my music

Rabu, 24 Mei 2017

Keamanan Jaringan Menggunakan Open Source




            Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sementara itu, masalah keamanan ini masih seringkali kurang mendapat perhatian, seringkali masalah keamanan ini berada diurutan kedua, atau bahkan diurutan terakhir dalam daftar hal-hal yang dianggap kurang penting. Apabila menggangu informasi dari sistem,seringkali keamanan dikurangi atau ditiadakan (Rahardjo, 2002). Salah satu cara untuk meningkatkan keamanan server dalam jaringan adalah dengan firewall. Implementasi dari sistem firewall ini dapat berupa software ataupun hardware yang bersifat aktif dengan melakukan penyaringan paket data yang lewat berdasarkan pengaturan yang diinginkan. Portsentry merupakan salah satu program aplikasi firewall yang digunakan untuk menghalau berbagai macam aktifitas serangan seperti sasaran scanning keamanan maupun virus jaringan.
Ada dua elemen utama pembentuk keamanan jaringan :
a)        Tembok pengamanan (baik secara fisik maupun maya), yaitu suatu cara untuk memberikan proteksi atau perlindugan pada jarigan, baik secara fisik (kenyataan) maupun  maya (menggunakan software)
b)      Rencana pengamanan, yaitu suatu rancagan yang nantinya akan di implementasiakan uantuk melindugi jaringan agar terhindar dari berbagai ancaman dalam jaringan
Alasan keamanan jaringan sangat penting karena:
1.        Privacy / Confidentiality
a)      Defenisi : menjaga informasi dari orang yang tidak berhak mengakses.
b)      Privacy : lebih kearah data-data yang sifatnya privat , Contoh : e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator.
c)       Confidentiality : berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut.
d)      Contoh : data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya.
e)      Bentuk Serangan : usaha penyadapan (dengan program sniffer).
f)       Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi.
2.      Integrity
a)      Defenisi : informasi tidak boleh diubah tanpa seijin pemilik informasi. Contoh : e-mail di intercept di tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.
b)      Bentuk serangan : Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin, “man in the middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan menyamar sebagai orang lain
     3.         Authentication
a)      Defenisi : metoda untuk menyatakan bahwa informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud.
b)      Dukungan : adanya Tools membuktikan keaslian dokumen, dapat dilakukan dengan teknologi watermarking(untuk menjaga “intellectual property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat ) dan digital signature. Access control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses informasi. User harus menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya.
4.        Availability
a)      Defenisi : berhubungan dengan ketersediaan informasi ketika dibutuhkan.
Contoh hambatan : denial of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash, mailbomb, dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.


