1. Home
  2. Lainnya

Rule Oinkmaster LANDASAN TEORI

19 Pendeteksian ancaman menggunakan IDS hanyalah langkah awal dalam proses pengamanan dan perlindungan pada organisasi. Kunci sesungguhnya adalah apa yang terjadi setelah ancaman terdeteksi, yaitu perencanaan respon insiden. Untuk lebih efektif harus direspon sesegera mungkin. IDS memerlukan fitur dan perlu diset untuk memberikan alert terhadap ancaman ketika serangan terjadi. Tim respon insiden harus berlatih proedur respon insiden sebelum hal “nyata” terjadi sehingga tiap regu mengetahui tugasnya masing – masing. Goal yang harus didapat oleh tim adalah : 1. Mencegah kerusakan yang lebih jauh 2. Pelacakanidentifikasi penyusup 3. Menyimpan bukti kejadian yang mengarah ke penuntutan pidana dan atau perdata

5.5 Rule

Rule dapat diartikan secara langsung yang berarti peraturan. Pada IDS yang berdasarkan rule, peranan rule ini sangat penting. Kemampuan untuk mendeteksi lalu lintas jaringan. Rule sendiri pada dasarnya dibuat oleh administrator jaringan untuk mengklasifikasikan aktifitas jaringan mana yang normal dan berbahaya pada jaringan yang dikelola. Baik snort maupun suricata, peranan rule sangat penting dalam proses pendeteksian, dikarenakan Snort dan Suricata menggunakan rule untuk menentukan apakah lalu lintas jaringan yang melaluinya merupakan 20 ancaman atau bukan. Rule pada snort dan suricata menurut AlienVault dalam artikelnya yang berjudul “Suricata IDS. What is it and how to enable it ” menyatakan “Suricata is an alternative IDS which is fully compatible with existing Snort rule” yang dapat diartikan bahwa rule pada Snort dapat digunakan juga oleh Suricata. Secara umum rule terdiri dari dua bagian yaitu rule header dan rule options. Rule header merupakan bagian rule dimana aksi – aksi rule diidentifikasi sperti Pass, Alert, Log, Activate, Dynamic, dan lain sebagainya. Rule option merupakan bagian rule dimana pesan – pesan peringatan alert messages diidentifikasi. Contoh penulisan rule : alert tcp any - any 6667 msg:”IRC port in use”; flow:from_client Bagian pertama rule menetapkan sebuah aksi untuk memperhatikan lalu lintas jaringan pada port 6667. Jika ada ada yang cocok, maka akan muncul pesan “IRC port in use”, dan IDS akan membuat catatan bahwa port IRC telah ada yang mengakses.

2.6. Snort

2.6.1. Tentang Snort

Snort adalah sebuah IDS dan IPS berbasis jaringan yang gratis dan berbasis open source yang diciptakan oleh Martin Roesch pada tahun 1998. Snort sekarang dikembangkan oleh Sourcefire dengan Roesch 21 sebagai pendiri sekaligus CTO dari Sourcefire. Pada 2009, Snort ke jajaran Hall of Fame pada majalah InfoWorld sebagai salah satu yang terbaik pada perangkat lunak berbasis open source sepanjang waktu. Snort sebagai IDS berbasis jaringan open source memiliki kemampuan untuk melakukan analisa lalu lintas jaringan secara real-time dan pendataan paket pada IP jaringan. Snort menjalankan analisa protokol, pencarian isi, dan pencocokan isi. Layanan dasar ini memiliki banyak tujuan termasuk application-aware triggeredquality of service, untuk tidak memprioritaskan lalu lintas massal ketika aplikasi yang sensitive terhadap latency sedang berjalan.

