LAPORAN PRAKTIKUM KEAMANAN JARINGAN (SNORT) PDF

Preview

Summary

Nama : Muhammad Wahyu Ramadhan NRP : 2103141005 Kelas : 3 D3 IT A LAPORAN PRAKTIKUM KEAMANAN JARINGAN A. TUJUAN PEMBELAJARAN  Mengenalkan pada mahasiswa tentang konsep Intrusion Detection System.  Mahasiswa mampu melakukan installasi dan konfigurasi SNORT sebagai tools IDS.  Mahasiswa mampu memba...

Description

Nama NRP Kelas

: Muhammad Wahyu Ramadhan : 2103141005 : 3 D3 IT A

LAPORAN PRAKTIKUM KEAMANAN JARINGAN A. TUJUAN PEMBELAJARAN  Mengenalkan pada mahasiswa tentang konsep Intrusion Detection System.  Mahasiswa mampu melakukan installasi dan konfigurasi SNORT sebagai tools IDS.  Mahasiswa mampu membangun rule baru untuk mendeteksi eksploit terbaru. B. DASAR TEORI Deteksi penyusupan adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis. Program yang dipergunakan biasanya disebut sebagai Intrusion Detection System (IDS). Tipe dasar dari IDS adalah:  Rule-based systems - berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan.  Adaptive systems - mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru. Bentuk yang sering dipergunakan untuk komputer secara umum adalah rule-based systems. Pendekatan yang dipergunakan dalam rule-based systems ada dua, yakni pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah waktu saja. Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintas jaringan. Jika ditemukan paket yang mencurigakan, maka program akan melakukan tindakan yang perlu. Pendekatan reaksi, program pendeteksi penyusupan hanya mengamati file log. Jika ditemukan paket yang mencurigakan, program juga akan melakukan tindakan yang perlu. Snort Mengoperasikan Snort Tiga (3) buah mode, yaitu 1. Sniffer mode, untuk melihat paket yang lewat di jaringan. 2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari. 3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.

Sniffer Mode Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh perintahnya terdapat di bawah ini, #snort –v #snort –vd #snort –vde #snort –v –d –e dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu -v, untuk melihat header TCP/IP paket yang lewat. -d, untuk melihat isi paket. -e, untuk melihat header link layer paket seperti ethernet header. Packet Logger Mode Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama jika kita menggunakan ethernet berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian, sambil santai … Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah ./snort –dev –l ./log ./snort –dev –l ./log –h 192.168.0.0/24 ./snort –dev –l ./log –b perintah yang paling penting untuk me-log paket yang lewat adalah -l ./log yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan–b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII. Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah –r nama file log-nya, seperti, ./snort –dv –r packet.log ./snort –dvr packet.log icmp C. LANGKAH PERCOBAAN 1. Install ethtool Kita perlu menginstall beberapa library yang nantinya akan digunakan untuk menonaktifkan LRO dan GRO pada interface Snort : #apt-get install –y ethtool

2. Edit file interfaces dengan menggunkan perintah di bawah ini: #nano /etc/network/interfaces

3.

Untuk pengecheck kan apakah LRO dan GRO sudah keeadaan off

Installing the Snort Pre-Requisites 1. Install build-essential Kita perlu menginstall beberapa library yang nantinya akan digunakan untuk membangun software :

#apt-get iinstall -y build-essential

2. Install libpcap-dev libpcre3-dev libdumbnet-dev Kita perlu menginstall beberapa library Snort pre-requisites #apt-get iinstall -y libpcap-dev libpcre3-dev libdumbnet-dev 3

3. Buat folder bernama snort_src untuk menjadikan semua file dalam satu tempat

4. Install bison flex Snort DAQ memiliki beberapa prasyarat yang harus diinstal yaitu bison flex #apt-get iinstall -y bison flex

5. Men-download dan menginstal versi terbaru dari DAQ dari website Snort. Langkahlangkah di bawah ini digunakan wget untuk mendownload versi 2.0.6 dari DAQ, yang merupakan versi terbaru pada saat menulis panduan ini. Extrak file daq-2.0.6.tar.gz #tar -xvzf daq-2.0.6.tar.gz

