73
include etcsnortrulespop3.rules include etcsnortrulesnntp.rules
include etcsnortrulesother-ids.rules include etcsnortrulesweb-attacks.rules
include etcsnortrulesbackdoor.rules include etcsnortrulesshellcode.rules
include etcsnortrulespolicy.rules include etcsnortrulesporn.rules
include etcsnortrulesinfo.rules include etcsnortrulesicmp-info.rules
include etcsnortrulesvirus.rules include etcsnortruleschat.rules
include etcsnortrulesmultimedia.rules include etcsnortrulesp2p.rules
include etcsnortrulesspyware-put.rules include etcsnortrulesspecific-threats.rules
include etcsnortrulesexperimental.rules
4.2 Konfigurasi Blockit
Blockit merupkan software pembantu pemblokiran sebuah serangan yang mengambil pemblokiran dari alert snort. Blockit berjalan sendiri untuk memblokir
serangan. Setelah penginstalan blockit dilakukan maka berikut ini konfigurasi dari blockit.conf yang berada dalam folder etcblockit.
Konfigurasi interface yang akan dideteksi Interface = all
Konfigurasi Host IP dan Gateway automatis terdeteksi HostIpAddr = autodetect
GatewayAddress = autodetect
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
74
Konfigurasi tipe firewall yang dipakai 0 = IPTABLES --- DEFAULT
1 = IPCHAINS 2 = IPFWADM
3 = CHECKPOINT 4 = IPFW
5 = IPFILTER 6 = PF
FirewallType = 0
Konfigurasi Chain input untuk IPtables blockit UseChain = BLOCKIT
Path IPtables FirewallPath = sbiniptables
Firewall temporary target FirewallTemporaryTarget = CUST_LOG
Konfigurasi Firewall target DefaultBlank kosong = Deny Drop FirewallPermanentTarget =
Konfigurasi pendeteksi alert snort AlertFile = varlogsnortalert
konfigurasi Letak Syslog SyslogFile = varlogsyslog
Sys Ignore Filter SyslogIgnoreFilter=\sSPT.[0-9]+\sDPT.135|137|138|139|445\s
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
75
konfigurasi letak dari SIGid SigIDFile = etcblockitblockit.sigid
Konfigurasi Ignore untuk host IP yang tidak boleh di block IgnoreFile = etcblockitblockit.ignore
Log data untuk Blockit LogFile = varlogblockitintruders
Konfigurasi host yang dideteksi blockit ExtraHostsFile = etcblockitblockit.hosts
konfigurasi auto start up untuk intruder blockit UseIntruders = 1
Keterangan: 1 adalah nilai yang di nilai yes.
Konfigurasi Path untuk intruders blockit berupa iptables yang akan di load ketika blockit berjalan
IntruderFile = etcblockitblockit.intruders
Konfigurasi Rule tambahan blockit - Ignore Established Connections -
0 = Disregard established connections -- DEFAULT 1 = Add destination IPs to temporary ignore-listconvenient
2 = Add both destination and source IPs to temporary ignore-list risky 2 is a potential security hole since anybody can establish a
connection to services like ssh and become ignored. IgnoreEstablishedConnections = 0
konfigurasi penggunaan rule blockit untuk filter IP Address 0 = No filtering, block all -- DEFAULT
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
76
1 = Only known IP destinations from ExtraHostsFile FilterTargets = 0
konfigurasi pemakaian waktu untuk mendeteksi serangan dalam kurung waktu per-menit
AccumulativeTiming = 1
konfigurasi waktu minimum firewall sebelum melakukan kick pada sebuah serangan untuk ukuran waktu per-menit
MinFirewallTime = 12
konfigurasi waktu maximal firewall sebelum melakukan banblok ip address pada sebuah serangan untuk ukuran waktu per-menit
MaxFirewallTime = 1
konfigurasi waktu untuk pemblokiran ketika alert snort diberlakukan - Default Amount of Time to Hold Rule For -
-1 = Forever Number = Amount of Time in Minutes
DTime = 20
konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi port scan
- Amount of Time to hold a Rule For a Detected Portscan -1 = Forever
Number = Amount of Time in Minutes PTime = 14400
konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi serangan yang tinggi yang terberat.
- Amount of Time to hold a Rule For a High PriorityAttack
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
77
-1 = Forever Number = Amount of Time in Minutes
HTime = -1
konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi serangan yang mediumdiantara terbesar dan terkecil pertengahan.
- Amount of Time to hold a Rule For a Medium PriorityAttack -1 = Forever
Number = Amount of Time in Minutes MTime = -1
konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi serangan yang terkecil
- Amount of Time to hold a Rule For a Low Priority Attack -1 = Forever
Number = Amount of Time in Minutes LTime = 1440
konfigurasi untuk log database. setting 1 jika ingin memasukkan log intruder dalam database.
MySQL = 0 nama database
Database = blockit user database
Username = blockit password database
Password = bl0ck1t
Dalam blockit juga disediakan sebuah konfigurasi untuk logging yang dikirim ke email. Konfigurasi ini merupakan fitur tambahan yang disediakan blockit.
Namun dalam konfigurasi yang saya gunakan tidak memakai email logging.
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
78
konfigurasi email logging set 0 jika tidak ingin menggunakan email log, set 1 untuk menggunakan
email log email = 0
Konfigurasi path sendmail MailProgram = usrsbinsendmail
Email penerima ToEmail = kafiramadhaniyahoo.com.com
email Pengirim FromEmail = blockitblah.com
path program yang dibutuhkan IfConfigPath = sbinifconfig
RoutePath = sbinroute GrepPath = bingrep
AwkPath = usrbinawk IpConntrackPath = procnetip_conntrack
4.3 Konfigurasi Firewall