2.6.2. Fungsi Snort

Menurut Rafiudin 2010, secara prinsip, Snort memerankan tiga fungsi utama : 1. Penangkal program – program sniffer paket – paket seperti tcpdump. 2. Packet logger berguna untuk melakukan debug pada lalu lintas jaringan 3. Sebagai system pencegah intrusi untuk sistem – sistem jaringan

2.6.3. Mode Snort

Snort dapat dikonfigurasi pada tiga mode utama yaitu : 22 1. Sniffer Pada mode sniffer, program akan membaca paket jaringan dan menampilkannya pada sebuah konsol. Untuk menjalankan snort pada mode sniffer adalah dengan mengetikan baris perintah : snort –v 2. Packet logger Pada mode packet logger program akan mendata paket ke disk. Untuk menjalankan snort pada mode Packet logger adalah dengan mengetikan baris perintah : snort –dev –l varlogsnort 3. Network intrusion detection Pada mode intrusion detection, program akan memonitor lalu lintas jaringan dan menganalisanya terhadap satu set rule yang ditetapkan oleh pengguna. Program kemudian akan menjalankan sebuah aksi sesifik sesuai dengan apa yang telah diidentifikasi. Untuk menjalankan snort pada mode NIDS adalah dengan mengetikan baris perintah : snort –c snort.conf

2.6.4. Cara kerja Snort

Snort bekerjamelakukan analisa protocol, pencocokanpencarian konten, dan biasanya digunakan secara aktif untuk menangkal atau secara pasif mendeteksi suatu macam serangan dan probe tertentu seperti : 23 1. Buffer overflow 2. Stealth port scan 3. Serangan aplikasi berbasis web 4. SMB probe 5. Dan lain. Snort memiliki beberapa komponen yang setiap komponennya mempunyai tugas masing – masing. Pada saat ada paket jarignan yang melewati Ethernet dimana Snort dipasang, maka ada beberapa hal yang dilalui : 1. Packet capture library libpcap Libpcapakan memisahkan paket data yang melalui Ethernet card untuk selanjutnya digunakan oleh Snort. 2. Packet decoder Packet decoder mengambil data di layer 2 yang dikirim dari proses 1 .pertama snort akan memisahkan data link seperti Ethernet, tokenRing, 802.11 kemudian protocol IP, dan selanjutnya paket TCP dan UDP. Setelah pemisahan data selesai, snort telah mempunyai informasi protocol yang dapat diproses lebih lanjut. 3. Preprocessor Selanjutnya dilakukan analisis preprocessor atau manipulasi terhadap packet sebelum dikirim ke detection engine. Manipulasi paket berupa penandaan, engelompokan, atau dihentikan. 24 4. Detection engine Paket dari packet decoder akan ditest dan dibandingkan dengan rules yang telah ditetapkan sebelumnya. Rules berisi tanda – tanda signature yang termasuk serangan 5. Output Output berupa report dan alert yang dapat berupa text, syslog, tcpdump, binary format, atau database.

2.7. Suricata

2.7.1. Tentang Suricata

Suricata merupakan Network IDS, IPS, dan Sebuah mesin monitor keamanan jaringan dengan performa tinggi. Suricata adalah IDS open source dan dimiliki oleh sebuah komunitas non-profit, yaitu Open Information Security Foundation OISF. Suricata dikembangkan oleh OISF dan vendor pendukungnya.

