang saya baca mengatakan bahwa Snort sangat handal untuk membentuk logging paket-paket dan traffic analysis pada jaringan secara real time. Tambahan dari berbagai sumber yang saya baca, Snort ini juga tidak hanya berjalan sebagai aplikasi pendeteksi adanya intrusi saja namun juga dapat merespon tindakan penyerangan yang ada.
Istilah keren Snort ini adalah Network Prevention System (NIPS) dan Network Intrusion Detection System (NIDS). Dalam buku yang saya baca mengatakan bahwa Snort sangat handal untuk membentuk logging paket-paket dan traffic analysis pada jaringan secara real time. Tambahan dari berbagai sumber yang saya baca, Snort ini juga tidak hanya berjalan sebagai aplikasi pendeteksi adanya intrusi saja namun juga dapat merespon tindakan penyerangan yang ada.
Untuk menginstall Snort, sangatlah
mudah. Cukup dengan satu baris perintah berikut, Snort sudah dapat terpasang
dalam komputer kesayangan temen - temen. root@defegacious:/# apt-get install
snort Syaratnya, komputer teman-teman harus sudah terkonek dengan
repository, baik yang online maupun lokal. Sangat mudah bukan proses
instalasinya, tinggal nunggu lalu selesai.Untuk mengubah konfigurasi rules
Snort yang sudah default bisa melalui, root@defegacious:/# nano /etc/snort/snort.conf
Rules adalah
konfigurasi pada Snort yang nantinya digunakan untuk medeteksi adanya berbagai
macam serangan. Nah, rulesnya ini sangat banyak dan beragam. Lain kali saya
akan membahasa beberapa, untuk yang ini sampai disini dulu.Sedangkan untuk
mengecek Snort berfungsi atau tidak, bisa menggunakan perintah berikut root@defegacious:/#
snort –v. Sebagai contoh, Snort ini saya jalankan pada Maverick. Lalu ketika
ada seseorang yang mencoba men-scan laptop saya, maka Snort akan langsung
memberikan peringatan seperti skrinsut dibawah ini,
1. Tools-tools Host-based
·
Log Scanners
OPMES
212 memiliki sejarah
panjang di banyak lingkungan
pabrik gergaji yang
berbeda. Ini telah menunjukkan
yang terbaik sebagai scanner handal dengan
layanan yang mudah. Scanner ini terdiri dari ramp
foto transistor dan
unit cahaya dengan cermin parabola dan lampu
halogen. Panjang log diukur dengan photocells
dan encoder. Pemindai
OPMES 212 dapat
mengukur menyapu log dengan conveyor terus
menerus dengan penerbangan rendah.
Sistem
pengukuran menggunakan kamera matriks dan sinar
laser. Sistem ini menghasilkan
gambar tiga dimensi lengkap dari log, yang
membuat diameter menghitung
seluruh panjang mungkin.
Dalam sifat masa
depan pemindai ini dapat ditingkatkan dengan x-ray pengukuran. Hal ini menawarkan
kemungkinan serbaguna untuk
grading log.
·
Swatch
"Swatch"
memulai pembangunan di awal 1980-an, di bawah kepemimpinan kemudian, CEO ETA SA
Ernst Thomke dengan tim kecil insinyur menonton antusias dipimpin oleh Elmar
Mock dan Jacques Müller, [1] Para insinyur dari Swatch dirancang kasus belakang
menonton sebagai piring gerakan utama (platina). Konsep ini menyebabkan arloji
tertipis di dunia - Delirium, yang memulai debutnya pada tahun 1979 [2] [3].
Diciptakan pada awal
sebagai pencatat waktu standar dalam plastik, Franz Sprecher, [4] seorang
konsultan pemasaran disewa oleh Thomke untuk memberikan proyek pertimbangan
orang luar, segera memimpin proyek ke dalam apa yang telah menjadi: garis
trendi jam tangan dengan merek penuh identitas dan konsep pemasaran - bukannya
mengembangkan hanyalah koleksi arloji, yang bisa segera diimbangi dengan
kompetisi.