#cd daq-2.0.6 #./configure #make #make install

Installing Snort 1. Install zlib1g-dev liblzma-dev openssl libssl-dev Kita perlu menginstall beberapa library yang nantinya akan digunakan untuk dekompresi file swf (adobe flash), openssl, dan libssl-dev yang baik memberikan SHA dan file MD5 #apt-get install -y zlib1g-dev liblzma-dev openssl libssl-dev

2. Men-download dan menginstal versi terbaru dari snort dari website Snort. Langkahlangkah di bawah ini digunakan wget untuk mendownload versi 2.9.8.3 dari Snort, yang merupakan versi terbaru pada saat menulis panduan ini. Extrak file snort-2.9.8.3.tar.gz #tar -xvzf snort-2.9.8.3.tar.gz #cd snort-2.9.8.3 #./configure --enable-sourcefire #make # make install

3. Jalankan perintah berikut untuk memperbarui shared library kemudian tempatkan symlink ke biner Snort di / usr / sbin:

4. Uji Snort

Configuring Snort to Run in NIDS Mode 1. Karena kita tidak ingin Snort untuk dijalankan sebagai root, kita perlu membuat account tidak memiliki hak istimewa dan kelompok untuk daemon untuk berjalan di bawah. Kami juga akan membuat sejumlah file dan direktori yang dibutuhkan oleh Snort, dan mengatur hak akses pada file-file. Snort akan memiliki direktori berikut: Konfigurasi dan file aturan di / etc / snort Alerts akan ditulis ke / var / log / snort aturan Disusun akan disimpan dalam / usr / local / lib / snort dynamicrules. Create the snort user and group:

Create the Snort directories:

Create some files that stores rules and ip lists:

Create our logging directories:

Adjust permissions:

Change Ownership on folders:

2. Untuk menyalin file konfigurasi dan dynamic preprocessors s, jalankan perintah berikut:

3. Edit snort.conf edit file snort.conf pada /etc/snort/snort.conf #nano /etc/snort/snort.conf

HOME NET harus sesuai jaringan internal Anda.

Edit beberapa data yang ada di snort.conf dengan perintah dibawah ini : var RULE_PATH /etc/snort/rules var SO_RULE_PATH /etc/snort/so_rules var PREPROC_RULE_PATH /etc/snort/preproc_rules var WHITE_LIST_PATH /etc/snort/rules/iplists var BLACK_LIST_PATH /etc/snort/rules/iplists

include $RULE_PATH/local.rules

4. Verifikasi snort Setelah file konfigurasi siap, kita akan memiliki Snort memverifikasi bahwa itu adalah file yang valid, dan semua file yang diperlukan itu referensi yang benar. #snort -T -i eth0 -c /etc/snort/snort.conf

Writing a Simple Rule to Test Snort Detection 1. Untuk menguji kemampuan deteksi Snort, mari kita membuat aturan sederhana yang akan menyebabkan Snort untuk menghasilkan peringatan setiap kali Snort melihat sebuah pesan "permintaan Echo" ICMP atau "Echo balasan", yang mudah yaitu menghasilkan dengan ping. #nano /etc/snort/rules/local.rules

Tuliskan baris berikut ke dalam kosong berkas aturan lokal: /etc/snort/rules/local.rules: alert icmp any any -> $HOME_NET any (msg:"ICMP test detected"; GID:1; sid:10000001; rev:001; classtype:icmpevent;)

2. Untuk memastikan bahwa barnyard2 tahu bahwa aturan kita buat dengan identifier unik 10.000.001 memiliki pesan "ICMP Uji Terdeteksi", serta beberapa informasi lain (lihat posting blog ini untuk informasi lebih lanjut). Tambahkan baris berikut ke file /etc/snort/sidmsg.map: #nano /etc/snort/sid-msg.map 1 || 10000001 || 001 || icmp-event || 0 || ICMP Test detected || url,tools.ietf.org/html/rfc792

3. Uji konfigurasi Setelah membuat perubahan pada konfigurasi Snort, kita harus menguji file konfigurasi lagi: #snort -T -c /etc/snort/snort.conf -i eth0

