ModSecurity adalah open source, aplikasi firewall aplikasi
cross-platform web (WAF). Dikenal
sebagai "Swiss Army Knife" dari WAFs, ini memungkinkan pembela
aplikasi web untuk mendapatkan visibilitas ke lalu lintas HTTP (S) dan
memberikan bahasa aturan kekuatan dan API untuk menerapkan perlindungan
lanjutan.
Aturan-aturan ini akan menargetkan serangan Common aplikasi Web:
# Command eksekusi serangan
SecFilter / etc / password
SecFilter / bin / ls
# Directory traversal serangan
SecFilter "\. \. /"
# XSS serangan
SecFilter "<(.| \ n) +> "
SecFilter "<[[: space:]] * script "
# Serangan injeksi SQL
SecFilter "delete [[: space:]] + dari"
SecFilter "insert [[: space:]] + menjadi"
SecFilter "pilih. + Dari"
# MS SQL serangan injeksi SQL spesifik
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
Lalu, untuk mengetuhi request yang kita ajukan dari http diblok mod_security atau tidak dari mana ? Ini pertanyaan bagus, sering Aku menemukan error yang hanya pada request di url tertentu seperti edit artikel dan edit page [ini yang sering Aku temui]. Lalu, apa tanda bahwa request kita terkena firewall mod_security ?
Aturan-aturan ini akan menargetkan serangan Common aplikasi Web:
# Command eksekusi serangan
SecFilter / etc / password
SecFilter / bin / ls
# Directory traversal serangan
SecFilter "\. \. /"
# XSS serangan
SecFilter "<(.| \ n) +> "
SecFilter "<[[: space:]] * script "
# Serangan injeksi SQL
SecFilter "delete [[: space:]] + dari"
SecFilter "insert [[: space:]] + menjadi"
SecFilter "pilih. + Dari"
# MS SQL serangan injeksi SQL spesifik
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
Lalu, untuk mengetuhi request yang kita ajukan dari http diblok mod_security atau tidak dari mana ? Ini pertanyaan bagus, sering Aku menemukan error yang hanya pada request di url tertentu seperti edit artikel dan edit page [ini yang sering Aku temui]. Lalu, apa tanda bahwa request kita terkena firewall mod_security ?
Dibawah ini beberapa error ketika
request terkena mod_sec [mod_security]
- 403
Forbidden
- Not Acceptable An appropriate representation of the requested resource bla bla bla
- Method Not Implemented
- Not Acceptable An appropriate representation of the requested resource bla bla bla
- Method Not Implemented
Apa yang dapat dilakukan
ModSecurity, berikut ini adalah daftar skenario penggunaan yang paling penting:
1.
Pemantauan
keamanan aplikasi real-time dan kontrol akses
Intinya, ModSecurity memberi Anda akses ke arus lalu
lintas HTTP, secara real-time, beserta kemampuan untuk memeriksanya. Ini cukup untuk pemantauan keamanan real-time. Ada dimensi tambahan dari apa yang mungkin dilakukan melalui
mekanisme penyimpanan permanen ModSecurity, yang memungkinkan Anda melacak
elemen sistem dari waktu ke waktu dan melakukan korelasi peristiwa. Anda dapat dengan andal memblokir, jika Anda menginginkannya,
karena ModSecurity menggunakan permintaan dan penyangga respons penuh.
2.
Pelacakan
lalu lintas HTTP penuh
Server web secara tradisional sangat sedikit dalam hal
penebangan untuk tujuan keamanan. Mereka
log sangat sedikit secara default, dan bahkan dengan banyak tweaker Anda tidak
bisa mendapatkan semua yang Anda butuhkan. Saya
belum menemukan server web yang bisa mencatat data transaksi penuh. ModSecurity memberi Anda kemampuan untuk mencatat apapun yang
Anda butuhkan, termasuk data transaksi mentah, yang penting untuk forensik.
Selain itu, Anda bisa memilih transaksi yang
ditukarkan, bagian mana dari transaksi yang masuk, dan komponen mana yang
disterilkan.
3.
Penilaian
keamanan pasif terus-menerus
Penilaian keamanan sebagian besar dilihat sebagai
peristiwa terjadwal aktif, di mana tim independen bersumber untuk mencoba
melakukan serangan simulasi. Penilaian
keamanan pasif terus-menerus adalah variasi pemantauan real-time, di mana,
alih-alih berfokus pada perilaku pihak eksternal, Anda berfokus pada perilaku
sistem itu sendiri. Ini adalah sistem peringatan
dini yang bisa mendeteksi jejak banyak kelainan dan kelemahan keamanan sebelum
dieksploitasi.