Swatch pada awalnya
ditujukan untuk menangkap kembali pangsa pasar entry level hilang oleh produsen
Swiss selama pertumbuhan agresif perusahaan Jepang seperti Seiko dan Citizen
pada 1960-an dan 1970-an dan kembali mempopulerkan jam tangan analog pada saat jam
digital telah mencapai popularitas yang luas . Peluncuran merek Swatch pada
tahun 1983 ditandai dengan desain baru yang berani, styling dan pemasaran.
Lebanon pengusaha,
Nicolas G. Hayek, yang, dengan sekelompok investor Swiss, mengambil alih saham
mayoritas Swatch selama tahun 1985 di kemudian, antara ASUAG dan SSIH, kelompok
yang baru konsolidasi dengan nama Societe de Suisse Microelectronique et
d'Horlogerie, atau SMH, menjadi Ketua Dewan Direksi dan CEO pada tahun 1986
(yang kemudian secara signifikan berubah nama menjadi Kelompok Swatch), lanjut
mendalangi perkembangannya untuk mencapai status sekarang utama di seluruh
dunia yang menonton merek Swiss dalam ujung bawah harga menonton.
Kombinasi pemasaran dan
keahlian manufaktur dipulihkan Swiss sebagai pemain utama dalam pasar arloji
dunia. Bahan sintetis yang digunakan untuk watchcases serta proses ultra-sonic
las baru dan teknologi perakitan. Jumlah komponen berkurang dari 91 menjadi 51
atau lebih, tanpa kehilangan akurasi. Jam tangan Swatch juga dikenal sebagai
penyelamat, bagi banyak swatch-menonton penggemar gaya.
·
Logchec
Logcheck
adalah utilitas sederhana yang dirancang untuk memungkinkan administrator sistem untuk melihat logfiles yang diproduksi
pada host di
bawah kendali mereka. Hal ini dilakukan dengan ringkasan surat dari logfiles
kepada mereka, setelah pertama menyaring "normal" entri. Entri normal
entri yang cocok
dengan salah satu termasuk file
ekspresi reguler banyak
mengandung dalam database. Proyek ini dimaksudkan untuk menjadi tempat untuk semua pengembangan
masa depan logcheck yang tampaknya mati hulu.
Setiap pengembang Debian, atau relawan
lainnya dipersilahkan untuk bergabung dalam diskusi di milis, atau komentar.
Ada beberapa tujuan dari proyek
ini:
Ø Logcheck
Recode untuk lebih dimengerti, dengan dokumentasi meningkat.
Ø Memiliki
koleksi yang lebih lengkap, dan dipertahankan, file aturan
Ø Mendorong
pengguna lain untuk berkolaborasi.
·
Mod Security
Ketersediaan
ModSecurity 2.7.1 Rilis Stabil (November 14, 2012)
Tim Pengembangan ModSecurity dengan bangga mengumumkan ketersediaan ModSecurity 2.7.1 stabilitas Release.The Stabil dari rilis ini adalah baik dan mencakup banyak perbaikan bug. Kami menyarankan orang-orang meng-upgrade ke 2,7 seri karena memiliki log perbaikan bug dan satu masalah keamanan yang berhubungan dengan muatan multipart. Dalam versi ini kita berganti nama menjadi arahan dan pilihan yang berkaitan dengan fitur HMAC untuk pemahaman yang lebih baik dari teknologi. Silakan lihat catatan rilis dimasukkan ke dalam file PERUBAHAN. Untuk masalah yang diketahui dan informasi lebih lanjut tentang perbaikan bug, silakan lihat ModSecurity yang Jira online. Harap melaporkan setiap bug ke mod-security-developers@lists.sourceforge.net. Ketersediaan ModSecurity 2.7.0 Rilis Stabil (16 Oktober 2012) Tim Pengembangan ModSecurity dengan bangga mengumumkan ketersediaan ModSecurity 2.7.0 stabilitas Release. The Stabil dari rilis ini adalah baik dan mencakup banyak fitur baru dan perbaikan bug. Meliputi:
Tim Pengembangan ModSecurity dengan bangga mengumumkan ketersediaan ModSecurity 2.7.1 stabilitas Release.The Stabil dari rilis ini adalah baik dan mencakup banyak perbaikan bug. Kami menyarankan orang-orang meng-upgrade ke 2,7 seri karena memiliki log perbaikan bug dan satu masalah keamanan yang berhubungan dengan muatan multipart. Dalam versi ini kita berganti nama menjadi arahan dan pilihan yang berkaitan dengan fitur HMAC untuk pemahaman yang lebih baik dari teknologi. Silakan lihat catatan rilis dimasukkan ke dalam file PERUBAHAN. Untuk masalah yang diketahui dan informasi lebih lanjut tentang perbaikan bug, silakan lihat ModSecurity yang Jira online. Harap melaporkan setiap bug ke mod-security-developers@lists.sourceforge.net. Ketersediaan ModSecurity 2.7.0 Rilis Stabil (16 Oktober 2012) Tim Pengembangan ModSecurity dengan bangga mengumumkan ketersediaan ModSecurity 2.7.0 stabilitas Release. The Stabil dari rilis ini adalah baik dan mencakup banyak fitur baru dan perbaikan bug. Meliputi:
o Internasionalisasi
(I18N)
o Dukungan HMAC Token Injeksi untuk mencegah
manipulasi data
o PCRE
Dukungan JIT untuk mempercepat operator ekspresi reguler
o Caching Lua
VMs untuk mempercepat script
o Kemampuan untuk
menambahkan pengecualian berdasarkan data TAG dan MSG
·
File System
Integrity Checkers
Apa peran pemeriksa integritas file
seperti Tripwire di deteksi intrusi?