5.        Access Control
a)      Defenisi : cara pengaturan akses kepada informasi. berhubungan dengan masalah authentication dan juga privacy
b)      Metode : menggunakan kombinasi userid/password atau dengan menggunakan mekanisme lain.
6.        Non-repudiation
Defenisi : Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Dukungan bagi electronic commerce.
Pengertian Portsentry
Portsentry merupakan tools yang digunakan untuk menghindari berbagai aktifitas scanning (terutama stealth scanning) yang dilakukan oleh hacker. Portsentry dapat mengingat ip address dari si hacker. Portsentry juga dapat membuat server kita seolah-olah menghilang dari hadapan hacker bilamana terjadi aktifitas scanning dan juga dapat memblok IP hacker tersebut juga secara otomatis. Tujuannya adalah untuk melindungi dari scanning yang dilakukan oleh pihak lain.
Dari sekian banyak hal yang paling banyak di takuti orang pada saat mengkaitkan diri ke Internet adalah serangan virus & hacker. Penggunaan Software Firewall akan membantu menahan serangan dari luar. Pada kenyataan di lapangan, menahan serangan saja tidak cukup, kita harus dapat mendeteksi adanya serangan bahkan jika mungkin secara otomatis menangkal serangan tersebut sedini mungkin. Proses ini istilah keren-nya Intrusion Detection.
PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning. Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet. Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. Terus terang, cara meresponds PortSentry cukup sadiz, jika ada mesin yang tertangkap basah melakukan port scan terhadap Server yang kita miliki maka secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita. Bagi mesin yang sial tersebut, maka jangan berharap untuk melakukan hubungan ke Server yang kita miliki.
PortSentry dapat di download secara gratis & tidak melanggar HAKI dari Psionic Software http://www.psionic.com. Selain PortSentry juga tersedia beberapa freeware di http://www.psionic.com seperti Logcheck untuk audit software & HostSentry yang merupakan host based intrusion detection dan melihat jika ada login yang tidak normal. Bagi anda yang menggunakan Linux Mandrake 8.0, PortSentry biasanya sudah di bawa bersama CD Mandrake 8.0 jadi tidak perlu terlalu pusing lagi dengan mendownload dari Internet.
Beberapa fitur utama dari PortSentry:
1.      Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
2.      Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
3.      PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
4.      PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir.
5.      PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail.
6.      Dengan adanya berbagai fitur di atas maka system yang kita gunakan tampaknya seperti hilang dari pandangan penyerang. Hal ini biasanya cukup membuat kecut nyali penyerang.
7.      Penggunaan PortSentry sendiri sangat mudah sekali, bahkan untuk penggunaan biasa saja praktis semua instalasi default tidak perlu di ubah apa-apa dapat langsung digunakan. Instalasi PortSentry di Linux Mandrake 8.0 dapat dilakukan pada saat instalasi awal dengan memilih paket portsentry, atau setelah Linux di install dengan cara menggunakan Software Manager di desktop untuk menambahkan portsentry.
8.      Yang mungkin perlu di tune-up sedikit adalah file konfigurasi portsentry yang semuanya berlokasi di /etc/portsentry. Untuk mengedit file konfigurasi tersebut anda membutuhkan privilige sebagai root. Pengalaman saya selama ini, tidak banyak yang perlu di tune-up. Beberapa hal yang mungkin perlu di set adalah
9.      file /etc/portsentry/portsentry.conf merupakan konfigurasi utama portsentry. Disini secara bertahap diset port mana saja yang perlu di monitor, responds apa yang harus di lakukan ke mesin yang melakukan portscan, mekanisme menghilangkan mesin dari routing table, masukan ke host.deny. Proses setting sangat mudah hanya dengan membuka / menutup tanda pagar (#) saja. Pada kenyataannya, jika kita ambil dari distribusi Linux Mandrake, semua option di portsentry.conf yang ada kita diamkan saja portsentry sudah berjalan dengan baik.
10.  pada file /etc/portsentry/always_ignore masukan semua IP address di LAN yang harus selalu di abaikan oleh portsentry. Saya biasanya memasukan IP address desktop / laptop administrator LAN ke sini, agar tidak terblokir secara tidak sengaja.
11.  Pada file /etc/portsentry/portsentry.ignore isikan IP address yang perlu di abaikan sama dengan isi file /etc/portsentry/always_ignore.
12.  Pada file /etc/portsentry.modes kita dapat menset mode deteksi yang dilakukan portsentry. Semakin baik mode deteksi yang dipilih (advanced stealth TCP/UP scanning), biasanya PortSentry akan semakin sensitif & semakin rewel karena sedikit-sedikit akan memblokir mesin.

Gambar 1.1 Masuk super user
        Di bagian ini kita akan masuk ke grub linux dengan memasukan usernameroot dan password

Gambar 1.2. update
Semua sistem operasi pada prinsipnya menggunakan kernel, tapi jelas kernel yang mereka gunakan berbeda dengan kernel Linux yang ditulis oleh Linuz. Kernel yang digunakan oleh Linux sangat modular dan oleh karena itu banyak orang bisa ikut berkontribusi dalam pengembangan kernel ini, kendati pemantauan tetap dilakukan oleh Linuz.
Hampir setiap kali kernel baru dirilis untuk umum, biasanya kernel ini memperbaiki sisi keamanan atau kerentanan yang dimiliki oleh versi sebelumnya. Lubang keamanan yang ditutup dalam kernel versi baru biasanya di dapat dari laporan bug baik dari komunitas maupun dari personal pengguna Linux. Hal Ini mungkin adalah salah satu alasan paling penting untuk meng-update kernel Anda, karena Linux Anda akan menjanjikan keamanan  lebih dari versi terdahulu. Terlebih jika Anda mengunakannya sebagai server, melayani banyak client sehingga tingkat kerentanan untuk diretas begitu tinggi, maka dengan update kernel Anda sudah melakukan satu langkah yang baik untuk menghindari kerusakan pada sistem Anda.

Perbaikan Stabilitas
Mengupdate kernel tidak hanya memberikan keamanan yang lebih bagi sistem Anda, tetapi dapat memperbaiki masalah lain yang mungkin bisa membuat sistem crash melalui penggunaan normal. Dalam kernel versi lawas mungkin beberapa aplikasi yang Anda pakai tidak berjalan dengan normal atau sering crash, maka update kernel mungkin salah satu solusi. Namun perlu di ingat bahwa tidak semua aplikasi yang crash ditimbulkan oleh kernel, tapi biasanya kernel baru menjanjikan sesuatu yang lebih stabil untuk aplikasi Anda.

