Jam

Senin, 02 Maret 2009

Membangun Intrussion Preventif Sistem

Artikel ini berharap bisa menjadi wacana bahwa betapa pentingnya pengamanan di lingkungan terbuka, khususnya Internet. Setiap node yang sudah terhubung dengan Internet, bisa menjadi sasaran serangan. Dibutukannya pengamanan mulai dari yang bersifat monitoring sampai yang bersifat preventif, bisa mengurangi kerusakan aplikasi maupun sistem yang ada. Maksudnya bersifat monitoring, setiap paket/perilaku yang melewati sistem pengaman akan dicatat segala macam perilakunya, dengan demikian pengambilan keputusan dapat dilakukan dikemudian hari. Sedangkan yang bersifat preventif, sistem pengaman yang dibangun lebih bisa menangani kejanggalan perilaku yang diterimanya, dan akan melakukan pemblokiran. Tetap saja, kedua sifat diatas memilki suatu aturan, yang menjadi dasar/pijakan untuk melakukan tindakan atau hanya memberikan report.

Salah satu alat bantu yang dapat mempermudah kerja sysadmin, yaitu Snort. Aplikasi opensource yang telah diunduh +3 juta kali, membuktikan aplikasi ini dapat dilirik oleh sang sysadmin.

Kebutuhan:
1. Sistem Operasi (GNU/Linux CentOS 5)
2. Snort 2.8.0
3. Libpcap, libpcap & libpcap-devel
4. PCRE, pcre & pcre-devel
5. WebServer Apache (Optional)
6. MySQL Server, mysql-server & mysql-devel (Optional)
7. PHP (Optional)
8. Barnyard (Optional)
9. BlockIT

Asumsi, paket-paket diatas sudah terinstall dengan baik itu menggunakan paket binary maupun source (tar.bz2). Yang sebelumnya dengan meng-update paket-paket yang terbaru, serta mematikan services/daemon yang tidak diperlukan.

Instalasi Snort

[dee @alif ~]$ tar xjvf snort-2.8.0.tar.gz
[dee @alif ~]$ cd snort-2.8.0
[dee @alif snort-2.8.0]$ ./configure –prefix=/usr \
–sysconfdir=/etc/snort \
–mandir=/usr/share/man \
–with-libpcap \
–with-dynamicplugins
[dee @alif snort-2.8.0]$ make
[root @alif snort-2.8.0]# make install (superuser “root”)

Setelah instalasi selesai, dengan keyakinan tidak adanya pesan kesalahan. Lanjutkan dengan membuat direktori untuk peletakkan berkas-berkas snort.

[root @alif snort-2.8.0]# mkdir -p /etc/snort/rules; mkdir /var/log/snort
[root @alif snort-2.8.0]# cp etc/* /etc/snort/

Download snort rules (sebaiknya yang terbaru).

[dee @alif ~]$ tar xzvf snortrules-pr-2.4.tar.gz
[root @alif ~]# cp rules/* /etc/snort/rules/

Setelah selesai instalasi diatas, kita akan memodifikasi berkas konfigurasi snort (/etc/snort/snort.conf) sesuai dengan peletakkan pada sistem.

[root @alif ~]# vim /etc/snort/snort.conf

Lakukan perubahan baris-baris berikut
— snort.conf file configuration —

var HOME_NET 192.168.1.0/24
var EXTERNAL_NET $HOME_NET
var RULE_PATH /etc/snort/rules
dynamicpreprocessor directory /usr/lib/snort_dynamicpreprocessor/
dynamicengine /usr/lib/snort_dynamicengine/libsf_engine.so

Setelah selesai, silahkan simpan berkas snort.cof

!!! Perhatian
Untuk rules, ada sedikit yang harus dicomment di berkas
/etc/snort/rules/web-misc.rules pada baris 97,98 dan 452

— end of file —

Silahkan ambil snort-init untuk mengatur starting & ending service snort.

[dee @alif ~]$ wget http://202.152.18.10/linux/snort-init.txt
[root @alif ~]# cp snort-init.txt /etc/init.d/snort
[root @alif ~]# chmod +x /etc/init.d/snort

Agar setiap kali selesai booting komputer, service snort dapat dijalankan
secara otomatis, hendaknya dilakukan perintah dibawah ini:
[root @alif ~]# chkconfig –add snort

Jalankan, snort

[root @alif ~]# /etc/init.d/snort start
Starting snort service: [ OK ]

Dengan demikian, proses instalasi snort pada sistem sudah selesai.
Untuk memonitoring berkas/LOG yang disimpan snort

[root @alif ~]# tail -f /var/log/snort/alert
[**] [1:1419:9] SNMP trap udp [**]
[Classification: Attempted Information Leak] [Priority: 2]
10/26-16:43:48.741706 192.168.1.101:53809 -> 192.168.1.87:162
UDP TTL:255 TOS:0×0 ID:15979 IpLen:20 DgmLen:244
Len: 216
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0013][Xref =>
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2002-0012][Xref =>
http://www.securityfocus.com/bid/4132][Xref =>
http://www.securityfocus.com/bid/4089][Xref =>
http://www.securityfocus.com/bid/4088]

Untuk mengganti, listening interface dapat dilakukan pengeditan langsung pada berkas /etc/init.d/snort Asumsi interface eth0 merupakan ethernet yang digunakan sebagai fungsi yang menangani paket yang masuk dan keluar.

Setelah snort berjalan dengan normal, dan bisa menampilkan pesan seperti diatas selanjutnya kita coba memasuki tahap pencegahan sistem. Salah satu aplikasi yang kita gunakan saat ini adalah blockit (www.texnofx.com)

Instalasi Blockit
—————–

# ./install.sh
Please Enter Install Directory [/usr/local/blockit]:/usr/sbin/blockit
Do you want to configure MySQL support? [y/n]: n
If using PF add a line saying ‘anchor blockit’ in your /etc/pf.conf!
#

Konfigurasi Blockit (blockit.conf)
———————————

FirewallType = 0
AlertFile = /var/log/snort/alert

Sedangkan berkas blockit.ignore, digunakan untuk memberikan pengecualian
daftar IP yang tidak akan diblok oleh Firewall.

Setelah selesai konfigurasi, untuk menjalankannya

# /usr/sbin/blockit start

Silahkan lakukan pengetesan, apakah sistem yang dibangun sudah berfungsi.
Lakukan scanning, ke sistem yang diinstall, dan lihat hasilnya.


Thanks to Antarmedia Network Solution..

Baca selengkapnya »

0 komentar:

Profile

Foto Saya
tomfisher
I JUST DO what i want. it's not about what people are saying IT'S ABOUT ME.
Lihat profil lengkapku

Copyright © Regenbogen 2010

Template By Nano Yulianto