Aplikasi dan pengertian Snort dan Tools-swatch, log check, mod security, honey port

Laporan Akhir Praktikum

Mata praktikum         : Administrasi Keamanan Jaringan

Semester                      : III (tiga)

Praktikum ke              : 12 (dua belas)

Tanggal                        : 21 Desember 2012

Materi                         : Aplikasi dan pengertian Snort dan Tools-swatch, log check, mod security, honey port

NIM                              : A 1311046

Nama                            : Nyumaita Sari

Nama Dosen                : Hendrik Setyo Utomo, ST

Nama Asisten              : Sidik Prasetyo, Mufita Sari

Paraf  Dosen               :

Jumlah lembar            : 9 Lembar

Laboratorium Informatika

POLITEKNIK TANAH LAUT

2012

v Aplikasi Snort

Snort mengisi sebuah'' niche penting `` ekologi di bidang keamanan jaringan: a cross platform, Jaringan ringan deteksi intrusi alat yang dapat digunakan untuk memantau kecil TCP / IP jaringan dan mendeteksi berbagai lalu lintas jaringan yang mencurigakan sebagai serta serangan langsung. Hal ini dapat memberikan administrator dengan data yang cukup untuk membuat keputusan pada tindakan yang tepat dalam menghadapi mencurigakan activ-ity. Snort juga dapat digunakan dengan cepat untuk mengisi potensi lubang dalam cakupan keamanan jaringan, seperti ketika
baru serangan muncul dan vendor keamanan komersial
lambat untuk melepaskan tanda tangan serangan pengakuan baru

Snort adalah alat untuk kecil, ringan dimanfaatkan net-karya. Snort berguna bila tidak biaya efisien untuk
menyebarkan sensor komersial NIDS. Sistem intrusi modern komersil deteksi biaya ribuan dol-lars minimal, puluhan atau bahkan ratusan ribu
dalam kasus yang ekstrim. Snort tersedia di bawah GNU
General Public License [GNU89], dan gratis untuk penggunaan
dalam lingkungan apapun, membuat kerja Snort

Snort adalah jaringan sumber intrusi bebas dan terbuka sistem pencegahan (NIPS) dan jaringan sistem deteksi intrusi (NIDS) diciptakan oleh Martin Roesch pada tahun 1998. Snort kini dikembangkan oleh Sourcefire, yang Roesch adalah pendiri dan CTO. Pada tahun 2009,. Snort memasuki Open Source InfoWorld Hall of Fame sebagai salah satu "[buah] terbesar perangkat lunak open source sepanjang masa".

Open source Snort yang berbasis jaringan intrusion detection system (NIDS) memiliki kemampuan untuk melakukan real-time analisis lalu lintas dan paket logging pada Internet Protocol (IP) jaringan. Snort melakukan analisis protokol, pencarian isi, dan pencocokan konten. Program ini juga dapat digunakan untuk mendeteksi probe atau serangan, termasuk, namun tidak terbatas pada, upaya sistem operasi sidik jari, antarmuka gateway umum, buffer overflows, probe server pesan blok, dan port scan siluman.

Snort dapat dikonfigurasi dalam tiga mode utama:. Sniffer, packet logger, dan deteksi intrusi jaringan. Dalam mode sniffer, program akan membaca paket jaringan dan menampilkannya pada konsol. Dalam mode paket logger, program akan mencatat paket ke disk. Dalam modus intrusion detection, program ini akan memonitor lalu lintas jaringan dan menganalisanya terhadap seperangkat aturan yang ditetapkan oleh pengguna. Program ini kemudian akan melakukan tindakan tertentu berdasarkan apa yang telah diidentifikasi.

Instalasi Snort Linux Ubuntu

)

Snort, merupakan aplikasi yang digunakan sebagai tool security yangberfungsi sebagai pendeteksi adanya intrusi pada jaringan. Intrusi itu misalnya penyusupan, penyerangan, dan berbagai macam ancaman lain yang membahayakan.
Istilah keren Snort ini adalah Network Prevention System (NIPS) dan Network Intrusion Detection System (NIDS). Dalam buku yang saya baca mengatakan bahwa Snort sangat handal untuk membentuk logging paket-paket dan traffic analysis pada jaringan secara real time. Tambahan dari berbagai sumber yang saya baca, Snort ini juga tidak hanya berjalan sebagai aplikasi pendeteksi adanya intrusi saja namun juga dapat merespon tindakan penyerangan yang ada.

