Materi Keamanan Jaringan Portsentry, Ossec, ModSecurity, dan Snort

Materi Keamanan Jaringan Portsentry, Ossec, ModSecurity, dan Snort
1. Portsentry

Portsentry merupakan tools yang digunakan untuk menghindari berbagai aktifitas scanning (terutama stealth scanning) yang dilakukan oleh hacker. Portsentry dapat mengingat ip address dari si hacker. Portsentry juga dapat membuat server kita seolah-olah menghilang dari hadapan hacker bilamana terjadi aktifitas scanning dan juga dapat memblok IP hacker tersebut juga secara otomatis. Tujuannya adalah untuk melindungi dari scanning yang dilakukan oleh pihak lain.
Dari sekian banyak hal yang paling banyak di takuti orang pada saat mengkaitkan diri ke Internet adalah serangan virus & hacker. Penggunaan Software Firewall akan membantu menahan serangan dari luar. Pada kenyataan di lapangan, menahan serangan saja tidak cukup, kita harus dapat mendeteksi adanya serangan bahkan jika mungkin secara otomatis menangkal serangan tersebut sedini mungkin. Proses ini istilah keren-nya Intrusion Detection.
PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning. Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet. Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. Terus terang, cara meresponds PortSentry cukup sadiz, jika ada mesin yang tertangkap basah melakukan port scan terhadap Server yang kita miliki maka secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita. Bagi mesin yang sial tersebut, maka jangan berharap untuk melakukan hubungan ke Server yang kita miliki.
PortSentry dapat di download secara gratis & tidak melanggar HAKI dari Psionic Software http://www.psionic.com. Selain PortSentry juga tersedia beberapa freeware di http://www.psionic.com seperti Logcheck untuk audit software & HostSentry yang merupakan host based intrusion detection dan melihat jika ada login yang tidak normal. Bagi anda yang menggunakan Linux Mandrake 8.0, PortSentry biasanya sudah di bawa bersama CD Mandrake 8.0 jadi tidak perlu terlalu pusing lagi dengan mendownload dari Internet.
Beberapa fitur utama dari PortSentry:
  • Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
  • Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
  • PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
  • PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir.
  • PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail.

2. OSSEC 

Ossec adalah sistem deteksi intrusi berbasis open-source berbasis internet (HIDS). Ini melakukan analisis log , pemeriksaan integritas, pemantauan registri Windows , deteksi rootkit, peringatan berbasis waktu, dan respons aktif. Ini menyediakan deteksi intrusi untuk sebagian besar sistem operasi, termasuk Linux , OpenBSD , FreeBSD , OS X , Solaris dan Windows . OSSEC memiliki arsitektur cross-platform terpusat yang memungkinkan beberapa sistem dipantau dan dikelola dengan mudah.
Pada bulan Juni 2008, proyek OSSEC dan semua hak cipta yang dimiliki oleh Cid, pemimpin proyek, diakuisisi oleh Brigade Ketiga, Inc. Mereka berjanji untuk terus memberikan kontribusi kepada komunitas open source dan untuk memperluas dukungan komersial dan pelatihan kepada sumber terbuka OSSEC masyarakat.
Pada bulan Mei 2009, Trend Micro mengakuisisi Brigade Ketiga dan proyek OSSEC, dengan janji untuk tetap memperbaruinya dan bebas. Hal ini sesuai dengan persyaratan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS).
OSSEC terdiri dari aplikasi utama, Windows agent, dan web antarmuka :
·         Aplikasi utama , OSSEC, yang dibutuhkan untuk jaringan terdistribusi atau instalasi yang berdiri sendiri . Ini didukung oleh lingkungan Linux, Solaris, BSD, dan Mac.
·         Windows agent , yang disediakan untuk lingkungan Microsoft Windows. Aplikasi utama perlu diinstal dan dikonfigurasi untuk mode server untuk mendukung Windows Agent.
·         Antarmuka web , yang sebagai aplikasi terpisah menyediakan antarmuka pengguna grafis . Seperti aplikasi utama, didukung oleh lingkungan Linux, Solaris, BSD, dan Mac.

3. Modsecurity

Modsecurity adalah firewall aplikasi web (WAF). Dengan lebih dari 70% dari serangan sekarang dilakukan pada tingkat aplikasi web, organisasi membutuhkan semua bantuan yang mereka bisa mendapatkan dalam membuat sistem mereka aman. WAF dikerahkan untuk meningkatkan lapisan keamanan eksternal untuk mendeteksi dan / atau mencegah serangan sebelum mereka mencapai aplikasi web. ModSecurity memberikan perlindungan dari berbagai serangan terhadap aplikasi web dan memungkinkan untuk pemantauan lalu lintas HTTP dan analisis real-time dengan sedikit atau tanpa perubahan infrastruktur yang ada.