4.
Pengerasan
aplikasi web
Salah satu kegunaan favorit saya untuk ModSecurity
adalah pengurangan permukaan serangan, di mana Anda secara selektif
mempersempit fitur HTTP yang bersedia Anda terima (misalnya, metode permintaan,
permintaan header, jenis konten, dll.). ModSecurity dapat membantu Anda dalam menerapkan banyak
pembatasan serupa, baik secara langsung, atau melalui kolaborasi dengan modul
Apache lainnya. Mereka semua jatuh di bawah
pengerasan aplikasi web. Sebagai contoh, adalah
mungkin untuk memperbaiki banyak masalah manajemen sesi, serta kerentanan
pemalsuan permintaan lintas situs.
5.
Sesuatu
yang kecil, namun sangat penting bagimu
Kehidupan nyata sering kali menimbulkan tuntutan yang
tidak biasa kepada kita, dan saat itulah fleksibilitas ModSecurity sangat
berguna dimana Anda membutuhkannya. Ini
mungkin kebutuhan keamanan, tapi mungkin juga sesuatu yang sama sekali berbeda.
Sebagai contoh, beberapa orang menggunakan ModSecurity
sebagai router layanan web XML, menggabungkan kemampuannya untuk mengurai XML
dan menerapkan ekspresi XPath dengan kemampuannya untuk permintaan proxy.
Siapa yang tahu?
Prinsip
Panduan
Ada empat prinsip panduan berbasis ModSecurity,
sebagai berikut:
1.
Fleksibilitas
Saya rasa adil untuk mengatakan bahwa saya membangun
ModSecurity untuk diri saya sendiri: pakar keamanan yang perlu mencegat,
menganalisis, dan menyimpan lalu lintas HTTP. Saya tidak melihat banyak nilai dalam fungsi hardcoded,
karena kehidupan nyata begitu rumit sehingga setiap orang perlu melakukan
sesuatu hanya sedikit berbeda. ModSecurity
mencapai fleksibilitas dengan memberi Anda bahasa aturan yang kuat, yang
memungkinkan Anda melakukan dengan tepat apa yang Anda butuhkan, dikombinasikan
dengan kemampuan untuk menerapkan peraturan hanya jika Anda memerlukannya.
2.
Ketidakpedulian
ModSecurity akan sangat berhati-hati agar tidak pernah
berinteraksi dengan transaksi kecuali jika Anda memberitahukannya. Itu hanya karena saya tidak mempercayai alat, bahkan yang
saya bangun, untuk membuat keputusan untuk saya. Itu sebabnya ModSecurity akan memberi banyak informasi, tapi
akhirnya meninggalkan keputusan untuk Anda.
3.
Prediktabilitas
Tidak ada alat yang sempurna, tapi yang bisa diprediksi
adalah hal terbaik berikutnya. Berbekal
semua fakta, Anda bisa memahami kelemahan-kelemahan yang dimiliki ModSecurity
dan bekerja di sekitar mereka.
4.
Kualitas
diatas kuantitas
Selama enam tahun bekerja di ModSecurity, kami
menemukan banyak ide untuk apa yang dapat dilakukan ModSecurity. Kami tidak bertindak atas sebagian besar dari mereka. Kami menyimpannya untuk nanti. Mengapa? Karena kami mengerti
bahwa kami memiliki sumber daya terbatas yang tersedia dan pikiran (ide) kami
jauh lebih cepat daripada kemampuan penerapan kami. Kami memilih untuk membatasi fungsi yang tersedia, tapi
benar-benar mengerti apa yang kami putuskan untuk diperhatikan.
Ada
bit dalam ModSecurity yang berada di luar cakupan keempat prinsip ini.
Sebagai contoh, ModSecurity dapat mengubah cara Apache
mengidentifikasi dirinya ke dunia luar, membatasi proses Apache di dalam
penjara, dan bahkan menerapkan skema yang rumit untuk mengatasi kerentanan XSS
universal sekali di Adobe Reader. Meskipun
saya yang menambahkan fitur tersebut, sekarang saya berpikir bahwa mereka
mengurangi tujuan utama ModSecurity, yang merupakan alat yang andal dan dapat
diprediksi yang memungkinkan dilakukannya pemeriksaan lalu lintas HTTP.