Untuk menginstall Snort, sangatlah mudah. Cukup dengan satu baris perintah berikut, Snort sudah dapat terpasang dalam komputer kesayangan temen - temen. root@defegacious:/# apt-get install snort Syaratnya, komputer teman-teman harus sudah terkonek dengan repository, baik yang online maupun lokal. Sangat mudah bukan proses instalasinya, tinggal nunggu lalu selesai.Untuk mengubah konfigurasi rules Snort yang sudah default bisa melalui, root@defegacious:/# nano  /etc/snort/snort.conf

Rules adalah konfigurasi pada Snort yang nantinya digunakan untuk medeteksi adanya berbagai macam serangan. Nah, rulesnya ini sangat banyak dan beragam. Lain kali saya akan membahasa beberapa, untuk yang ini sampai disini dulu.Sedangkan untuk mengecek Snort berfungsi atau tidak, bisa menggunakan perintah berikut root@defegacious:/# snort –v. Sebagai contoh, Snort ini saya jalankan pada Maverick. Lalu ketika ada seseorang yang mencoba men-scan laptop saya, maka Snort akan langsung memberikan peringatan seperti skrinsut dibawah ini,

1.     Tools-tools Host-based

·         Log Scanners

OPMES 212 memiliki sejarah panjang di banyak lingkungan pabrik gergaji yang berbeda. Ini telah menunjukkan yang terbaik sebagai scanner handal dengan layanan yang mudah. Scanner ini terdiri dari ramp foto transistor dan unit cahaya dengan cermin parabola dan lampu halogen. Panjang log diukur dengan photocells dan encoder. Pemindai OPMES 212 dapat mengukur menyapu log dengan conveyor terus menerus dengan penerbangan rendah.

Sistem pengukuran menggunakan kamera matriks dan sinar laser. Sistem ini menghasilkan gambar tiga dimensi lengkap dari log, yang membuat diameter menghitung seluruh panjang mungkin. Dalam sifat masa depan pemindai ini dapat ditingkatkan dengan x-ray pengukuran. Hal ini menawarkan kemungkinan serbaguna untuk grading log.

·         Swatch

"Swatch" memulai pembangunan di awal 1980-an, di bawah kepemimpinan kemudian, CEO ETA SA Ernst Thomke dengan tim kecil insinyur menonton antusias dipimpin oleh Elmar Mock dan Jacques Müller, [1] Para insinyur dari Swatch dirancang kasus belakang menonton sebagai piring gerakan utama (platina). Konsep ini menyebabkan arloji tertipis di dunia - Delirium, yang memulai debutnya pada tahun 1979 [2] [3].

Diciptakan pada awal sebagai pencatat waktu standar dalam plastik, Franz Sprecher, [4] seorang konsultan pemasaran disewa oleh Thomke untuk memberikan proyek pertimbangan orang luar, segera memimpin proyek ke dalam apa yang telah menjadi: garis trendi jam tangan dengan merek penuh identitas dan konsep pemasaran - bukannya mengembangkan hanyalah koleksi arloji, yang bisa segera diimbangi dengan kompetisi.

Swatch pada awalnya ditujukan untuk menangkap kembali pangsa pasar entry level hilang oleh produsen Swiss selama pertumbuhan agresif perusahaan Jepang seperti Seiko dan Citizen pada 1960-an dan 1970-an dan kembali mempopulerkan jam tangan analog pada saat jam digital telah mencapai popularitas yang luas . Peluncuran merek Swatch pada tahun 1983 ditandai dengan desain baru yang berani, styling dan pemasaran.

Lebanon pengusaha, Nicolas G. Hayek, yang, dengan sekelompok investor Swiss, mengambil alih saham mayoritas Swatch selama tahun 1985 di kemudian, antara ASUAG dan SSIH, kelompok yang baru konsolidasi dengan nama Societe de Suisse Microelectronique et d'Horlogerie, atau SMH, menjadi Ketua Dewan Direksi dan CEO pada tahun 1986 (yang kemudian secara signifikan berubah nama menjadi Kelompok Swatch), lanjut mendalangi perkembangannya untuk mencapai status sekarang utama di seluruh dunia yang menonton merek Swiss dalam ujung bawah harga menonton.

Kombinasi pemasaran dan keahlian manufaktur dipulihkan Swiss sebagai pemain utama dalam pasar arloji dunia. Bahan sintetis yang digunakan untuk watchcases serta proses ultra-sonic las baru dan teknologi perakitan. Jumlah komponen berkurang dari 91 menjadi 51 atau lebih, tanpa kehilangan akurasi. Jam tangan Swatch juga dikenal sebagai penyelamat, bagi banyak swatch-menonton penggemar gaya.

