my music

Minggu, 14 Mei 2017

Definisi ModSecurity, Ossec, snort, dan Port Sentry


ModSecurity

            ModSecurity adalah open source, aplikasi firewall aplikasi cross-platform web (WAF). Dikenal sebagai "Swiss Army Knife" dari WAFs, ini memungkinkan pembela aplikasi web untuk mendapatkan visibilitas ke lalu lintas HTTP (S) dan memberikan bahasa aturan kekuatan dan API untuk menerapkan perlindungan lanjutan.
  
Aturan-aturan ini akan menargetkan serangan Common aplikasi Web:

# Command eksekusi serangan
SecFilter / etc / password
SecFilter / bin / ls
# Directory traversal serangan
SecFilter "\. \. /"
# XSS serangan
SecFilter "<(.| \ n) +> "
SecFilter "<[[: space:]] * script "

# Serangan injeksi SQL
SecFilter "delete [[: space:]] + dari"
SecFilter "insert [[: space:]] + menjadi"
SecFilter "pilih. + Dari"

# MS SQL serangan injeksi SQL spesifik
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey

            Lalu, untuk mengetuhi request yang kita ajukan dari http diblok mod_security atau tidak dari mana ? Ini pertanyaan bagus, sering Aku menemukan error yang hanya pada request di url tertentu seperti edit artikel dan edit page [ini yang sering Aku temui]. Lalu, apa tanda bahwa request kita terkena firewall mod_security ?
Dibawah ini beberapa error ketika request terkena mod_sec [mod_security]
- 403 Forbidden
- Not Acceptable An appropriate representation of the requested resource bla bla bla
- Method Not Implemented
Apa yang dapat dilakukan ModSecurity, berikut ini adalah daftar skenario penggunaan yang paling penting:
1.      Pemantauan keamanan aplikasi real-time dan kontrol akses
Intinya, ModSecurity memberi Anda akses ke arus lalu lintas HTTP, secara real-time, beserta kemampuan untuk memeriksanya. Ini cukup untuk pemantauan keamanan real-time. Ada dimensi tambahan dari apa yang mungkin dilakukan melalui mekanisme penyimpanan permanen ModSecurity, yang memungkinkan Anda melacak elemen sistem dari waktu ke waktu dan melakukan korelasi peristiwa. Anda dapat dengan andal memblokir, jika Anda menginginkannya, karena ModSecurity menggunakan permintaan dan penyangga respons penuh.
2.      Pelacakan lalu lintas HTTP penuh
Server web secara tradisional sangat sedikit dalam hal penebangan untuk tujuan keamanan. Mereka log sangat sedikit secara default, dan bahkan dengan banyak tweaker Anda tidak bisa mendapatkan semua yang Anda butuhkan. Saya belum menemukan server web yang bisa mencatat data transaksi penuh. ModSecurity memberi Anda kemampuan untuk mencatat apapun yang Anda butuhkan, termasuk data transaksi mentah, yang penting untuk forensik. Selain itu, Anda bisa memilih transaksi yang ditukarkan, bagian mana dari transaksi yang masuk, dan komponen mana yang disterilkan.
3.      Penilaian keamanan pasif terus-menerus 
Penilaian keamanan sebagian besar dilihat sebagai peristiwa terjadwal aktif, di mana tim independen bersumber untuk mencoba melakukan serangan simulasi. Penilaian keamanan pasif terus-menerus adalah variasi pemantauan real-time, di mana, alih-alih berfokus pada perilaku pihak eksternal, Anda berfokus pada perilaku sistem itu sendiri. Ini adalah sistem peringatan dini yang bisa mendeteksi jejak banyak kelainan dan kelemahan keamanan sebelum dieksploitasi.
4.      Pengerasan aplikasi web
Salah satu kegunaan favorit saya untuk ModSecurity adalah pengurangan permukaan serangan, di mana Anda secara selektif mempersempit fitur HTTP yang bersedia Anda terima (misalnya, metode permintaan, permintaan header, jenis konten, dll.). ModSecurity dapat membantu Anda dalam menerapkan banyak pembatasan serupa, baik secara langsung, atau melalui kolaborasi dengan modul Apache lainnya. Mereka semua jatuh di bawah pengerasan aplikasi web. Sebagai contoh, adalah mungkin untuk memperbaiki banyak masalah manajemen sesi, serta kerentanan pemalsuan permintaan lintas situs.
5.      Sesuatu yang kecil, namun sangat penting bagimu
Kehidupan nyata sering kali menimbulkan tuntutan yang tidak biasa kepada kita, dan saat itulah fleksibilitas ModSecurity sangat berguna dimana Anda membutuhkannya. Ini mungkin kebutuhan keamanan, tapi mungkin juga sesuatu yang sama sekali berbeda. Sebagai contoh, beberapa orang menggunakan ModSecurity sebagai router layanan web XML, menggabungkan kemampuannya untuk mengurai XML dan menerapkan ekspresi XPath dengan kemampuannya untuk permintaan proxy. Siapa yang tahu?