Opsi
Penerapan
ModSecurity mendukung dua opsi penyebaran: penyebaran
proxy tersemat dan terbalik. Tidak
ada cara yang benar untuk menggunakannya; Pilih
pilihan berdasarkan apa yang paling sesuai dengan keadaan Anda. Ada kelebihan dan kekurangan kedua pilihan:
1.
Tertanam
Karena ModSecurity adalah modul Apache, Anda dapat
menambahkannya ke versi Apache yang kompatibel. Pada saat itu berarti versi Apache yang cukup baru dari
cabang 2.0.x, walaupun versi 2.2.x yang lebih baru dianjurkan. Pilihan yang disematkan adalah pilihan tepat bagi mereka yang
sudah memiliki arsitektur mereka dan tidak ingin mengubahnya. Embedded deployment juga merupakan satu-satunya pilihan jika
Anda perlu melindungi ratusan server web. Dalam
situasi seperti itu, tidak praktis membangun lapisan keamanan berbasis proxy
yang terpisah. Embedded ModSecurity tidak hanya
tidak memperkenalkan poin kegagalan baru, namun timbangannya mulus seperti
skala infrastruktur web yang mendasarinya. Tantangan
utama dengan penyebaran tertanam adalah bahwa sumber daya server dibagi antara
server web dan ModSecurity.
2.
Reverse
proxy
Proxy reverse secara efektif adalah router HTTP,
dirancang untuk berdiri di antara server web dan klien mereka. Saat Anda menginstal proxy reverse Apache khusus dan
menambahkan ModSecurity ke dalamnya, Anda bisa mendapatkan "aplikasi
jaringan aplikasi firewall" yang dapat Anda gunakan untuk melindungi
sejumlah server web pada jaringan yang sama. Banyak
praktisi keamanan lebih memilih untuk memiliki lapisan keamanan yang terpisah.
Dengan itu Anda mendapatkan isolasi lengkap dari sistem
yang Anda lindungi. Di sisi performa,
ModSecurity mandiri akan memiliki sumber daya yang didedikasikan untuk itu,
yang berarti Anda dapat melakukan lebih banyak (yaitu memiliki aturan yang
lebih kompleks). Kerugian utama dari pendekatan
ini adalah titik kegagalan baru, yang perlu ditangani dengan setup ketersediaan
tinggi dari dua atau lebih proxy terbalik.
Apakah ada yang hilang?
ModSecurity adalah alat yang sangat bagus, namun ada
sejumlah fitur, besar dan kecil, yang bisa ditambahkan. Fitur kecilnya adalah yang akan mempermudah hidup Anda dengan
ModSecurity lebih mudah, mungkin mengotomatisasi beberapa pekerjaan membosankan
(misalnya, pemblokiran terus-menerus, yang harus Anda lakukan secara manual).
Tapi sebenarnya hanya ada dua fitur yang saya sebut
hilang:
1.
Belajar
Membela
aplikasi web itu sulit, karena ada begitu banyak, dan semuanya berbeda. (Saya sering mengatakan bahwa setiap aplikasi web efektif
menciptakan protokol komunikasi sendiri.) Akan sangat berguna jika ModSecurity
mengamati lalu lintas aplikasi dan membuat model yang nantinya dapat digunakan
untuk menghasilkan kebijakan atau membantu dengan kesalahan positif. Saat berada di Breach Security, saya memulai sebuah proyek
bernama ModProfiler [http://www.modsecurity.org/projects/modprofiler/] sebagai
langkah menuju pembelajaran, namun proyek itu masih saya tinggalkan, seperti
versi 0.2.
2.
Modus
pengerahan pasif
ModSecurity hanya dapat disematkan di Apache 2.x,
namun saat Anda menggunakannya sebagai proxy balik, ini bisa digunakan untuk
melindungi server web manapun. Proksi
balik bukanlah secangkir teh setiap orang, namun terkadang sangat berguna untuk
menerapkan ModSecurity secara pasif, tanpa harus mengubah apapun di jaringan.
Ossec
Ossec
merupakan salahsatu aplikasi yang dapat berfungsi sebagai IPS. Ossec
digunakan untuk memonitoring sistem dari aktifitas-aktifitas penyusupan atau
penyerangan terhadap sistem, kemudian membuat log dan mampu memblok alamat ip
penyerang dan memberikan peringatan via email ke system administrator.