Driver yang telah diperbarui

Isu tentang kompatibel nya sebuah pergankat keras dengan Linux telah menjadi isu yang paling santer terdengar sejak kemunculan Linux ke permukaan. Namu dewasa ini masalah tersebut telah sedikit meredup dengan perbaikan kernel secara terus menerus dan berkat kemudahan yang ditawarkan oleh distribusi Linux sehingga pengguna tidak perlu lagi menkompail secara manual driver mereka. Untuk perangkat keras keluaran lama biasanya sudah didukung oleh Linux. Namun bagaimana dengan perangkat keras keluaran baru, dimana saat peluncuran nya kernel versi baru belum keluar ? Ya hal ini membutuhkan usaha lebih. Namun jika Anda bisa bersabar maka tunggulah Kernel versi baru dan segera lakukan update, jika masih belum juga didukung maka langkah yang Anda lakukan adalah memberikan laporan tentang perangkat yang anda gunakan.


Fitur Baru Kernel

      Kadang-kadang, pembaruan kernel Linux juga membawa beberapa fungsi baru.Fungsi-fungsi ini pada dasarnya adalah program dari kernel yang  dapat digunakan untuk melakukan semacam tugas atau sebuah operasi.

Peningkatan kecepatan

Last but not least, update ke kernel dapat meningkatkan kecepatan keseluruhan sistem. Kadang-kadang, orang tidak dapat mengetahui perbedaan mendasar dalam kernel yang mereka pakai. Namun tidak sedikit yang mengalami penurunan kinerja sistem operasi Linux mereka setelah melakukan update kernel, mungkin hal ini terjadi karena beberapa aplikasi, hardware tidak cocok dengan kernel baru, dan jika mengalami masalah ini, maka kembalilah menggunakan kernel versi lama Anda.

Gambar 3 installasi portsentry
Pada tahap ini kita menginstal porsentry ,porsentry adalah sebuah aplikasi scan dan untuk memonitoring sebuah jaringan

Gambar 4 printah masuk configurate portsentry
Pada tahap ini perintah nano/etc/porsentry/portsentri.cof itu perintah untuk masukke konfig porsentry

Gambar 5 konfigurasi advance_ports TCP dan UDP
          Pada server IDS terdapat file konfigurasi yang ada di direktori /etc/portsentry/portsentry.conf untuk mereject koneksipenyerang dengan iptables dan memfilter IP host penyerangmelalui TCP wrapper. Untuk mengedit file /etc/portsentry/portsentry.conf dengan cara mengetikkan perintah # nano /etc/portsentry/portsentry.conf.

Gambar 6 konfigurasi Blocking TCP dan UDP scans
Pada gambar 5 memperlihatkan konfigurasi blocking UDP/TCP scans pada ignore options , memilih angka 1 untuk memblock jika terjadi scanning port TCP dan UDP
Pada server IDS coba lakukan scanning port sendiri dengan menggunakan perintah # nmap localhost untuk mengetahui port yang dibuka dan dicek oleh portsentry tetapi harus menginstall program nmap di linux dengan mengetikkan perintah apt-get install nmap yang sudah terkoneksi dengan internet.

Gambar 7 port yang dibuka dan dicek oleh Portsentry
Pada server IDS menjalankan perintah # tail –f /var/log/syslog untuk mengetahui aktifitas portsentry melalui data syslog seperti pada gambar 8.


Gambar 8 Aktifitas Portsentry melalui Data Syslog



Kesimpulan

1. Portsentry dapat mendeteksi aktifitas dari scanner super scan 4 dan NMap pada jaringan komputer pada semua mode portsentry dengan sebagaimana mestinya.
2. Syslog dapat mendeteksi aktifitas dari scanner angry IP scanner hanya pada mode atcp/audp dan stcp/sudp dengan pendeteksian yang terbatas. Portsentry hanya dapat menunjukkan kejanggalan pada sistem komputer melalui syslog akan tetapi tidak dapat mengenali dan mengidentifikasi aktifitas scanner.
3. Portsentry tidak dapat mendeteksi aktifitas dari sniffer wireshark pada jaringan komputer.
4. Penggunaan portsentry berpengaruh terhadap kecepatan transfer data rate pada jaringan.
5. Prosentase selisih kecepatan transfer data rate antara client ubuntu dengan client Windwos 8 dengan koneksi peer-to-peer antara server dan client adalah sebagai berikut: pada server portsentry tidak aktif 7.5%, pada server portsentry mode tcp/udp 7.8%, pada server portsentry mode atcp/audp 8.3%, dan pada server portsentry mode stcp/sudp 8.3% lebih cepat Ubuntu.