·         Logchec

Logcheck adalah utilitas sederhana yang dirancang untuk memungkinkan administrator sistem untuk melihat logfiles yang diproduksi pada host di bawah kendali mereka. Hal ini dilakukan dengan ringkasan surat dari logfiles kepada mereka, setelah pertama menyaring "normal" entri. Entri normal entri yang cocok dengan salah satu termasuk file ekspresi reguler banyak mengandung dalam database. Proyek ini dimaksudkan untuk menjadi tempat untuk semua pengembangan masa depan logcheck yang tampaknya mati hulu. Setiap pengembang Debian, atau relawan lainnya dipersilahkan untuk bergabung dalam diskusi di milis, atau komentar.

Ada beberapa tujuan dari proyek ini:

Ø Logcheck Recode untuk lebih dimengerti, dengan dokumentasi meningkat.

Ø Memiliki koleksi yang lebih lengkap, dan dipertahankan, file aturan

Ø Mendorong pengguna lain untuk berkolaborasi.

·         Mod Security

Ketersediaan ModSecurity 2.7.1 Rilis Stabil (November 14, 2012)
Tim Pengembangan ModSecurity dengan bangga mengumumkan ketersediaan ModSecurity 2.7.1 stabilitas Release.The Stabil dari rilis ini adalah baik dan mencakup banyak perbaikan bug. Kami menyarankan orang-orang meng-upgrade ke 2,7 seri karena memiliki log perbaikan bug dan satu masalah keamanan yang berhubungan dengan muatan multipart. Dalam versi ini kita berganti nama menjadi arahan dan pilihan yang berkaitan dengan fitur HMAC untuk pemahaman yang lebih baik dari teknologi. Silakan lihat catatan rilis dimasukkan ke dalam file PERUBAHAN. Untuk masalah yang diketahui dan informasi lebih lanjut tentang perbaikan bug, silakan lihat ModSecurity yang Jira online. Harap melaporkan setiap bug ke mod-security-developers@lists.sourceforge.net. Ketersediaan ModSecurity 2.7.0 Rilis Stabil (16 Oktober 2012) Tim Pengembangan ModSecurity dengan bangga mengumumkan ketersediaan ModSecurity 2.7.0 stabilitas Release. The Stabil dari rilis ini adalah baik dan mencakup banyak fitur baru dan perbaikan bug. Meliputi:

o   Internasionalisasi (I18N)

o    Dukungan HMAC Token Injeksi untuk mencegah manipulasi data

o   PCRE Dukungan JIT untuk mempercepat operator ekspresi reguler

o   Caching Lua VMs untuk mempercepat script

o   Kemampuan untuk menambahkan pengecualian berdasarkan data TAG dan MSG

    

·         File System Integrity Checkers

Apa peran pemeriksa integritas file seperti Tripwire di deteksi intrusi?

Hal ini sangat sulit untuk mengganggu sebuah sistem tanpa mengubah file sistem, jadi file checker integritas merupakan kemampuan penting dalam deteksi intrusi. Sebuah integritas file checker menghitung checksum untuk setiap file dijaga dan menyimpan ini. Pada lain waktu Anda dapat menghitung checksum lagi dan menguji nilai saat ini terhadap nilai yang disimpan untuk menentukan apakah file telah dimodifikasi. Sebuah pemeriksa integritas file adalah kemampuan yang Anda harus mengharapkan untuk menerima dengan sistem host intrusion detection komersial berbasis.

The checksum utama yang digunakan untuk ini adalah 32 bit CRC (Cyclic Redundancy Check). Penyerang telah menunjukkan kemampuan untuk memodifikasi file dengan cara checksum CRC tidak bisa mendeteksi, sehingga checksum kuat dikenal sebagai hash kriptografi yang dianjurkan. Contoh hash kriptografi termasuk MD5, dan snefru.

Salah satu tantangan dalam menggunakan pemeriksa integritas file adalah masalah positif palsu. Ketika Anda mengupdate file atau menerapkan patch sistem ini mengubah file. Membuat database awal tanda tangan mudah, menjaga up to date yang jauh lebih sulit. Namun, bahkan jika Anda hanya menjalankan checker sekali (ketika Anda pertama kali menginstal sistem) ini masih bisa sangat berharga. Jika ada yang pernah kekhawatiran bahwa sistem dikompromikan Anda dapat menjalankan checker lagi untuk menentukan file mana yang telah maupun belum dimodifikasi.

