Muhamad IqbalIntrusion Detection System (IDS) menggunakan SnortSabtu, 17 Mei 2014

XII TKJ ABpk. Dodi Permana S.PdIbu. Asyifa Imanda

1. PendahuluanIntrusion Detection Systems (IDS) adalah sistem yang dapat memberikan peringatan daninformasi tentang perilaku yang dicurigai sebagai intrusion. Tujuan dari IDS adalahmeminimalkan perkiraan kerugian dari intrusion. Jadi pastikan bahwa IDS yang digunakan itumemiliki teknologi sbb :A. Akurasi yang tinggi.Akurasi merupakan ketelitian, jadi IDS yang baik itu harus memiliki ketelitian yang baik untukmengenal tindakan-tindakan penyerangan. Pada saat ini sudah banyak IDS yang memiliki levelketelitian yang sangat tinggi, mampu secara realtime mendeteksi dan melakukan 'blocking'terhadap tindakan-tindakan yang mencurigakan. Tidak hanya itu, IDS juga harus mampumemeriksa dan menganalisa secara menyeluruh paket-paket data yang dipergunakan.Membedakan paket data yang keluar masuk dalam lalu lintas jaringan pun harus dapatdihandalkan sehingga dapat mengenal benar karakteristik traffic penyerang.Untuk dapat melakukan hal tersebut, maka diperlukan IDS dengan karakterisitik : Mampu menganalisa protokol dari semua sumber lalu lintas data (trafic) Mampu menganalisa protokol secara stateful untuk Layer 3 sampai Layer 7 Mampu melakukan perbandingan secara Context-base, multiple-trigger, multiple-pattern Signature dengan tujuan bisa mengenal dan mengetahui jenis exploit yangdipergunakan. Mampu melakukan 'Forward' dan 'Backward' apabila terjadi proses overlap(penumpukan data) pada IP Fragmen (Layer 3) Mampu melakukan 'Forward' dan 'Backward' apabila terjadi proses overlap(penumpukan data) pada TCP Segment Mampu melakukan 'Forward' dan 'Backward' apabila terjadi kerancuan danketidakberesan didalam implementasi protokol (layer 4) Mampu melakukan kontrol pada tingkat aplikasi protokol seperti : HTTP, FTP, Telnet,RPC Fragmentasi, SNMP (Layers 6 and 7)B. Mampu mencegah serangan dan tidak hanya mendeteksi.Jangan gunakan IDS yang hanya dapat mendeteksi serangan saja, tapi gunakan IDS yang sudahmampu melakukan pencegahan terhadap serangan. IDS yang baik tidak memiliki batasanmetoda pendeteksian dan dapat dipercaya dalam mencegah suatu serangan.Pencegahan serangan dapat dipenuhi oleh IDS jika IDS memiliki karakteristik : Dapat beroperasi secara in-line Memiliki kehandalan dan ketersediaan Deliver high performance Kebijakan policy pada IDS bisa diaturC. Memiliki cakupan yang luas dalam mengenal proses attackingIDS harus memiliki pengetahuan yang luas, bisa mengenal apa yang tidak dikenalnya, mampumelakukan deteksi DoS mempergunalan analisis 'signature' dan mampu menditeksi segalasesuatu yang mencurigakan.Untuk memenuhi kriteria ini IDS harus : Mampu melakukan proses deteksi trafic dan pembersihan terhadap host (Layer 3 - 7) Mampu malakukan 'scanning' TCP dan UDP Mampu memeriksa keberadaan 'Backdoor'D. Hasil analisis terhadak trafik bisa diterimaKarena banyak paket data yang keluar masuk maka IDS harus mampu menangani area data yangsangat luas, bisa ditempatkan didalam topologi yang berbeda, dapat dihadapkan dengan switchdan data yang terenkripsi.E. Dapat memberikan informasi tentang ancaman2 yang terjadiF. Memiliki tingkat Forensik yang canggih dan mampu menghasilkan reporing yang baikG. Memiliki sensor yang dapat dipercaya untuk memastikan pendeteksian danpencegahan.Jenis-jenis IDSAda dua jenis IDS, yakni:- Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir kesebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan ataupenyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringanpenting di mana server berada atau terdapat pada "pintu masuk" jaringan. Kelemahan NIDSadalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakanswitch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsiIDS di dalam switch buatannya untuk memonitor port atau koneksi.- Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individualakan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atautidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall,web server, atau server yang terkoneksi ke Internet.Implementasi & Cara Kerja

Cara kerja IDS dan jenis serangan yang mampu ditangkalnyaAda beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah denganmenggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapaantivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnyaantivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yangbersangkutan.Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistikuntuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasaterjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapatmendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS.Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugasadministrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakanserangan yang sebenarnya dari banyaknya laporan false positive yang muncul.Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yaknidengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi,utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunyamelakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidakbiasa.2. TopologiRepo Server 172.16.10.3 1

IDS Server 172.16.1.10 1

Client 172.16.1.10 1

3. TujuanAgar siswa dapat memahami dan mempraktekan sistem keamanan jaringan pada suatu servermenggunakan teknologi IDS.4. Alat dan BahanPC/ LaptopSotware VirtualBoxOS Ubuntu 12.04OS Windows XP

5. Langkah Kerja1. Install paket yang dibutuhkan

2. Edit konfigurasi snort # nano /etc/snort/snort.conf3. Masukan konfigurasi network address yang akan dimonitoring

4. Masukan konfigurasi database yang akan digunakan snort

5. Berikan clash pada semua include rule_path, kecuali yang teratas

6. Masuk ke aplikasi mysql

-Buat database snort-berikan hak akses pada database snort untuk user snort-Bersihkan kebijakan

7. Masuk ke directory /usr/share/doc/snort-mysql# cd /usr/share/doc/snort-mysql8. Lalu cek isi directory# ls

9. Ekstrak create_mysql.gz# gzip d create_mysql.gz10. Masukan data yang telah terekstrak ke database snort # mysql u root p snort < create_mysql

11. Edit konfigurasi local.rules snort# nano /etc/snort/rules/local.rules

12. Masukan peraturan yang ingin kita terapkan pada snort

13. Edit konfigurasi acidbase# nano /etc/acidbase/apache.conf

14. Ubah hak akses ke acidbase

15. Restart service apache2#invoke-rc.d apache2 restart

16. Listen snort pada eth1 dengan peraturan snort.conf# snort c /etc/snort/snort.conf i eth1

17. Hasil listen

18. IP pada Client

19. Hasil yang telah di setup

20. Hasil ping dan penditeksian snort

6. KesimpulanSnort bisa digunakan untuk mendeteksi sebuah aktifitas jaringan yang teratur dalam sebuah peraturan , Sistem keamanan jaringan dengan menggunakan IDS dapat mendeteksi berbagai jenis seranganpada suatu jaringan computer.