OSSEC
mengawasi semuanya, secara aktif memantau semua aspek aktivitas sistem Unix
dengan pemantauan integritas file, pemantauan log, pemeriksaan akar, dan
pemantauan proses. Dengan OSSEC Anda
tidak akan berada dalam kegelapan tentang apa yang terjadi pada aset sistem
komputer Anda yang berharga.
OSSEC juga
mengekspor alert ke sistem any SIEM melalui syslog sehingga Anda bisa
mendapatkan analisis real-time dan wawasan tentang kejadian keamanan sistem
Anda.
Open Source
OSSEC
sepenuhnya open source dan gratis untuk anda gunakan. Anda dapat menyesuaikan
OSSEC untuk kebutuhan keamanan Anda melalui opsi konfigurasi yang ekstensif,
menambahkan peraturan peringatan khusus dan skrip penulisan yang mengambil
tindakan untuk menanggapi lansiran keamanan. Anda bebas memodifikasi kode
sumber untuk menambahkan kemampuan baru.
PCI
OSSEC
membantu pelanggan memenuhi persyaratan kepatuhan spesifik seperti yang
diuraikan dalam PCI DSS 1.2 / 2.0. Ini memungkinkan pelanggan mendeteksi dan
memberi peringatan tentang modifikasi sistem file yang tidak sah dan perilaku
berbahaya berdasarkan entri dalam file log produk COTS serta aplikasi khusus.
Mendukung
OSSEC
didukung oleh komunitas pengembang, admin dan pengguna TI yang besar. Anda
dapat memanfaatkan sumber daya ini melalui situs Github kami, berlangganan salah satu grup
pendukung Google kami, atau dengan menghubungi salah satu perusahaan mitra
kami.
Dipercaya oleh Vendor Keamanan dan Departemen IT
Atomicorp
Atomicorp adalah produsen Atomic Secured Linux ™ yang menyediakan kernel Linux paling aman di pasaran yang menggabungkan deteksi intrusi host OSSEC, manajer ancaman yang mengeras aplikasi web dan sistem operasi Anda, dan sistem penyembuhan diri yang secara otomatis memperbaiki masalah sebagai Mereka terjadi, dari proses yang jatuh pada server Anda, hingga masalah pada database Anda, bahkan kesalahan sistem dasar sekalipun.Atomicorp memberikan dukungan komprehensif dan umpan Threat Intelligence untuk OSSEC. Hubungi: Dukungan OSSEC
Wazuh
Wazuh memberikan dukungan dan layanan profesional OSSEC. Layanan tersebut mencakup pelatihan, bantuan penyebaran dan dukungan tahunan.Wazuh telah mengembangkan sebuah peraturan OSSEC, untuk meningkatkan kemampuan deteksi. Antara lain, termasuk aturan untuk memantau kontrol PCI DSS , dan lingkungan Amazon AWS.
Wazuh telah mengintegrasikan OSSEC dan Elasticsearch , menyediakan alert dan monitoring yang komprehensif. Info lebih lanjut di: contact@wazuh.com
AlienVault
Platform Aliansi Unified
Security Management ™ (USM) AlienVault menyediakan lima kemampuan keamanan
penting dalam satu konsol tunggal, memberi Anda semua yang Anda butuhkan untuk
mengelola kepatuhan dan ancaman. Memahami
sifat lingkungan TI yang sensitif, kami menyertakan teknologi berbasis aktif,
pasif dan berbasis host sehingga Anda dapat menyesuaikan persyaratan lingkungan
khusus Anda. AlienVault USM menggunakan OSSEC
Host Intrusion Detection sebagai salah satu teknologi pondasinya.
OSSEC adalah aplikasi yang mampu berjalan multi platform, jadi silahkan anda implementasikan sesuai dengan sistem operasi yang anda gunakan, berikut adalah cara instalasi dan konfigurasi diatas sistem operasi linux, tepat nya ubuntu server 11.04.
1. Pastikan paket dasar di ubuntu telah lengkap, untuk menginstallnya;
$ sudo apt-get install build-essential
2. Download versi terbaru ossec , pada saat ini 2.6
$sudo wget http://www.ossec.net/files/ossec-hids-2.6.tar.gz
3.Extract
$sudo tar -xzvf ossec-hids-2.6.tar.gz
4.masuk ke direktory extract dan jalankan perintah install.sh dan ikuti pentunjuk yang diberikan.
cd ossec-hids-2.6
./install.sh
SNORT
1.