ModSecurity merupakan open-source Web Application Firewall (WAF) untuk Apache Nginx dan web server IIS. firewall lapisan aplikasi ini dikembangkan oleh SpiderLabs Trustwave dan dirilis di bawah Apache License 2.0. ModSecurity melindungi website dari hacker dengan menggunakan seperangkat aturan ekspresi reguler untuk menyaring eksploitasi dikenal, memungkinkan pemantauan HTTP lalu lintas, penebangan, analisis real-time, dan deteksi serangan. Ada lebih dari 16.000 peraturan yang tersedia untuk mendeteksi serangan seperti SQL Injection, Cross-site Scripting (XSS), File Inclusion lokal, Remote File Inclusion dan aturan khusus aplikasi untuk banyak aplikasi web seperti Wordpress, Joomla, Drupal dll.

4. Snort

Snort adalah NIDS yang bekerja dengan menggunakan signature detection, berfungsi juga sebagai sniffer dan packet logger. Snort pertama kali di buat dan dikembangkan oleh Marti Roesh, lalu menjadi sebuah opensource project. Versi komersial dari snort dibuat oleh Sourcefire (www.sourcefire.com).Snort memiliki karakteristik, sebagai berikut:
1.           Berukuran kecil – Source code dan rules untuk rilis 2.1.1 hanya 2256k.
2.           Portable untuk banyak OS – Telah diporting ke Linux, Windows, OSX, Solaris, BSD,dll.
3.           Cepat – Snort mampu mendeteksi serangan pada network 100Mbps.
4.           Mudah dikonfigurasi – Snort sangat mudah dikonfigurasi sesuai dengan kebutuhan network kita. Bahkan kita juga dapat membuat rule sendiri untuk mendeteksi adanya serangan baru.
5.           Free – Kita tidak perlu membayar sepeser pun untuk menggunakan snort. Snort bersifat open source dan menggunakan lisensi GPL.
A. Komponen Snort
Snort merupakan packet sniffing yang sangat ringan. Snifing interface yang digunakan berbasis libpcap (pada Unix tersedia dengan tcpdump, www.tcpdump.org). Pembuat snort sangat fokus pada engine yang digunakan untuk mendeteksi serangan dan memanfaatkan tools tcpdump untuk mengambil paket network. Salah satu keunggulan snort adalah bahwa snort memiliki plugin sistem yang sangat fleksibel untuk dimodifikasi.
Snort memiliki beberapa komponen yang tiap komponennya mempunyai tugas masing-masing. Pada saat ada paket network yang melewati Ethernet di tempat snort dipasang, maka ada beberapa hal yang dilalui:
1.           Packet capture library (libpcap).
Packet capture library – akan memisahkan paket data yang melalui ethernet card untuk selanjutnya digunakan oleh snort.

2.           Packet decoder.
Packet decoder – mengambil data di layer 2 yang dikirim dari packet capture library(proses 1). Pertama ia akan memisahkan Data link (seperti ethernet, TokenRing, 802.11) kemudian protokol IP, dan selanjutnya paket TCP dan UDP. Setelah pemisahan data selesai, snort telah mempunyai informasi protokol yang dapat diproses lebih lanjut.

3.           Preprocessor.
Selanjutnya dilakukan analisis (preprocessor) atau manipulasi terhadap paket sebelum dikirim ke detection engine. Manipulasi paket dapat berupa ditandai, dikelompokan atau malah dihentikan.

4.           Detection Engine.
Inilah jantung dari snort. Paket yang datang dari packet decoder akan ditest dan dibandingkan dengan rule yang telah ditetapkan sebelumnya. Rule berisi tanda-tanda (signature) yang termasuk serangan.

5.           Output.
Output yang dihasilkan berupa report dan alert. Ada banyak variasi output yang dihasilkan snort, seperti teks (ASCII), XML, syslog, tcpdump, binary format, atau Database (MySQL, MsSQL, PostgreSQL, dsb).

B. Memilih lokasi Snort
Hal terakhir yang harus kita ketahui, sekaligus menjadi faktor yang menentukan keefektifan dari snort adalah ‘lokasi’. Ini sangat penting terlebih jika jaringan yang kita kelola berukuran besar. Oleh karena itu, sebelum memulai menginstal snort, tentukan terlebih dahulu apa yang akan kita lindungi, apakah:
1.           Single server
2.           Sekelompok server
3.           Semua subnet
Setelah kita selesai menentukan apa yang akan dimonitor, maka kita bisa leluasa menentukan dimana akan meletakan snort. Jadi untuk menempatkan snort tergantung kepada apa yang akan kita monitor.
Network biasanya menggunakan firewall untuk memisahkan server publik ke dalam De-Militarized Zone (DMZ) dan jaringan lokal ke dalam internal NAT network. Hal-hal yang penting untuk diketahui, adalah:
1.           DMZ – adalah daerah untuk menempatkan server publik yang sering diakses melalui internat. Server seperti email, web, atau ftp bisa kita letakan di sini secara berkelompok. Biasanya zone di daerah ini banyak mengalami lalu lintas data dari internet.
2.           NAT (Network Address Translation) adalah cara untuk menyembunyikan beberapa komputer yang menggunakan IP private di belakang IP publik. Dengan menggunakan NAT, komputer internal di jaringan tetap bisa menggunakan internet meskipun menggunakan IP private. Tetapi sebaliknya, pengguna internet tidak bisa mengenali workstation yang ada di dalam NAT.
Mengapa kita perlu memisahkan kedua jaringan ini? Jika di suatu perusahaan hanya menggunakan internet untuk jaringan komunikasi internal seperti mengirim email atau browsing mungkin tidak menjadi masalah. Tetapi jika perusahaan juga membutuhkan server web atau email sendiri untuk menjalankan bisnisnya, maka berhati-hatilah, karena kita telah mempublikasikan kepada dunia tentang web site perusahaan kita. Artinya semua orang di dunia juga bisa bermain-main dan mengerjai server kita. Oleh karena itu, jika server yang terletak di DMZ misalnya berhasil ditembus olehcracker, maka kerusakan dapat diminimalkan karena mereka tidak dapat keluar dari DMZ ke jaringan internal. Jadi setiap kita menempatkan server publik, di situ juga harus dipasang snort. Jika jaringan kita menggunakan DMZ, maka setidaknyadilakukan hal-hal sebagai berikut :
1.           Buat satu port di switch DMZ sebagai monitoring port.
2.           Tambahkan perintah di file konfigurasi snort (snort.conf) untuk memonitor subnet tersebut.