  Nama        : Doddy Octarino
  Nim          : 141420127
  Kelas        : IF6IB
  Dosen      : Surya Yusra
  Universitas Binadarma Palembang








Minggu, 14 Mei 2017

Definisi ModSecurity, Ossec, snort, dan Port Sentry


ModSecurity

            ModSecurity adalah open source, aplikasi firewall aplikasi cross-platform web (WAF). Dikenal sebagai "Swiss Army Knife" dari WAFs, ini memungkinkan pembela aplikasi web untuk mendapatkan visibilitas ke lalu lintas HTTP (S) dan memberikan bahasa aturan kekuatan dan API untuk menerapkan perlindungan lanjutan.
  
Aturan-aturan ini akan menargetkan serangan Common aplikasi Web:

# Command eksekusi serangan
SecFilter / etc / password
SecFilter / bin / ls
# Directory traversal serangan
SecFilter "\. \. /"
# XSS serangan
SecFilter "<(.| \ n) +> "
SecFilter "<[[: space:]] * script "

# Serangan injeksi SQL
SecFilter "delete [[: space:]] + dari"
SecFilter "insert [[: space:]] + menjadi"
SecFilter "pilih. + Dari"

# MS SQL serangan injeksi SQL spesifik
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey

            Lalu, untuk mengetuhi request yang kita ajukan dari http diblok mod_security atau tidak dari mana ? Ini pertanyaan bagus, sering Aku menemukan error yang hanya pada request di url tertentu seperti edit artikel dan edit page [ini yang sering Aku temui]. Lalu, apa tanda bahwa request kita terkena firewall mod_security ?
Dibawah ini beberapa error ketika request terkena mod_sec [mod_security]
- 403 Forbidden
- Not Acceptable An appropriate representation of the requested resource bla bla bla
- Method Not Implemented
Apa yang dapat dilakukan ModSecurity, berikut ini adalah daftar skenario penggunaan yang paling penting:
1.      Pemantauan keamanan aplikasi real-time dan kontrol akses
Intinya, ModSecurity memberi Anda akses ke arus lalu lintas HTTP, secara real-time, beserta kemampuan untuk memeriksanya. Ini cukup untuk pemantauan keamanan real-time. Ada dimensi tambahan dari apa yang mungkin dilakukan melalui mekanisme penyimpanan permanen ModSecurity, yang memungkinkan Anda melacak elemen sistem dari waktu ke waktu dan melakukan korelasi peristiwa. Anda dapat dengan andal memblokir, jika Anda menginginkannya, karena ModSecurity menggunakan permintaan dan penyangga respons penuh.
2.      Pelacakan lalu lintas HTTP penuh
Server web secara tradisional sangat sedikit dalam hal penebangan untuk tujuan keamanan. Mereka log sangat sedikit secara default, dan bahkan dengan banyak tweaker Anda tidak bisa mendapatkan semua yang Anda butuhkan. Saya belum menemukan server web yang bisa mencatat data transaksi penuh. ModSecurity memberi Anda kemampuan untuk mencatat apapun yang Anda butuhkan, termasuk data transaksi mentah, yang penting untuk forensik. Selain itu, Anda bisa memilih transaksi yang ditukarkan, bagian mana dari transaksi yang masuk, dan komponen mana yang disterilkan.
3.      Penilaian keamanan pasif terus-menerus 
Penilaian keamanan sebagian besar dilihat sebagai peristiwa terjadwal aktif, di mana tim independen bersumber untuk mencoba melakukan serangan simulasi. Penilaian keamanan pasif terus-menerus adalah variasi pemantauan real-time, di mana, alih-alih berfokus pada perilaku pihak eksternal, Anda berfokus pada perilaku sistem itu sendiri. Ini adalah sistem peringatan dini yang bisa mendeteksi jejak banyak kelainan dan kelemahan keamanan sebelum dieksploitasi.
4.      Pengerasan aplikasi web
Salah satu kegunaan favorit saya untuk ModSecurity adalah pengurangan permukaan serangan, di mana Anda secara selektif mempersempit fitur HTTP yang bersedia Anda terima (misalnya, metode permintaan, permintaan header, jenis konten, dll.). ModSecurity dapat membantu Anda dalam menerapkan banyak pembatasan serupa, baik secara langsung, atau melalui kolaborasi dengan modul Apache lainnya. Mereka semua jatuh di bawah pengerasan aplikasi web. Sebagai contoh, adalah mungkin untuk memperbaiki banyak masalah manajemen sesi, serta kerentanan pemalsuan permintaan lintas situs.
5.      Sesuatu yang kecil, namun sangat penting bagimu
Kehidupan nyata sering kali menimbulkan tuntutan yang tidak biasa kepada kita, dan saat itulah fleksibilitas ModSecurity sangat berguna dimana Anda membutuhkannya. Ini mungkin kebutuhan keamanan, tapi mungkin juga sesuatu yang sama sekali berbeda. Sebagai contoh, beberapa orang menggunakan ModSecurity sebagai router layanan web XML, menggabungkan kemampuannya untuk mengurai XML dan menerapkan ekspresi XPath dengan kemampuannya untuk permintaan proxy. Siapa yang tahu?