Definisi snort
Snort merupakan sebuah aplikasi
ataupun software yang bersifat opensource GNU General Public License [GNU89],
sehingga boleh digunakan dengan bebas secara gratis, dan kode sumber (source code)
untuk Snort juga bisa didapatkan dan dimodifikasi sendiri .
Snort
dikembangkan oleh Marty Roesch, bisa dilihat pada (www.sourcefire.com). Awalnya dikembangkan
di akhir 1998-an sebagai sniffer dengan konsistensi output.
Snort
adalah sebuah software ringkas yang sangat berguna untuk mengamati aktivitas
dalam suatu jaringan komputer. Snort dapat digunakan sebagai suatu Network
Intrusion Detection System (NIDS) yang berskala ringan (lightweight), dan
software ini menggunakan sistem peraturan-peraturan (rules system) yang relatif
mudah dipelajari untuk melakukan deteksi dan pencatatan (logging) terhadap
berbagai macam serangan terhadap jaringan komputer.
Snort
sendiri merupakan software yang masih berbasis command-line, sehingga cukup
merepotkan bagi pengguna yang sudah terbiasa dalam lingkungan Graphical User
Interface (GUI). Oleh karena itu, ada beberapa software pihak ketiga yang
memberikan GUI untuk Snort, misalnya IDScenter untuk Microsoft Windows, dan
Acid yang berbasis PHP sehingga bisa diakses melalui web browser.
Dengan
membuat berbagai rules untuk mendeteksi ciri-ciri khas (signature) dari
berbagai macam serangan, maka Snort dapat mendeteksi dan melakukan logging
terhadap serangan-serangan tersebut. Software ini bersifat opensource
berdasarkan GNU General Public License [GNU89], sehingga boleh digunakan dengan
bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa
didapatkan dan dimodifikasi sendiri bila perlu. Snort pada awalnya dibuat untuk
sistem operasi (operating system) berdasarkan Unix, tetapi versi Windows juga
sudah dibuat sehingga sekarang ini Snort bersifat cross-platform.
Beberapa
perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah
./snort –dev –l ./log
./snort –dev –l ./log –h 192.168.0.0/24
./snort –dev –l ./log –b
./snort –dev –l ./log
./snort –dev –l ./log –h 192.168.0.0/24
./snort –dev –l ./log –b
Perintah yang paling penting untuk me-log paket yang lewat adalah -l ./log yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII.
Untuk
membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan
perintah –r nama file log-nya, seperti,
./snort –dv –r packet.log
./snort –dvr packet.log icmp
./snort –dv –r packet.log
./snort –dvr packet.log icmp
Ø Network Intrusion Detection Mode
Mode
operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion
detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk
pendeteksi penyusup adaah dengan menambahkan perintah ke snort untuk membaca
file konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasi ini
lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh
snort.conf yang dibawa oleh source snort.
Beberapa
contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup,
seperti
./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf
./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf
./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf
./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf
Untuk melakukan deteksi penyusup secara
prinsip snort harus melakukan logging paket yang lewat dapat menggunakan
perintah –l nama-file-logging, atau membiarkan snort menggunakan default file
logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging
paket yang ada sesuai dengan isi perintah snort.conf. Ada beberapa tambahan
perintah yang akan membuat proses deteksi menjadi lebih effisien.
Mekanisme
pemberitahuan alert di Linux dapat di set dengan perintah –A sebagai berikut,
-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full, mode alert dengan informasi lengkap.
-A unsock, mode alert ke unix socket.
-A none, mematikan mode alert.
-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full, mode alert dengan informasi lengkap.
-A unsock, mode alert ke unix socket.
-A none, mematikan mode alert.
Untuk
mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s, seperti
tampak pada beberapa contoh di bawah ini.
./snort –c snort.conf –l ./log –s –h 192.168.0.0/24
./snort –c snort.conf –s –h 192.168.0.0/24
./snort –c snort.conf –l ./log –s –h 192.168.0.0/24
./snort –c snort.conf –s –h 192.168.0.0/24
Untuk mengirimkan alert binary ke
workstation windows, dapat digunakan perintah di bawah ini,
./snort –c snort.conf –b –M WORKSTATIONS
Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D
Atau
/usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D
dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).
./snort –c snort.conf –b –M WORKSTATIONS
Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D
Atau
/usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D
dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).
4.