Prinsip Panduan
Ada empat prinsip panduan berbasis ModSecurity, sebagai berikut:
1.      Fleksibilitas
Saya rasa adil untuk mengatakan bahwa saya membangun ModSecurity untuk diri saya sendiri: pakar keamanan yang perlu mencegat, menganalisis, dan menyimpan lalu lintas HTTP. Saya tidak melihat banyak nilai dalam fungsi hardcoded, karena kehidupan nyata begitu rumit sehingga setiap orang perlu melakukan sesuatu hanya sedikit berbeda. ModSecurity mencapai fleksibilitas dengan memberi Anda bahasa aturan yang kuat, yang memungkinkan Anda melakukan dengan tepat apa yang Anda butuhkan, dikombinasikan dengan kemampuan untuk menerapkan peraturan hanya jika Anda memerlukannya.
2.      Ketidakpedulian
ModSecurity akan sangat berhati-hati agar tidak pernah berinteraksi dengan transaksi kecuali jika Anda memberitahukannya. Itu hanya karena saya tidak mempercayai alat, bahkan yang saya bangun, untuk membuat keputusan untuk saya. Itu sebabnya ModSecurity akan memberi banyak informasi, tapi akhirnya meninggalkan keputusan untuk Anda.
3.      Prediktabilitas
Tidak ada alat yang sempurna, tapi yang bisa diprediksi adalah hal terbaik berikutnya. Berbekal semua fakta, Anda bisa memahami kelemahan-kelemahan yang dimiliki ModSecurity dan bekerja di sekitar mereka.
4.      Kualitas diatas kuantitas
Selama enam tahun bekerja di ModSecurity, kami menemukan banyak ide untuk apa yang dapat dilakukan ModSecurity. Kami tidak bertindak atas sebagian besar dari mereka. Kami menyimpannya untuk nanti. Mengapa? Karena kami mengerti bahwa kami memiliki sumber daya terbatas yang tersedia dan pikiran (ide) kami jauh lebih cepat daripada kemampuan penerapan kami. Kami memilih untuk membatasi fungsi yang tersedia, tapi benar-benar mengerti apa yang kami putuskan untuk diperhatikan.
            Ada bit dalam ModSecurity yang berada di luar cakupan keempat prinsip ini.
Sebagai contoh, ModSecurity dapat mengubah cara Apache mengidentifikasi dirinya ke dunia luar, membatasi proses Apache di dalam penjara, dan bahkan menerapkan skema yang rumit untuk mengatasi kerentanan XSS universal sekali di Adobe Reader. Meskipun saya yang menambahkan fitur tersebut, sekarang saya berpikir bahwa mereka mengurangi tujuan utama ModSecurity, yang merupakan alat yang andal dan dapat diprediksi yang memungkinkan dilakukannya pemeriksaan lalu lintas HTTP.
Opsi Penerapan
ModSecurity mendukung dua opsi penyebaran: penyebaran proxy tersemat dan terbalik. Tidak ada cara yang benar untuk menggunakannya; Pilih pilihan berdasarkan apa yang paling sesuai dengan keadaan Anda. Ada kelebihan dan kekurangan kedua pilihan:
1.      Tertanam
Karena ModSecurity adalah modul Apache, Anda dapat menambahkannya ke versi Apache yang kompatibel. Pada saat itu berarti versi Apache yang cukup baru dari cabang 2.0.x, walaupun versi 2.2.x yang lebih baru dianjurkan. Pilihan yang disematkan adalah pilihan tepat bagi mereka yang sudah memiliki arsitektur mereka dan tidak ingin mengubahnya. Embedded deployment juga merupakan satu-satunya pilihan jika Anda perlu melindungi ratusan server web. Dalam situasi seperti itu, tidak praktis membangun lapisan keamanan berbasis proxy yang terpisah. Embedded ModSecurity tidak hanya tidak memperkenalkan poin kegagalan baru, namun timbangannya mulus seperti skala infrastruktur web yang mendasarinya. Tantangan utama dengan penyebaran tertanam adalah bahwa sumber daya server dibagi antara server web dan ModSecurity.
2.      Reverse proxy
Proxy reverse secara efektif adalah router HTTP, dirancang untuk berdiri di antara server web dan klien mereka. Saat Anda menginstal proxy reverse Apache khusus dan menambahkan ModSecurity ke dalamnya, Anda bisa mendapatkan "aplikasi jaringan aplikasi firewall" yang dapat Anda gunakan untuk melindungi sejumlah server web pada jaringan yang sama. Banyak praktisi keamanan lebih memilih untuk memiliki lapisan keamanan yang terpisah. Dengan itu Anda mendapatkan isolasi lengkap dari sistem yang Anda lindungi. Di sisi performa, ModSecurity mandiri akan memiliki sumber daya yang didedikasikan untuk itu, yang berarti Anda dapat melakukan lebih banyak (yaitu memiliki aturan yang lebih kompleks). Kerugian utama dari pendekatan ini adalah titik kegagalan baru, yang perlu ditangani dengan setup ketersediaan tinggi dari dua atau lebih proxy terbalik.