Prinsip Panduan
Ada empat prinsip panduan berbasis ModSecurity, sebagai berikut:
1.      Fleksibilitas
Saya rasa adil untuk mengatakan bahwa saya membangun ModSecurity untuk diri saya sendiri: pakar keamanan yang perlu mencegat, menganalisis, dan menyimpan lalu lintas HTTP. Saya tidak melihat banyak nilai dalam fungsi hardcoded, karena kehidupan nyata begitu rumit sehingga setiap orang perlu melakukan sesuatu hanya sedikit berbeda. ModSecurity mencapai fleksibilitas dengan memberi Anda bahasa aturan yang kuat, yang memungkinkan Anda melakukan dengan tepat apa yang Anda butuhkan, dikombinasikan dengan kemampuan untuk menerapkan peraturan hanya jika Anda memerlukannya.
2.      Ketidakpedulian
ModSecurity akan sangat berhati-hati agar tidak pernah berinteraksi dengan transaksi kecuali jika Anda memberitahukannya. Itu hanya karena saya tidak mempercayai alat, bahkan yang saya bangun, untuk membuat keputusan untuk saya. Itu sebabnya ModSecurity akan memberi banyak informasi, tapi akhirnya meninggalkan keputusan untuk Anda.
3.      Prediktabilitas
Tidak ada alat yang sempurna, tapi yang bisa diprediksi adalah hal terbaik berikutnya. Berbekal semua fakta, Anda bisa memahami kelemahan-kelemahan yang dimiliki ModSecurity dan bekerja di sekitar mereka.
4.      Kualitas diatas kuantitas
Selama enam tahun bekerja di ModSecurity, kami menemukan banyak ide untuk apa yang dapat dilakukan ModSecurity. Kami tidak bertindak atas sebagian besar dari mereka. Kami menyimpannya untuk nanti. Mengapa? Karena kami mengerti bahwa kami memiliki sumber daya terbatas yang tersedia dan pikiran (ide) kami jauh lebih cepat daripada kemampuan penerapan kami. Kami memilih untuk membatasi fungsi yang tersedia, tapi benar-benar mengerti apa yang kami putuskan untuk diperhatikan.
            Ada bit dalam ModSecurity yang berada di luar cakupan keempat prinsip ini.
Sebagai contoh, ModSecurity dapat mengubah cara Apache mengidentifikasi dirinya ke dunia luar, membatasi proses Apache di dalam penjara, dan bahkan menerapkan skema yang rumit untuk mengatasi kerentanan XSS universal sekali di Adobe Reader. Meskipun saya yang menambahkan fitur tersebut, sekarang saya berpikir bahwa mereka mengurangi tujuan utama ModSecurity, yang merupakan alat yang andal dan dapat diprediksi yang memungkinkan dilakukannya pemeriksaan lalu lintas HTTP.
Opsi Penerapan
ModSecurity mendukung dua opsi penyebaran: penyebaran proxy tersemat dan terbalik. Tidak ada cara yang benar untuk menggunakannya; Pilih pilihan berdasarkan apa yang paling sesuai dengan keadaan Anda. Ada kelebihan dan kekurangan kedua pilihan:
1.      Tertanam
Karena ModSecurity adalah modul Apache, Anda dapat menambahkannya ke versi Apache yang kompatibel. Pada saat itu berarti versi Apache yang cukup baru dari cabang 2.0.x, walaupun versi 2.2.x yang lebih baru dianjurkan. Pilihan yang disematkan adalah pilihan tepat bagi mereka yang sudah memiliki arsitektur mereka dan tidak ingin mengubahnya. Embedded deployment juga merupakan satu-satunya pilihan jika Anda perlu melindungi ratusan server web. Dalam situasi seperti itu, tidak praktis membangun lapisan keamanan berbasis proxy yang terpisah. Embedded ModSecurity tidak hanya tidak memperkenalkan poin kegagalan baru, namun timbangannya mulus seperti skala infrastruktur web yang mendasarinya. Tantangan utama dengan penyebaran tertanam adalah bahwa sumber daya server dibagi antara server web dan ModSecurity.
2.      Reverse proxy
Proxy reverse secara efektif adalah router HTTP, dirancang untuk berdiri di antara server web dan klien mereka. Saat Anda menginstal proxy reverse Apache khusus dan menambahkan ModSecurity ke dalamnya, Anda bisa mendapatkan "aplikasi jaringan aplikasi firewall" yang dapat Anda gunakan untuk melindungi sejumlah server web pada jaringan yang sama. Banyak praktisi keamanan lebih memilih untuk memiliki lapisan keamanan yang terpisah. Dengan itu Anda mendapatkan isolasi lengkap dari sistem yang Anda lindungi. Di sisi performa, ModSecurity mandiri akan memiliki sumber daya yang didedikasikan untuk itu, yang berarti Anda dapat melakukan lebih banyak (yaitu memiliki aturan yang lebih kompleks). Kerugian utama dari pendekatan ini adalah titik kegagalan baru, yang perlu ditangani dengan setup ketersediaan tinggi dari dua atau lebih proxy terbalik.