Hal ini sangat sulit
untuk mengganggu sebuah sistem tanpa mengubah file sistem, jadi file checker
integritas merupakan kemampuan penting dalam deteksi intrusi. Sebuah integritas
file checker menghitung checksum untuk setiap file dijaga dan menyimpan ini.
Pada lain waktu Anda dapat menghitung checksum lagi dan menguji nilai saat ini terhadap
nilai yang disimpan untuk menentukan apakah file telah dimodifikasi. Sebuah
pemeriksa integritas file adalah kemampuan yang Anda harus mengharapkan untuk
menerima dengan sistem host intrusion detection komersial berbasis.
The checksum utama yang
digunakan untuk ini adalah 32 bit CRC (Cyclic Redundancy Check). Penyerang
telah menunjukkan kemampuan untuk memodifikasi file dengan cara checksum CRC
tidak bisa mendeteksi, sehingga checksum kuat dikenal sebagai hash kriptografi
yang dianjurkan. Contoh hash kriptografi termasuk MD5, dan snefru.
Salah satu tantangan
dalam menggunakan pemeriksa integritas file adalah masalah positif palsu.
Ketika Anda mengupdate file atau menerapkan patch sistem ini mengubah file.
Membuat database awal tanda tangan mudah, menjaga up to date yang jauh lebih
sulit. Namun, bahkan jika Anda hanya menjalankan checker sekali (ketika Anda
pertama kali menginstal sistem) ini masih bisa sangat berharga. Jika ada yang
pernah kekhawatiran bahwa sistem dikompromikan Anda dapat menjalankan checker
lagi untuk menentukan file mana yang telah maupun belum dimodifikasi.
Tantangan lain dengan
pemeriksa integritas file adalah bahwa Anda harus memiliki sistem murni ketika
Anda membuat database referensi pertama. Jika tidak, Anda mungkin akan membuat
hash kriptografi dari sistem dikompromikan sementara merasa hangat dan fuzzy
yang Anda menerapkan keamanan yang baik. Hal ini juga sangat penting bahwa Anda
menyimpan secara offline database referensi atau penyerang mungkin dapat
kompromi sistem dan menyembunyikan jejak mereka dengan memodifikasi database
referensi.
Alat integritas
pemeriksa termasuk tripwire, (ftp://coast.cs.purdue.edu/pub/tools/unix atau
www.tripwiresecurity.com) L5, dan SPI (SPI tersedia untuk pengguna Pemerintah
AS hanya dari http:// ciac.llnl.gov). Diagram di atas menunjukkan komponen
utama dari seluruh proses. Ini menunjukkan bagaimana tripwire menggunakan file
konfigurasi dua input dan database Lama untuk menghasilkan laporan.