 CARA KERJA :

 Salah satu aplikasi Linux yang dapat dipakai untuk meningkatkan keamanan komputer adalah Snort.  Secara garis besar, Snort adalah sebuah program yang memiliki tiga fungsi atau tiga modus operasi.  Snort dapat dipakai dalam packet sniffer mode sehingga bekerja sebagai sniffer sama seperti Wireshark.  Sama seperti Wireshark, Snort juga dapat menyimpan setiap packet yang di-capture ke dalam media penyimpan di moduspacket logger mode.  Akan tetapi berbeda dengan Wireshark, Snort dapat dipakai sebagai komponen NIDS dengan menjalankannya pada Network Intrusion Detection System (NIDS) mode.  Pada modus yang terakhir ini, Snort akan menganalisa packet  berdasarkan rule yang ada untuk mengenali adanya upaya serangan hacker.
Untuk memulai menggunakan Snort, download requirement serta source Snort, kemudian build & install.  Bagi yang memakai distro Ubuntu, libdnet di distro tersebut adalah library yang berbeda dengan yang dibutuhkan Snort. Di Ubuntu, libdnet adalah DECNet libraries, sementara yang dibutuhkan oleh Snort diganti namanya menjadi libdumpnet.  Sebaiknya download source dari Google Code, kemudian install ke lokasi /usr, bukan/usr/local.  Caranya adalah dengan menambahkan argumen – -prefix=/usr pada saat memanggil scriptconfigure.

Nama : Desy kurniati
Nim   : 141420231
Kelas : IF6IB
Dosen Pembimbing : Suryayusra, M.kom
Universitas Bina Darma Palembang


Komentar

Posting Komentar

Postingan populer dari blog ini

Pengamanan Komputer dengan Portsentry

Pengamanan Komputer dengan Portsentry Pada sistem keamanan dengan Intrusion Detection System (IDS), IDS akan memberitahukan kepada administrator jika ada penyusup yang memasuki jaringan. Namun jika hanya mengandalkan IDS sebagai pusat keamanan suatu jaringan komputer maka tidak cukup, karena IDS hanya mendeteksi serangan yang telah terjadi dan kemudian mengandalkan kecepatan respon dari administrator. Untuk mengatasi masalah tersebut, maka perlu penggabungan antara IDS dan firewall. Fungsi dari firewall adalah menentukan paket-paket yang layak melewati jaringan dan yang tidak layak melewati jaringan. Jika IDS dan firewall digabungkan maka akan menjadi IPS (Intrusion Prevention Sistem).  Ada 3 jenis IDS : 1.       Packet sniffer, untuk melihat paket yang melintas jaringan. 2.       Packet logger, untuk mencatat semua paket yang melintasi jaringan untuk dianalisis di kemudian hari. 3.       Intrus...
Baca selengkapnya
Gambar
Pengertian Remote Akses? Remote Access adalah kemampuan untuk terhubung dengan resource pada suatu jaringan (network) sentral dari suatu lokasi. Ini berarti menggunakan sebuah PC dan modem di suatu tempat, lewat kabel telepon, terhubung ke suatu PC atau server pada network utama suatu perusahaan.  Adapun oleh Utomo, dkk (2010) Remote access didefinisikan sebagai Remote access merupakan sistem yang bisa digunakan dalam pengendalian suatu manajemen jaringan, dimana administrator dapat dengan mudah mengontrol dan mengawasi setiap komputer client maupun server, berinteraksi dengan user, backup data, atau aktifitas lainnya. Sedangkan menurut Dhawan (1998) dalam Eliminate Guess Work (2010), Remote Access adalah kemampuan untuk terhubung dengan resource pada suatu network sentral dari suatu lokasi. Ini berarti menggunakan sebuah PC dan modem di satu tempat, lewat kabel telepon, terhubung kesuatu PC atau server pada network utama suatu perusahaan. Secara umum apl...
Baca selengkapnya