Apakah ada yang hilang?
ModSecurity adalah alat yang sangat bagus, namun ada sejumlah fitur, besar dan kecil, yang bisa ditambahkan. Fitur kecilnya adalah yang akan mempermudah hidup Anda dengan ModSecurity lebih mudah, mungkin mengotomatisasi beberapa pekerjaan membosankan (misalnya, pemblokiran terus-menerus, yang harus Anda lakukan secara manual). Tapi sebenarnya hanya ada dua fitur yang saya sebut hilang:
1.      Belajar
Membela aplikasi web itu sulit, karena ada begitu banyak, dan semuanya berbeda. (Saya sering mengatakan bahwa setiap aplikasi web efektif menciptakan protokol komunikasi sendiri.) Akan sangat berguna jika ModSecurity mengamati lalu lintas aplikasi dan membuat model yang nantinya dapat digunakan untuk menghasilkan kebijakan atau membantu dengan kesalahan positif. Saat berada di Breach Security, saya memulai sebuah proyek bernama ModProfiler [http://www.modsecurity.org/projects/modprofiler/] sebagai langkah menuju pembelajaran, namun proyek itu masih saya tinggalkan, seperti versi 0.2.
2.      Modus pengerahan pasif
ModSecurity hanya dapat disematkan di Apache 2.x, namun saat Anda menggunakannya sebagai proxy balik, ini bisa digunakan untuk melindungi server web manapun. Proksi balik bukanlah secangkir teh setiap orang, namun terkadang sangat berguna untuk menerapkan ModSecurity secara pasif, tanpa harus mengubah apapun di jaringan.


Ossec

            Ossec merupakan salahsatu aplikasi yang dapat berfungsi sebagai IPS. Ossec digunakan untuk memonitoring sistem dari aktifitas-aktifitas penyusupan atau penyerangan terhadap sistem, kemudian membuat log dan mampu memblok alamat ip penyerang dan memberikan peringatan via email ke system administrator.

            OSSEC mengawasi semuanya, secara aktif memantau semua aspek aktivitas sistem Unix dengan pemantauan integritas file, pemantauan log, pemeriksaan akar, dan pemantauan proses. Dengan OSSEC Anda tidak akan berada dalam kegelapan tentang apa yang terjadi pada aset sistem komputer Anda yang berharga.

OSSEC juga mengekspor alert ke sistem any SIEM melalui syslog sehingga Anda bisa mendapatkan analisis real-time dan wawasan tentang kejadian keamanan sistem Anda.

Open Source
OSSEC sepenuhnya open source dan gratis untuk anda gunakan. Anda dapat menyesuaikan OSSEC untuk kebutuhan keamanan Anda melalui opsi konfigurasi yang ekstensif, menambahkan peraturan peringatan khusus dan skrip penulisan yang mengambil tindakan untuk menanggapi lansiran keamanan. Anda bebas memodifikasi kode sumber untuk menambahkan kemampuan baru.
PCI
OSSEC membantu pelanggan memenuhi persyaratan kepatuhan spesifik seperti yang diuraikan dalam PCI DSS 1.2 / 2.0. Ini memungkinkan pelanggan mendeteksi dan memberi peringatan tentang modifikasi sistem file yang tidak sah dan perilaku berbahaya berdasarkan entri dalam file log produk COTS serta aplikasi khusus.
Mendukung
OSSEC didukung oleh komunitas pengembang, admin dan pengguna TI yang besar. Anda dapat memanfaatkan sumber daya ini melalui situs Github kami, berlangganan salah satu grup pendukung Google kami, atau dengan menghubungi salah satu perusahaan mitra kami.