Apakah ada yang hilang?
ModSecurity adalah alat yang sangat bagus, namun ada sejumlah fitur, besar dan kecil, yang bisa ditambahkan. Fitur kecilnya adalah yang akan mempermudah hidup Anda dengan ModSecurity lebih mudah, mungkin mengotomatisasi beberapa pekerjaan membosankan (misalnya, pemblokiran terus-menerus, yang harus Anda lakukan secara manual). Tapi sebenarnya hanya ada dua fitur yang saya sebut hilang:
1.      Belajar
Membela aplikasi web itu sulit, karena ada begitu banyak, dan semuanya berbeda. (Saya sering mengatakan bahwa setiap aplikasi web efektif menciptakan protokol komunikasi sendiri.) Akan sangat berguna jika ModSecurity mengamati lalu lintas aplikasi dan membuat model yang nantinya dapat digunakan untuk menghasilkan kebijakan atau membantu dengan kesalahan positif. Saat berada di Breach Security, saya memulai sebuah proyek bernama ModProfiler [http://www.modsecurity.org/projects/modprofiler/] sebagai langkah menuju pembelajaran, namun proyek itu masih saya tinggalkan, seperti versi 0.2.
2.      Modus pengerahan pasif
ModSecurity hanya dapat disematkan di Apache 2.x, namun saat Anda menggunakannya sebagai proxy balik, ini bisa digunakan untuk melindungi server web manapun. Proksi balik bukanlah secangkir teh setiap orang, namun terkadang sangat berguna untuk menerapkan ModSecurity secara pasif, tanpa harus mengubah apapun di jaringan.


Ossec

            Ossec merupakan salahsatu aplikasi yang dapat berfungsi sebagai IPS. Ossec digunakan untuk memonitoring sistem dari aktifitas-aktifitas penyusupan atau penyerangan terhadap sistem, kemudian membuat log dan mampu memblok alamat ip penyerang dan memberikan peringatan via email ke system administrator.

            OSSEC mengawasi semuanya, secara aktif memantau semua aspek aktivitas sistem Unix dengan pemantauan integritas file, pemantauan log, pemeriksaan akar, dan pemantauan proses. Dengan OSSEC Anda tidak akan berada dalam kegelapan tentang apa yang terjadi pada aset sistem komputer Anda yang berharga.

OSSEC juga mengekspor alert ke sistem any SIEM melalui syslog sehingga Anda bisa mendapatkan analisis real-time dan wawasan tentang kejadian keamanan sistem Anda.

Open Source
OSSEC sepenuhnya open source dan gratis untuk anda gunakan. Anda dapat menyesuaikan OSSEC untuk kebutuhan keamanan Anda melalui opsi konfigurasi yang ekstensif, menambahkan peraturan peringatan khusus dan skrip penulisan yang mengambil tindakan untuk menanggapi lansiran keamanan. Anda bebas memodifikasi kode sumber untuk menambahkan kemampuan baru.
PCI
OSSEC membantu pelanggan memenuhi persyaratan kepatuhan spesifik seperti yang diuraikan dalam PCI DSS 1.2 / 2.0. Ini memungkinkan pelanggan mendeteksi dan memberi peringatan tentang modifikasi sistem file yang tidak sah dan perilaku berbahaya berdasarkan entri dalam file log produk COTS serta aplikasi khusus.
Mendukung
OSSEC didukung oleh komunitas pengembang, admin dan pengguna TI yang besar. Anda dapat memanfaatkan sumber daya ini melalui situs Github kami, berlangganan salah satu grup pendukung Google kami, atau dengan menghubungi salah satu perusahaan mitra kami.