Sebuah file konfigurasi
(tw.config) terdiri dari semua benda yang perlu dipantau. Artinya, berisi
daftar semua file, direktori, dan juga daftar atribut yang aman bisa diabaikan
saat melakukan perbandingan. Misalnya, untuk beberapa file akses perangko waktu
dapat diabaikan untuk perbandingan. Daftar atribut yang dapat diabaikan dengan
aman disebut masker seleksi untuk objek tersebut. Contoh dari entri dari file
konfigurasi ditunjukkan di bawah ini
File / Dir Seleksi-Masker/ Etc R / / semua file di bawah / etc/ Etc / utmp L / / dinamis files= / Var / tmp R / / direktori hanya
File / Dir Seleksi-Masker/ Etc R / / semua file di bawah / etc/ Etc / utmp L / / dinamis files= / Var / tmp R / / direktori hanya
Pilihan-mask mungkin
terlihat seperti: + pinugsm12-a. Ini berarti bahwa Tripwire harus melaporkan
setiap perubahan dalam izin dan mode, nomor inode, jumlah link, user id, id
group, ukuran file, modifikasi timestamp dan tanda tangan 1 dan 2 tapi tidak
berubah dalam cap waktu akses.
Komponen utama kedua
adalah database yang terdiri dari tanda tangan yang dihasilkan sebelumnya untuk
entri dalam file konfigurasi. Ini file database yang dihasilkan oleh Tripwire
berisi daftar entri dengan nama file, inode nilai atribut, informasi tanda
tangan, dan seleksi-topeng dan entri file yang sesuai. Kami akan membahas
berbagai mode pengoperasian alat. Isi dari file konfigurasi drive setiap mode
operasi. Tripwire bekerja di empat mode yang berbeda.
Basis Data Inisialisasi
Modus Selama mode ini, database dasar yang berisi entri untuk setiap file yang
ditetapkan dalam tw.config file konfigurasi yang dihasilkan. Setiap entri dalam
database berisi nama file, atribut inode, tanda tangan, masker dan pemilihan-entri
konfigurasi yang dihasilkan itu. Ini database dasar disimpan pada tamper-proof
media yang aman untuk mencegah database dari yang diubah. Tripwire menggunakan
database terenkripsi karena database berisi apa-apa yang akan membantu penyusup
untuk merusak database. Keamanan dijamin oleh kenyataan bahwa algoritma yang
digunakan untuk menghasilkan signature yang permanen. Tripwire mendukung
sepuluh tanda tangan yang akan digunakan untuk setiap file. Beberapa algoritma
yang MD5, MD4, MD2, Snefru, Haval dan SHA. Secara default, MD5 dan Snefru tanda
tangan yang digunakan dan diperiksa untuk setiap file. Namun, tanda tangan yang
berbeda dapat ditentukan untuk setiap file. Ini memberikan administrator
fleksibilitas yang lebih besar. Untuk alasan kinerja, seseorang dapat
menentukan pada saat run-time yang tanda tangan yang akan digunakan untuk
membandingkan. Sebagai contoh, karena MD5 dan Snefru adalah komputasi intensif,
tripwire bisa membandingkan CRC32 tanda tangan per jam dan membandingkan MD5
dan Snefru setiap hari.
Memeriksa integritas
Modus Selama ini modus operasi, tripwire ulang membaca file konfigurasi dan
melahirkan database berdasarkan isi dari file konfigurasi. Database ini
dibandingkan dengan database lama menghasilkan daftar file yang ditambahkan dan
dihapus. Tripwire scan sistem file untuk menemukan file yang ditambahkan,
dihapus atau diubah. Untuk file yang diubah, pemilihan-topeng, yang dibaca dari
database, diterapkan untuk menentukan apakah laporan harus dihasilkan. Contoh
berikut menunjukkan output singkat dari Tripwire. Dalam contoh ini nama file
yang dicetak dan nilai-nilai atribut yang perbandingan dibuat juga dicetak.
Pembaruan Basis Data
Modus. Ketika file berubah untuk alasan yang sah kita harus mengupdate database
untuk memastikan konsistensi database. Tripwire mendukung menentukan file yang
akan diperbarui dari baris perintah. Mengingat daftar file atau entri
konfigurasi pada baris perintah, database entri untuk berkas-berkas
diregenerasi dan database baru dibuat. Updating adalah sebuah proses yang tidak
boleh terlalu otomatis karena memerlukan penelaahan secara cermat. Sekali lagi
database ini harus pindah ke menulis-dilindungi media yang aman untuk tujuan
keamanan.