Dipercaya oleh Vendor Keamanan dan Departemen IT

Atomicorp

Atomicorp adalah produsen Atomic Secured Linux ™ yang menyediakan kernel Linux paling aman di pasaran yang menggabungkan deteksi intrusi host OSSEC, manajer ancaman yang mengeras aplikasi web dan sistem operasi Anda, dan sistem penyembuhan diri yang secara otomatis memperbaiki masalah sebagai Mereka terjadi, dari proses yang jatuh pada server Anda, hingga masalah pada database Anda, bahkan kesalahan sistem dasar sekalipun.
Atomicorp memberikan dukungan komprehensif dan umpan Threat Intelligence untuk OSSEC. Hubungi: Dukungan OSSEC

Wazuh

Wazuh memberikan dukungan dan layanan profesional OSSEC. Layanan tersebut mencakup pelatihan, bantuan penyebaran dan dukungan tahunan.
Wazuh telah mengembangkan sebuah peraturan OSSEC, untuk meningkatkan kemampuan deteksi. Antara lain, termasuk aturan untuk memantau kontrol PCI DSS , dan lingkungan Amazon AWS.
Wazuh telah mengintegrasikan OSSEC dan Elasticsearch , menyediakan alert dan monitoring yang komprehensif. Info lebih lanjut di: contact@wazuh.com

AlienVault

Platform Aliansi Unified Security Management ™ (USM) AlienVault menyediakan lima kemampuan keamanan penting dalam satu konsol tunggal, memberi Anda semua yang Anda butuhkan untuk mengelola kepatuhan dan ancaman. Memahami sifat lingkungan TI yang sensitif, kami menyertakan teknologi berbasis aktif, pasif dan berbasis host sehingga Anda dapat menyesuaikan persyaratan lingkungan khusus Anda. AlienVault USM menggunakan OSSEC Host Intrusion Detection sebagai salah satu teknologi pondasinya.


OSSEC adalah aplikasi yang mampu berjalan multi platform, jadi silahkan anda implementasikan sesuai dengan sistem operasi yang anda gunakan, berikut adalah cara instalasi dan konfigurasi diatas sistem operasi linux, tepat nya ubuntu server 11.04.

1. Pastikan paket dasar di ubuntu telah lengkap, untuk menginstallnya;

$ sudo apt-get install build-essential

2. Download versi terbaru ossec , pada saat ini 2.6

$sudo wget http://www.ossec.net/files/ossec-hids-2.6.tar.gz

3.Extract

$sudo tar -xzvf ossec-hids-2.6.tar.gz

4.masuk ke direktory extract dan jalankan perintah install.sh dan ikuti pentunjuk yang diberikan.

cd ossec-hids-2.6

./install.sh


SNORT 

1.         Definisi snort
Snort merupakan sebuah aplikasi ataupun software yang bersifat opensource GNU General Public License [GNU89], sehingga boleh digunakan dengan bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa didapatkan dan dimodifikasi sendiri .

Snort dikembangkan oleh Marty Roesch, bisa dilihat pada (www.sourcefire.com). Awalnya dikembangkan di akhir 1998-an sebagai sniffer dengan konsistensi output.
Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati aktivitas dalam suatu jaringan komputer. Snort dapat digunakan sebagai suatu Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight), dan software ini menggunakan sistem peraturan-peraturan (rules system) yang relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging) terhadap berbagai macam serangan terhadap jaringan komputer.

Snort sendiri merupakan software yang masih berbasis command-line, sehingga cukup merepotkan bagi pengguna yang sudah terbiasa dalam lingkungan Graphical User Interface (GUI). Oleh karena itu, ada beberapa software pihak ketiga yang memberikan GUI untuk Snort, misalnya IDScenter untuk Microsoft Windows, dan Acid yang berbasis PHP sehingga bisa diakses melalui web browser.
Dengan membuat berbagai rules untuk mendeteksi ciri-ciri khas (signature) dari berbagai macam serangan, maka Snort dapat mendeteksi dan melakukan logging terhadap serangan-serangan tersebut. Software ini bersifat opensource berdasarkan GNU General Public License [GNU89], sehingga boleh digunakan dengan bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa didapatkan dan dimodifikasi sendiri bila perlu. Snort pada awalnya dibuat untuk sistem operasi (operating system) berdasarkan Unix, tetapi versi Windows juga sudah dibuat sehingga sekarang ini Snort bersifat cross-platform.

Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah
./snort –dev –l ./log
./snort –dev –l ./log –h 192.168.0.0/24
./snort –dev –l ./log –b

      Perintah yang paling penting untuk me-log paket yang lewat adalah -l ./log yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII.
Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah –r nama file log-nya, seperti,
./snort –dv –r packet.log
./snort –dvr packet.log icmp
Ø  Network Intrusion Detection Mode
Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi penyusup adaah dengan menambahkan perintah ke snort untuk membaca file konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh snort.conf yang dibawa oleh source snort.
Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti
./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf
./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf
Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan perintah –l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi perintah snort.conf. Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien.
Mekanisme pemberitahuan alert di Linux dapat di set dengan perintah –A sebagai berikut,
-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full, mode alert dengan informasi lengkap.
-A unsock, mode alert ke unix socket.
-A none, mematikan mode alert.
Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s, seperti tampak pada beberapa contoh di bawah ini.
./snort –c snort.conf –l ./log –s –h 192.168.0.0/24
./snort –c snort.conf –s –h 192.168.0.0/24
Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah di bawah ini,
./snort –c snort.conf –b –M WORKSTATIONS
Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D
Atau
/usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D
dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).

4.         Contoh instalisasi snort
Untuk menginstall Snort, sangatlah mudah. Cukup dengan satu baris perintah berikut, Snort sudah dapat terpasang dalam komputer kesayangan temen - temen.
root@defegacious:/# apt-get install snort 

Syaratnya, komputer teman-teman harus sudah terkonek dengan repository, baik yang online maupun lokal. Sangat mudah bukan proses instalasinya, tinggal nunggu lalu selesai.

Untuk mengubah konfigurasi rules Snort yang sudah default bisa melalui,

root@defegacious:/# nano /etc/snort/snort.conf

Rules adalah konfigurasi pada Snort yang nantinya digunakan untuk medeteksi adanya berbagai macam serangan. Nah, rulesnya ini sangat banyak dan beragam. Lain kali saya akan membahasa beberapa, untuk yang ini sampai disini dulu. hihiihhii

Sedangkan untuk mengecek Snort berfungsi atau tidak, bisa menggunakan perintah berikut

root@defegacious:/# snort -v

Port sentry 
Definisi

1.      Port : Pelabuhan
2.      Sentry : Penjaga
3.      PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning secara real time

Platform Port Sentry

1.      FreeBSD
2.      Open BSD
3.      Linux

Dimana Port Sentry Diletakkan

1.      Dibelakang Firewall
2.      Dibelakang tiap host yang dilindungi

Fiture PortSentry

1.      Mendeteksi scan
2.      Melakukan aksi  terhadap host yg melakukan pelanggaran
3.      Mengemail admin system bila di integrasikan dengan Logcheck/LogSentry

Jenis-Jenis Scan

1.      Connect scans - 
2.      SYN Scans -  .
3.      FIN Scans -  
4.      NULL Scans - 
5.      XMAS Scans -  .
6.      FULL-XMAS Scan -  
7.      UDP Scan 

Aksi yang dilakukan Port Sentry

1.      Stealth setting ????
2.      Melogging  pelanggaran akses di /var/log/messages
3.      Menambahkan entry untuk penyerang di   /etc/hosts.deny
4.      Menambahkan  non-permanent route dari penyerang ke "black-hole"
5.      Mengeblok akses ke sistem 

Beberapa fitur utama dari PortSentry:

1.      Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
2.      Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
3.      PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
4.      PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir.
5.      PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail.

Pada sistem keamanan dengan Intrusion Detection System (IDS), IDS akan memberitahukan kepada administrator jika ada penyusup yang memasuki jaringan. Namun jika hanya mengandalkan IDS sebagai pusat keamanan suatu jaringan komputer maka tidak cukup, karena IDS hanya mendeteksi serangan yang telah terjadi dan kemudian mengandalkan kecepatan respon dari administrator. Untuk mengatasi masalah tersebut, maka perlu penggabungan antara IDS dan firewall. Fungsi dari firewall adalah menentukan paket-paket yang layak melewati jaringan dan yang tidak layak melewati jaringan. Jika IDS dan firewall digabungkan maka akan menjadi IPS (Intrusion Prevention Sistem).

Ada 3 jenis IDS : 

1. Packet sniffer, untuk melihat paket yang melintas jaringan.
2.Packet logger, untuk mencatat semua paket yang melintasi jaringan untuk dianalisis di kemudian hari.
3. Intrusion detection mode. Pada mode ini portsentry berfungsi untuk mendeteksi serangan pada jaringan komputer. Untuk menggunakan mode intrusion detection memerlukan pengaturan dari berbagai aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.


Nama        : Doddy Octarino
Nim          : 141420127
Kelas        : IF6IB
Dosen       : Surya Yusra
Universitas Binadarma Palembang