Tantangan lain dengan pemeriksa integritas file adalah bahwa Anda harus memiliki sistem murni ketika Anda membuat database referensi pertama. Jika tidak, Anda mungkin akan membuat hash kriptografi dari sistem dikompromikan sementara merasa hangat dan fuzzy yang Anda menerapkan keamanan yang baik. Hal ini juga sangat penting bahwa Anda menyimpan secara offline database referensi atau penyerang mungkin dapat kompromi sistem dan menyembunyikan jejak mereka dengan memodifikasi database referensi.

Alat integritas pemeriksa termasuk tripwire, (ftp://coast.cs.purdue.edu/pub/tools/unix atau www.tripwiresecurity.com) L5, dan SPI (SPI tersedia untuk pengguna Pemerintah AS hanya dari http:// ciac.llnl.gov). Diagram di atas menunjukkan komponen utama dari seluruh proses. Ini menunjukkan bagaimana tripwire menggunakan file konfigurasi dua input dan database Lama untuk menghasilkan laporan.

Sebuah file konfigurasi (tw.config) terdiri dari semua benda yang perlu dipantau. Artinya, berisi daftar semua file, direktori, dan juga daftar atribut yang aman bisa diabaikan saat melakukan perbandingan. Misalnya, untuk beberapa file akses perangko waktu dapat diabaikan untuk perbandingan. Daftar atribut yang dapat diabaikan dengan aman disebut masker seleksi untuk objek tersebut. Contoh dari entri dari file konfigurasi ditunjukkan di bawah ini
File / Dir Seleksi-Masker/ Etc R / / semua file di bawah / etc/ Etc / utmp L / / dinamis files= / Var / tmp R / / direktori hanya

Pilihan-mask mungkin terlihat seperti: + pinugsm12-a. Ini berarti bahwa Tripwire harus melaporkan setiap perubahan dalam izin dan mode, nomor inode, jumlah link, user id, id group, ukuran file, modifikasi timestamp dan tanda tangan 1 dan 2 tapi tidak berubah dalam cap waktu akses.

Komponen utama kedua adalah database yang terdiri dari tanda tangan yang dihasilkan sebelumnya untuk entri dalam file konfigurasi. Ini file database yang dihasilkan oleh Tripwire berisi daftar entri dengan nama file, inode nilai atribut, informasi tanda tangan, dan seleksi-topeng dan entri file yang sesuai. Kami akan membahas berbagai mode pengoperasian alat. Isi dari file konfigurasi drive setiap mode operasi. Tripwire bekerja di empat mode yang berbeda.

Basis Data Inisialisasi Modus Selama mode ini, database dasar yang berisi entri untuk setiap file yang ditetapkan dalam tw.config file konfigurasi yang dihasilkan. Setiap entri dalam database berisi nama file, atribut inode, tanda tangan, masker dan pemilihan-entri konfigurasi yang dihasilkan itu. Ini database dasar disimpan pada tamper-proof media yang aman untuk mencegah database dari yang diubah. Tripwire menggunakan database terenkripsi karena database berisi apa-apa yang akan membantu penyusup untuk merusak database. Keamanan dijamin oleh kenyataan bahwa algoritma yang digunakan untuk menghasilkan signature yang permanen. Tripwire mendukung sepuluh tanda tangan yang akan digunakan untuk setiap file. Beberapa algoritma yang MD5, MD4, MD2, Snefru, Haval dan SHA. Secara default, MD5 dan Snefru tanda tangan yang digunakan dan diperiksa untuk setiap file. Namun, tanda tangan yang berbeda dapat ditentukan untuk setiap file. Ini memberikan administrator fleksibilitas yang lebih besar. Untuk alasan kinerja, seseorang dapat menentukan pada saat run-time yang tanda tangan yang akan digunakan untuk membandingkan. Sebagai contoh, karena MD5 dan Snefru adalah komputasi intensif, tripwire bisa membandingkan CRC32 tanda tangan per jam dan membandingkan MD5 dan Snefru setiap hari.

Memeriksa integritas Modus Selama ini modus operasi, tripwire ulang membaca file konfigurasi dan melahirkan database berdasarkan isi dari file konfigurasi. Database ini dibandingkan dengan database lama menghasilkan daftar file yang ditambahkan dan dihapus. Tripwire scan sistem file untuk menemukan file yang ditambahkan, dihapus atau diubah. Untuk file yang diubah, pemilihan-topeng, yang dibaca dari database, diterapkan untuk menentukan apakah laporan harus dihasilkan. Contoh berikut menunjukkan output singkat dari Tripwire. Dalam contoh ini nama file yang dicetak dan nilai-nilai atribut yang perbandingan dibuat juga dicetak.