4. Jalankan perintah berikut pada host snort untuk mengetahui bahwa snort berjalan sesuai dengan peraturan yang kita buat #snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Dari komputer lain, ping alamat IP dari eth0 pada komputer Snort, dan Anda akan melihat konsol keluaran mirip dengan apa yang ditampilkan di bawah ini

Installing Barnyard2 1. Install Barnyard2 Kita perlu menginstall beberapa library yang nantinya akan digunakan untuk disimpan dalam database MySQL sehingga kita bisa melihat, pencarian, dan profil peristiwa. Untuk efisien mendapatkan acara Snort ke dalam database MySQL, kita menggunakan Barnyard2 #apt-get install -y mysql-server libmysqlclient-dev mysql-client autoconf libtool

2. Edit snort.conf Pertama kita perlu memberitahu bahwa Output alert dalam format biner yang Barnyard2 dapat memproses. Untuk melakukan itu, edit file /etc/snort/snort.conf, tambahkan baris berikut: #nano /etc/snort/snort.conf

3. Men-download dan menginstal versi terbaru dari Barnyard dari website Snort. Langkahlangkah di bawah ini digunakan wget untuk mendownload Barnyard, yang merupakan

versi terbaru pada saat menulis panduan ini. Kemudian Extrak file yang terlah di download

4. Barnyard2 membutuhkan akses ke perpustakaan dnet.h, yang kita dipasang dengan libdumbnet paket Ubuntu sebelumnya. Namun, Barnyard2 mengharapkan nama file yang berbeda untuk perpustakaan ini. Membuat link lunak dari dnet.h ke dubmnet.h sehingga tidak ada masalah. 5. Sekarang lengkap membangun dan menginstal Barnyard2 ke / usr / local / bin / barnyard2: #cd /usr/local/bin/barnyard2-2-1.14-336

# ./reconfigure -- with-mysql --with-mysql-libraries=/usr/lib/x86_64-linux-gnu #make #sudo make install

6. Setelah Barnyard2 terinstal, langkah berikutnya adalah untuk menyalin dan membuat beberapa file yang Barnyard2 membutuhkan untuk menjalankan: #cd /snort_src/barnyard2-2-1.14-336 # cp etc/barnyard2.conf /etc/snort #mkdir /var/log/barnyard2 #chown snort.snort /var/log/barnyard2 #touch /var/log/snort/barnyard2.waldo #chown snort.snort /var/log/snort/barnyard2.waldo

7. Membuat Database Barnyard2 menyimpan peringatan ke database MySQL kita, kita perlu untuk membuat database, serta '' MySQL user untuk mengakses database tersebut. Jalankan perintah berikut untuk membuat database dan MySQL user. Ketika diminta untuk password, gunakan MySqlROOTpassword. Anda juga akan menetapkan MySQL sandi pengguna dalam perintah mysql keempat (untuk MySqlSNORTpassword)

# mysql -u root -p mysql> create database snort; mysql> use snort; mysql> source ~/snort_src/barnyard2-2-1.14-336/schemas/create_mysql mysql> CREATE USER ͂snort̓@̓localhost̓ IDENTIFIED BY ͂MySqlSNORTpassword̓; mysql> grant create, insert, select, delete, update on snort.* to ͂snort̓@̓localhost̓; mysql> exit

8. Edit barnyard2.conf Kita perlu memberitahu Barnyard2 bagaimana menghubungkan ke database MySQL. Mengedit /etc/snort/barnyard2.conf, dan pada akhir file tambahkan baris ini (mengubah password dengan yang Anda buat di atas): # nano /etc/snort/barnyard2.conf

9. Setelah password disimpan dalam format teks dalam file barnyard2.conf, kita harus mencegah pengguna lain dari membaca itu: Snort biasanya akan dijalankan ketika kita memasangnya sebagai daemon, kecuali kita tidak menggunakan bendera -D yang menyebabkan untuk menjalankan sebagai daemon).