2.7.2. Fitur Suricata

Menurut website suricata berikut adalah fitur – fitur pada suricata : 1. IDS IPS Suricata mengimplementasikan signature language yang lengkap untuk mencocokkan dengan ancaman yang dikenal, 25 policy violation, dan perilaku berbahaya. Suricata juga mendeteksi banyak anomali pada lalu lintas yang diinspeksi. Suricata mampu menggunakan ruleset dari Emerging Threats Suricata dan VRT ruleset. 2. High Performance Suricata mampu melakukan inspeksi lalu lintas multi-gigabit. Engine pada suricata dibangun secara multi threading, modern, basis kode yang bersih dan scalable. Ada dukungan asli untuk akselerasi hardware pada beberapa vendor dan melalui PF_RING dan AF_PACKET. Suricata secara experimental mampu menggunakan GPU Acceleration untuk tugas yang intensif. 3. Automatic Protocol Detection Suricata secara otomatis mendeteksi protocol seperti HTTP pada sembarang port dan mengaplikasikan pendeteksian yang diperlukan dan logging logic. Ini sangat membantu untuk menemukan malware dan CnC channels. 4. NSM : More than an IDS Suricata mampu melakukan log HTTP request, mencatat dan menyimpan sertifikat TLS, ekstrak file yang mengalir dan menyimpan ke disk. Mendukung pcap capture secara penuh 26 untuk memudahkan analisa. Ini membuat Suricata sebuah mesin yang powerfull bagi Network Security Monitoring NSM ecosystem. 5. Lua Scripting Analisa dan fungsionalitas yang lebih maju tersedia untuk mendeteksi sesuatu tidak memungkinkan antara ruleset syntax. 6. Industry Standard outputs Pada suricata versi 2.0 dipe rkenalkan “Eve”, semua JSON even dan alert output. Ini memperbolehkan integrasi yang mudah dengan Logstash dan tool yang mirip.

2.8. Oinkmaster

Oinkmaster merupakan script yang digunakan untuk membantu memperbaharui maupun memanajemen rules. Oinkmaster dirilis dibawah naungan lisensi BSD dan bekerja pada berbagai platform yang mampu menjalankan script Perl seperti linux, BSD, Windows, Max OS X, Solaris, dan sebagainya. Oinkmaster dapat digunakan untuk memperbaharui dan memanajemen rules berlisensi VRT, community rules, bleeding-snort rules, dan rules dari pihak ketiga lainnya termasuk rules yang dibuat sendiri. Pada Ubuntu, instalasi Oinkmaster dapat dilakukan dengan menjalankan perintah : 27 sudo apt-get install oinkmaster File konfigurasi pada oinkmaster berada pada direktori etcoinkmaster.conf . Pada file konfigurasi Oinkmaster perlu dilakukan beberapa perubahan terutama pada baris dari mana rule yang akan digunakan untuk memperbaharui diperoleh dengan merubah baris konfigurasi pada bagian berikut : … url = http:emergingthreats.netopenlokasi rules … Untuk menjalankan Oinkmaster dapat dijalankan dengan menggunakan baris perintah sebagai berikut : oinkmaster –C etcoinkmaster.conf –o etcsnortrules Untuk bantuan pada pada oinkmaster dapat dilakukan dengan mengetikkan perintah : Oinkmaster -h

2.9. Pytbull

Dokumen yang terkait

Perancangan Sistem Keamanan Komputer Berbasis Snort Intrusion Detection System dan IPTables Firewall.

24 125 65

Pengembangan perangkat wireless IDS ( Intrusion Detection System berbasis Embedded Sytem ; studi kasus; Badan narkotika Nasional

1 13 145

Penerapan Intrusion Detection System Pada Web Server Menggunakan Metode Signature Based

8 71 184

Implementasi sistem keamanan data menggunakan metode Intrusion Detection System (IDS) pada IPv4 dan IPv6

3 49 110

Pemanfaatan IPTables Sebagai Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) Pada Linux Server

0 1 5

Institutional Repository | Satya Wacana Christian University: Integritas Suricata Intrusion Detection System (IDS) dengan Mikrotik Firewall untuk Keamanan Jaringan Fakultas Teknologi Informasi Universitas Kristen Satya Wacana

3 9 21

Pemanfaatan Iptables Sebagai Intrusion Detection System (IDS) pada Linux Server

1 1 6

Pengembangan Intrusion Detection System Terhadap SQL Injection Menggunakan Metode Learning Vector Quantization

0 0 7

Intrusion Detection System (Portsentry dan Honeypot)

0 5 31

Tampilan Implementasi Intrusion Detection System (IDS) Pada Keamanan PC Server Terhadap Serangan Flooding Data

0 0 9