Basis Data Interaktif
Pembaruan Modus Daftar perubahan yang dihasilkan selama modus integritas
pengecekan, untuk setiap perubahan Tripwire meminta administrator sistem apakah
file tersebut harus diperbarui. Artinya, terjadi pembaruan dalam mode
interaktif. Hal ini memungkinkan administrator sistem untuk memastikan bahwa tidak
ada file yang diperbarui tanpa review.
Menambahkan file lebih
kompleks daripada memperbarui atau menghapus file. Dalam kasus update dan
menghapus, entri database untuk file diganti dengan entri baru mencerminkan
keadaan saat file. Menambahkan file lebih kompleks karena tidak akan ada entri
untuk itu dalam file konfigurasi. Untuk mengatasi hal ini, Tripwire memilih
entri leluhur terdekat di file konfigurasi yang seleksi-topeng itu mewarisi.
Jika tidak ada entri tersebut ditemukan, file tersebut akan ditambahkan dengan
standar pemilihan-mask.
·
Tripwire
Versi pertama Tripwire ditulis oleh
Gene Kim dan Dr Eugene Spafford di Purdue University pada tahun 1992 dan
dirilis ke komunitas open source. Sejak tahun 1999 Tripwire Inc terus
berinovasi dan memperluas platform ke suite lengkap dari solusi keamanan. Perusahaan
Tripwire dikombinasikan dengan Pusat Log Tripwire dan baru VIA organisasi
bantuan platform yang mengelola insiden deteksi, keamanan penegakan kebijakan,
mengurangi serangan permukaan dan mengotomatisasi kepatuhan terhadap peraturan.
Platform Tripwire ini membantu menghubungkan keamanan untuk bisnis, menyediakan
visibilitas keamanan organisasi dan sikap kepatuhan sekaligus mengotomatisasi
tugas-tugas keamanan kompleks, mengurangi risiko secara keseluruhan.
IT Tripwire software
keamanan mengurangi resiko, menjamin sistem dan keamanan data, dan
mengotomatisasi kepatuhan terhadap peraturan. Persembahan Tripwire memecahkan
manajemen konfigurasi keamanan, pemantauan terus menerus, dan masalah deteksi
insiden yang dihadapi organisasi dari semua ukuran, seperti berdiri sendiri
atau solusi dalam konser dengan TI lainnya kontrol keamanan. "Keamanan dan
kepatuhan adalah nomor satu perhatian dari semua perusahaan, terlepas dari
ukuran ketika datang ke layanan cloud.. Tripwire membantu mengatasi ini
kepala-on "
Software
tripwire produk-produk, terintegrasi melalui tripwire VIA platform, melindungi
data sensitif Anda dan infrastruktur kritis dari pelanggaran, kerentanan, dan
ancaman. Atlantic Kredit & Keuangan, Inc Mengadopsi Tripwire VIA untuk
Keamanan Sistem Harden, Bertemu dan Mempertahankan Kepatuhan PCI. Tripwire
untuk Hadir di Cyber Security Summit 2012. Great River Energi Memanfaatkan
Perusahaan tripwire untuk NERC Kepatuhan dan Keamanan Pengerasan.
2. Honey Pot
Sebuah
pot madu adalah sistem komputer di Internet yang secara tegas diatur untuk
menarik dan "perangkap" orang-orang yang berusaha untuk menembus sistem komputer orang lain. (. Ini
termasuk hacker, cracker, dan kanak-kanak script)
Untuk mendirikan sebuah pot madu, dianjurkan agar
Anda:
·
Menginstal sistem
operasi tanpa patch
diinstal dan menggunakan default khas dan pilihan
·
Pastikan bahwa tidak ada data pada sistem yang
tidak dapat dihancurkan dengan
aman
·
Tambahkan
aplikasi yang dirancang untuk merekam kegiatan penyerbu
Mempertahankan panci madu dikatakan memerlukan sejumlah besar perhatian dan mungkin menawarkan sebagai tidak nilai tertinggi lebih dari pengalaman belajar (yaitu, Anda tidak dapat menangkap setiap hacker).
Mempertahankan panci madu dikatakan memerlukan sejumlah besar perhatian dan mungkin menawarkan sebagai tidak nilai tertinggi lebih dari pengalaman belajar (yaitu, Anda tidak dapat menangkap setiap hacker).