10. Anda akan melihat file baru di / var / log / direktori dengan nama sebagai berikut:. snort.u2.xxx (nomor akan berbeda karena mereka didasarkan pada waktu saat snort.log.xxx adalah file output yang kita dibuat ketika kami pertama kali diuji Snort Anda dapat menghapus file yang jika Anda ingin:

11. Barnyard2 akan memulai (bersabar, dapat mengambil beberapa waktu), dan kemudian akan memproses alert dalam file /var/log/snort/snort.u2.nnnnnnnnnn, menulis mereka untuk kedua layar dan database, dan kemudian menunggu lebih acara untuk tampil di / var / log / snort direktori. menggunakan Ctrl-c untuk menghentikan proses. Ketika Barnyard2 sedang memproses peristiwa. 12. Jika berhasil, maka Anda akan mendapatkan output sebagai berikut, yang menunjukkan 14 peristiwa ditulis ke database dari permintaan ICMP dan membalas paket (ketika Anda ping dari sistem windows, itu akan secara default mengirim 7 pesan ICMP.

Install PulledPork pre-requisites Sebelum melakukan installasi PulledPork, kita perlu men-install beberapa library yang nantinya akan digunakan untuk menjalankan PulledPork. Library yang diambil adalah libcrypt-ssleay-perl dan liblwp-useragent-determined-perl.

4. Install dan konfigurasi PulledPork

Melakukan installasi PulledPork dengan cara mengunduh secara manual di https://github.com/finchy/pulledpork/archive/8b9441aeeb7e1477e5be415f27dbc4eb 25dd9d59.tar.gz melalui Host OS dan mengubah namanya menjadi pulledpork-0.7.2196.tar.gz. Kemudian Guest OS 1 (10.252.108.198) melakukan ssh ke Host OS (10.252.108.159) untuk mengambil file tadi yang telah diunduh dengan menggunakan scp. Setelah itu, mengekstrak file tersebut dengan perintah #tar xvfvz pulledpork-0.7.2-196 dan memindahkannya ke dalam folder yang bernama pulledpork-0.7.2-196. Hal tersebut dilakukan seperti gambar dibawah ini:

Kemudian dilakukan konfigurasi dengan melakukan men-copy file pulledpork.pl dan semua file yang memiliki type file “*.conf*” dan juga menambahkan hak akses file pada file pulledpork.pl pada direktori /usr/local/bin/.

Lalu dilakukan pengecekan aplikasi PulledPork untuk memastikan palikasi tersebut berjalan

atau

tidak

yang

dapat

dilakukan

dengan

perintah

#:/usr/local/bin/pulledpork.pl –V. Jika installasi berhasil maka output yang dihasilkan adalah sebagai berikut:

5. Konfigurasi Pulledpork

Untuk melakukan konfigurasi PulledPork yaitu dengan cara mengubah isi dari file /etc/snort/pulledpork.conf. Berikut ini adalah baris-baris yang diubah adalah sebagai berikut: rule_url=https://ww.snort.org/rules/|snortrules-snapshot.tar.gz| rule_url=https://ww.snort.org/rules/|opensource.gz| rule_path=/etc/snort/rules/snort.rules local_rules=/etc/snort/rules/local.rules sid_msg=/etc/snort/sid-msg.map sid_msg_version=2 config_path=/etc/snort/snort.conf distro=Debian-6-0 black_list=/etc/snort/rules/iplists/black_list_rules IPRVersion=/etc/snort/rules/iplists

Setelah proses konfigurasi selesai, langkah berikutnya yaitu menjalankan perintah #/usr/local/bin/pulledpork.pl -c /etc/snort/pulledpork.conf -l. Yang mana -l digunakan untuk menulis detail log di /var/log. Dan untuk -c /etc/snort/snort.conf digunakan untuk menunjukkan lokasi penyimpanan di PulledPork. Kemudian setelah perintah tersebut dilakukan maka file pulledpork akan aktif dan melakukan update rules yang akan diambil pada url yang telah dikonfigurasi pada file pulledpork.conf.

Tetapi dari melakukan perintah di atas, disini terdapat sebuah permasalahan atau error dikarenakan gagalnya mengunduh rule yang akan diaktifkan pada PulledPork....