Contoh instalisasi snort
Untuk menginstall Snort,
sangatlah mudah. Cukup dengan satu baris perintah berikut, Snort sudah dapat
terpasang dalam komputer kesayangan temen - temen.
root@defegacious:/#
apt-get install snort
Syaratnya, komputer teman-teman harus sudah terkonek
dengan repository, baik yang online maupun lokal. Sangat mudah bukan proses
instalasinya, tinggal nunggu lalu selesai.
Untuk mengubah konfigurasi rules Snort yang sudah
default bisa melalui,
root@defegacious:/# nano /etc/snort/snort.conf
Rules adalah konfigurasi pada Snort yang nantinya
digunakan untuk medeteksi adanya berbagai macam serangan. Nah, rulesnya ini
sangat banyak dan beragam. Lain kali saya akan membahasa beberapa, untuk yang
ini sampai disini dulu. hihiihhii
Sedangkan untuk mengecek Snort berfungsi atau tidak,
bisa menggunakan perintah berikut
root@defegacious:/# snort -v
Port sentry
Definisi
1. Port : Pelabuhan
2. Sentry : Penjaga
3. PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi
adanya port scanning & meresponds secara aktif jika ada port scanning
secara real time
Platform
Port Sentry
1. FreeBSD
2. Open BSD
3. Linux
Dimana Port
Sentry Diletakkan
1. Dibelakang Firewall
2. Dibelakang tiap host yang dilindungi
Fiture PortSentry
1. Mendeteksi scan
2. Melakukan aksi terhadap host yg
melakukan pelanggaran
3. Mengemail admin system bila di integrasikan dengan Logcheck/LogSentry
Jenis-Jenis
Scan
1. Connect scans -
2. SYN Scans - .
3. FIN Scans -
4. NULL Scans -
5. XMAS Scans - .
6. FULL-XMAS Scan -
7. UDP Scan
Aksi yang
dilakukan Port Sentry
1. Stealth setting ????
2. Melogging pelanggaran akses di
/var/log/messages
3. Menambahkan entry untuk penyerang di
/etc/hosts.deny
4. Menambahkan non-permanent route dari
penyerang ke "black-hole"
5. Mengeblok akses ke sistem
Beberapa fitur utama dari PortSentry:
1. Berjalan di atas soket TCP & UDP
untuk mendeteksi scan port ke sistem kita.
2. Mendeteksi stealth scan, seperti
SYN/half-open, FIN, NULL, X-MAS.
3. PortSentry akan bereaksi secara
real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini
dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file
/etc/host.deny secara otomatis oleh TCP Wrapper.
4. PortSentry mempunyai mekanisme untuk
mengingat mesin / host mana yang pernah connect ke dia. Dengan cara itu, hanya
mesin / host yang terlalu sering melakukan sambungan (karena melakukan
scanning) yang akan di blokir.
5. PortSentry akan melaporkan semua
pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP
mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di
integrasikan dengan Logcheck maka administrator system akan memperoleh laporan
melalui e-mail.
Pada sistem keamanan dengan Intrusion Detection System
(IDS), IDS akan memberitahukan kepada administrator jika ada penyusup yang
memasuki jaringan. Namun jika hanya mengandalkan IDS sebagai pusat keamanan
suatu jaringan komputer maka tidak cukup, karena IDS hanya mendeteksi serangan
yang telah terjadi dan kemudian mengandalkan kecepatan respon dari
administrator. Untuk mengatasi masalah tersebut, maka perlu penggabungan antara
IDS dan firewall. Fungsi dari firewall adalah menentukan paket-paket yang layak
melewati jaringan dan yang tidak layak melewati jaringan. Jika IDS dan firewall
digabungkan maka akan menjadi IPS (Intrusion Prevention Sistem).
Ada 3 jenis
IDS :
1. Packet
sniffer, untuk melihat paket yang melintas jaringan.
2.Packet
logger, untuk mencatat semua paket yang melintasi jaringan untuk dianalisis di
kemudian hari.
3. Intrusion
detection mode. Pada mode ini portsentry berfungsi untuk mendeteksi serangan
pada jaringan komputer. Untuk menggunakan mode intrusion detection memerlukan
pengaturan dari berbagai aturan yang akan membedakan sebuah paket normal dengan
paket yang membawa serangan.
Nama : Doddy Octarino
Nim : 141420127
Kelas : IF6IB
Dosen : Surya Yusra
Universitas Binadarma Palembang