Dipercaya oleh Vendor Keamanan dan Departemen IT

Atomicorp

Atomicorp adalah produsen Atomic Secured Linux ™ yang menyediakan kernel Linux paling aman di pasaran yang menggabungkan deteksi intrusi host OSSEC, manajer ancaman yang mengeras aplikasi web dan sistem operasi Anda, dan sistem penyembuhan diri yang secara otomatis memperbaiki masalah sebagai Mereka terjadi, dari proses yang jatuh pada server Anda, hingga masalah pada database Anda, bahkan kesalahan sistem dasar sekalipun.
Atomicorp memberikan dukungan komprehensif dan umpan Threat Intelligence untuk OSSEC. Hubungi: Dukungan OSSEC

Wazuh

Wazuh memberikan dukungan dan layanan profesional OSSEC. Layanan tersebut mencakup pelatihan, bantuan penyebaran dan dukungan tahunan.
Wazuh telah mengembangkan sebuah peraturan OSSEC, untuk meningkatkan kemampuan deteksi. Antara lain, termasuk aturan untuk memantau kontrol PCI DSS , dan lingkungan Amazon AWS.
Wazuh telah mengintegrasikan OSSEC dan Elasticsearch , menyediakan alert dan monitoring yang komprehensif. Info lebih lanjut di: contact@wazuh.com

AlienVault

Platform Aliansi Unified Security Management ™ (USM) AlienVault menyediakan lima kemampuan keamanan penting dalam satu konsol tunggal, memberi Anda semua yang Anda butuhkan untuk mengelola kepatuhan dan ancaman. Memahami sifat lingkungan TI yang sensitif, kami menyertakan teknologi berbasis aktif, pasif dan berbasis host sehingga Anda dapat menyesuaikan persyaratan lingkungan khusus Anda. AlienVault USM menggunakan OSSEC Host Intrusion Detection sebagai salah satu teknologi pondasinya.


OSSEC adalah aplikasi yang mampu berjalan multi platform, jadi silahkan anda implementasikan sesuai dengan sistem operasi yang anda gunakan, berikut adalah cara instalasi dan konfigurasi diatas sistem operasi linux, tepat nya ubuntu server 11.04.

1. Pastikan paket dasar di ubuntu telah lengkap, untuk menginstallnya;

$ sudo apt-get install build-essential

2. Download versi terbaru ossec , pada saat ini 2.6

$sudo wget http://www.ossec.net/files/ossec-hids-2.6.tar.gz

3.Extract

$sudo tar -xzvf ossec-hids-2.6.tar.gz

4.masuk ke direktory extract dan jalankan perintah install.sh dan ikuti pentunjuk yang diberikan.

cd ossec-hids-2.6

./install.sh


SNORT 

1.         Definisi snort
Snort merupakan sebuah aplikasi ataupun software yang bersifat opensource GNU General Public License [GNU89], sehingga boleh digunakan dengan bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa didapatkan dan dimodifikasi sendiri .

Snort dikembangkan oleh Marty Roesch, bisa dilihat pada (www.sourcefire.com). Awalnya dikembangkan di akhir 1998-an sebagai sniffer dengan konsistensi output.
Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati aktivitas dalam suatu jaringan komputer. Snort dapat digunakan sebagai suatu Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight), dan software ini menggunakan sistem peraturan-peraturan (rules system) yang relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging) terhadap berbagai macam serangan terhadap jaringan komputer.

Snort sendiri merupakan software yang masih berbasis command-line, sehingga cukup merepotkan bagi pengguna yang sudah terbiasa dalam lingkungan Graphical User Interface (GUI). Oleh karena itu, ada beberapa software pihak ketiga yang memberikan GUI untuk Snort, misalnya IDScenter untuk Microsoft Windows, dan Acid yang berbasis PHP sehingga bisa diakses melalui web browser.
Dengan membuat berbagai rules untuk mendeteksi ciri-ciri khas (signature) dari berbagai macam serangan, maka Snort dapat mendeteksi dan melakukan logging terhadap serangan-serangan tersebut. Software ini bersifat opensource berdasarkan GNU General Public License [GNU89], sehingga boleh digunakan dengan bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa didapatkan dan dimodifikasi sendiri bila perlu. Snort pada awalnya dibuat untuk sistem operasi (operating system) berdasarkan Unix, tetapi versi Windows juga sudah dibuat sehingga sekarang ini Snort bersifat cross-platform.

Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah
./snort –dev –l ./log
./snort –dev –l ./log –h 192.168.0.0/24
./snort –dev –l ./log –b

      Perintah yang paling penting untuk me-log paket yang lewat adalah -l ./log yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII.
Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah –r nama file log-nya, seperti,
./snort –dv –r packet.log
./snort –dvr packet.log icmp
Ø  Network Intrusion Detection Mode
Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi penyusup adaah dengan menambahkan perintah ke snort untuk membaca file konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh snort.conf yang dibawa oleh source snort.
Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti
./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf
./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf
Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan perintah –l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi perintah snort.conf. Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien.
Mekanisme pemberitahuan alert di Linux dapat di set dengan perintah –A sebagai berikut,
-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full, mode alert dengan informasi lengkap.
-A unsock, mode alert ke unix socket.
-A none, mematikan mode alert.
Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s, seperti tampak pada beberapa contoh di bawah ini.
./snort –c snort.conf –l ./log –s –h 192.168.0.0/24
./snort –c snort.conf –s –h 192.168.0.0/24
Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah di bawah ini,
./snort –c snort.conf –b –M WORKSTATIONS
Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D
Atau
/usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D
dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).

4.         Contoh instalisasi snort
Untuk menginstall Snort, sangatlah mudah. Cukup dengan satu baris perintah berikut, Snort sudah dapat terpasang dalam komputer kesayangan temen - temen.
root@defegacious:/# apt-get install snort 

Syaratnya, komputer teman-teman harus sudah terkonek dengan repository, baik yang online maupun lokal. Sangat mudah bukan proses instalasinya, tinggal nunggu lalu selesai.

Untuk mengubah konfigurasi rules Snort yang sudah default bisa melalui,

root@defegacious:/# nano /etc/snort/snort.conf

Rules adalah konfigurasi pada Snort yang nantinya digunakan untuk medeteksi adanya berbagai macam serangan. Nah, rulesnya ini sangat banyak dan beragam. Lain kali saya akan membahasa beberapa, untuk yang ini sampai disini dulu. hihiihhii

Sedangkan untuk mengecek Snort berfungsi atau tidak, bisa menggunakan perintah berikut

root@defegacious:/# snort -v

Port sentry 
Definisi

1.      Port : Pelabuhan
2.      Sentry : Penjaga
3.      PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning secara real time

Platform Port Sentry

1.      FreeBSD
2.      Open BSD
3.      Linux

Dimana Port Sentry Diletakkan

1.      Dibelakang Firewall
2.      Dibelakang tiap host yang dilindungi

Fiture PortSentry

1.      Mendeteksi scan
2.      Melakukan aksi  terhadap host yg melakukan pelanggaran
3.      Mengemail admin system bila di integrasikan dengan Logcheck/LogSentry

Jenis-Jenis Scan

1.      Connect scans - 
2.      SYN Scans -  .
3.      FIN Scans -  
4.      NULL Scans - 
5.      XMAS Scans -  .
6.      FULL-XMAS Scan -  
7.      UDP Scan 

Aksi yang dilakukan Port Sentry

1.      Stealth setting ????
2.      Melogging  pelanggaran akses di /var/log/messages
3.      Menambahkan entry untuk penyerang di   /etc/hosts.deny
4.      Menambahkan  non-permanent route dari penyerang ke "black-hole"
5.      Mengeblok akses ke sistem 

Beberapa fitur utama dari PortSentry:

1.      Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
2.      Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
3.      PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
4.      PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir.
5.      PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail.

Pada sistem keamanan dengan Intrusion Detection System (IDS), IDS akan memberitahukan kepada administrator jika ada penyusup yang memasuki jaringan. Namun jika hanya mengandalkan IDS sebagai pusat keamanan suatu jaringan komputer maka tidak cukup, karena IDS hanya mendeteksi serangan yang telah terjadi dan kemudian mengandalkan kecepatan respon dari administrator. Untuk mengatasi masalah tersebut, maka perlu penggabungan antara IDS dan firewall. Fungsi dari firewall adalah menentukan paket-paket yang layak melewati jaringan dan yang tidak layak melewati jaringan. Jika IDS dan firewall digabungkan maka akan menjadi IPS (Intrusion Prevention Sistem).

Ada 3 jenis IDS : 

1. Packet sniffer, untuk melihat paket yang melintas jaringan.
2.Packet logger, untuk mencatat semua paket yang melintasi jaringan untuk dianalisis di kemudian hari.
3. Intrusion detection mode. Pada mode ini portsentry berfungsi untuk mendeteksi serangan pada jaringan komputer. Untuk menggunakan mode intrusion detection memerlukan pengaturan dari berbagai aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.


Nama        : Doddy Octarino
Nim          : 141420127
Kelas        : IF6IB
Dosen       : Surya Yusra
Universitas Binadarma Palembang