Pembaruan Basis Data Modus. Ketika file berubah untuk alasan yang sah kita harus mengupdate database untuk memastikan konsistensi database. Tripwire mendukung menentukan file yang akan diperbarui dari baris perintah. Mengingat daftar file atau entri konfigurasi pada baris perintah, database entri untuk berkas-berkas diregenerasi dan database baru dibuat. Updating adalah sebuah proses yang tidak boleh terlalu otomatis karena memerlukan penelaahan secara cermat. Sekali lagi database ini harus pindah ke menulis-dilindungi media yang aman untuk tujuan keamanan.

Basis Data Interaktif Pembaruan Modus Daftar perubahan yang dihasilkan selama modus integritas pengecekan, untuk setiap perubahan Tripwire meminta administrator sistem apakah file tersebut harus diperbarui. Artinya, terjadi pembaruan dalam mode interaktif. Hal ini memungkinkan administrator sistem untuk memastikan bahwa tidak ada file yang diperbarui tanpa review.

Menambahkan file lebih kompleks daripada memperbarui atau menghapus file. Dalam kasus update dan menghapus, entri database untuk file diganti dengan entri baru mencerminkan keadaan saat file. Menambahkan file lebih kompleks karena tidak akan ada entri untuk itu dalam file konfigurasi. Untuk mengatasi hal ini, Tripwire memilih entri leluhur terdekat di file konfigurasi yang seleksi-topeng itu mewarisi. Jika tidak ada entri tersebut ditemukan, file tersebut akan ditambahkan dengan standar pemilihan-mask.

·         Tripwire

Versi pertama Tripwire ditulis oleh Gene Kim dan Dr Eugene Spafford di Purdue University pada tahun 1992 dan dirilis ke komunitas open source. Sejak tahun 1999 Tripwire Inc terus berinovasi dan memperluas platform ke suite lengkap dari solusi keamanan. Perusahaan Tripwire dikombinasikan dengan Pusat Log Tripwire dan baru VIA organisasi bantuan platform yang mengelola insiden deteksi, keamanan penegakan kebijakan, mengurangi serangan permukaan dan mengotomatisasi kepatuhan terhadap peraturan. Platform Tripwire ini membantu menghubungkan keamanan untuk bisnis, menyediakan visibilitas keamanan organisasi dan sikap kepatuhan sekaligus mengotomatisasi tugas-tugas keamanan kompleks, mengurangi risiko secara keseluruhan.

IT Tripwire software keamanan mengurangi resiko, menjamin sistem dan keamanan data, dan mengotomatisasi kepatuhan terhadap peraturan. Persembahan Tripwire memecahkan manajemen konfigurasi keamanan, pemantauan terus menerus, dan masalah deteksi insiden yang dihadapi organisasi dari semua ukuran, seperti berdiri sendiri atau solusi dalam konser dengan TI lainnya kontrol keamanan. "Keamanan dan kepatuhan adalah nomor satu perhatian dari semua perusahaan, terlepas dari ukuran ketika datang ke layanan cloud.. Tripwire membantu mengatasi ini kepala-on "

Software tripwire produk-produk, terintegrasi melalui tripwire VIA platform, melindungi data sensitif Anda dan infrastruktur kritis dari pelanggaran, kerentanan, dan ancaman. Atlantic Kredit & Keuangan, Inc Mengadopsi Tripwire VIA untuk Keamanan Sistem Harden, Bertemu dan Mempertahankan Kepatuhan PCI. Tripwire untuk Hadir di Cyber ​​Security Summit 2012. Great River Energi Memanfaatkan Perusahaan tripwire untuk NERC Kepatuhan dan Keamanan Pengerasan.

2.     Honey Pot

Sebuah pot madu adalah sistem komputer di Internet yang secara tegas diatur untuk menarik dan "perangkap" orang-orang yang berusaha untuk menembus sistem komputer orang lain. (. Ini termasuk hacker, cracker, dan kanak-kanak script) Untuk mendirikan sebuah pot madu, dianjurkan agar Anda:

·     Menginstal sistem operasi tanpa patch diinstal dan menggunakan default khas dan pilihan

·      Pastikan bahwa tidak ada data pada sistem yang tidak dapat dihancurkan dengan aman

·     Tambahkan aplikasi yang dirancang untuk merekam kegiatan penyerbu
Mempertahankan panci madu dikatakan memerlukan sejumlah besar perhatian dan mungkin menawarkan sebagai tidak nilai tertinggi lebih dari pengalaman belajar (yaitu, Anda tidak dapat menangkap setiap hacker).