65
Keterangan: 1.
Hacker melakukan serangan scanning IP dan Port ke Router. 2.
Router akan menjalankan systemnya yaitu snort untuk mendeteksi serangan tersebut. Snort membaca rule-rule yang dimilikinya untuk
mendeteksi serangan DDos tersebut. Lalu snort akan membuat alert
peringatan untuk sebagai sarana blockit menentukan dan membuat firewall block. Alert tersebut diperuntukkan admin.
3. Setelah snort mengeluarkan alert maka secara automatis blockit akan
mengikuti alert dari snort dan membuat alert intruderpengganggu untuk admin dan firewall block. Firewall block tersebut sebagai media instruksi
untuk firewall dalam memblokir serangan. 4.
Firewall membaca instruksi firewall block dari blockit dan memblokir serangan Scanning IP dan Port.
3.4 Rancangan Firewall dengan IPtables
Setelah mengerti dasar teori tentang firewall dan IPtables yang dijelaskan dalam bab II, maka dalam bab 3 ini saya akan membuat sebuah Rancangan
iptables untuk melimit sebuah serangan seperti Ddos Attack dan synflood. Dalam iptables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan,
daftar tersebut dinamakan rantai firewall firewall chain atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan FORWARD. Namun
dalam mendeteksi sebuah serangan, maka yang dipakai untuk melimit sebuah serangan adalah chain INPUT. Chain INPUT merupakan pertaruran masuknya
sebuah data dalam Router, INPUT chain di ACCEPT maka seluruh komponen networking dari layer 3 – 4 bisa masuk dalam Router kita. Begitu juga sebaliknya,
jika chain INPUT di DROPDENY maka seluruh komponen networking dalam layer 3 dan 4 tidak akan masuk.
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
66
Berikut ini Rancangan sebuah chain INPUT yang masuk untuk melimit serangan DDos dan Synflood.
Gambar 3.4.1 Skema Limitasi serangan dengan chain INPUT Keterangan:
Ketika serangan paket data DDos dan Synflood menyerang router kita maka Firewall dalam Chain INPUT akan melimit sebuah serangan paket data tersebut.
Setelah limitasi dilakukan maka akan masuk pada session log. Log sebuah firewall biasanya dibaca di varlogdaemon.log. ketika seluruh proses tersebut
sudah dijalankan maka output paket data yang keluar adalah paket data limitan yang dilakukan firewall.
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
BAB IV IMPLEMENTASI SISTEM
4.1 Konfigurasi Snort IDS Intrusion detection system
Setelah mempelajari metode IDS dan program-program yang menjalankan IDS, kini tinggallah kita mengenal konfigurasi dari snort IDS. Snort IDS
merupakan sebuah program enginemesin pendeteksi sebuah serangan yang dapat menerapkan metode IDS. Untuk instalasi snort, sudah dijabarkan dalam dasar
teori di bab II, disini saya akan langsung memperlihatkan sebuah konfigurasi dari snort IDS. Dibawah ini adalah konfigurasi dari snort IDS dengan file yang
bernama snort.conf. -
Step-step menyusun snort.conf. 1 Pendeklarasian jaringan Komputer.
2 Konfigurasi load kumpulan dynamic processor untuk snort 3 Konfigurasi pendeteksi preprocessor
4 Konfigurasi output untuk alert 5 Konfigurasi rule-rule tambahan untuk pendeteksian jika ada.
6 Konfigurasi Rule-rule yang dipakai Dan dibawah ini penjabarannya:
1. Konfigurasi deklarasi variable jaringan kita yang akan dideteksi oleh snort. konfigurasi jaringan LAN
var HOME_NET [10.124.1.024] var DNS_SERVERS HOME_NET
var SMTP_SERVERS HOME_NET var HTTP_SERVERS HOME_NET
var SQL_SERVERS HOME_NET var TELNET_SERVERS HOME_NET
var SNMP_SERVERS HOME_NET
67
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
68
Konfigurasi jaringan LUAR kita var EXTERNAL_NET any
Konfigurasi untuk multiple port web server portvar HTTP_PORTS [80,8080]
Port untuk yang diinginkan untuk pendeteksian SHELLCODE. portvar SHELLCODE_PORTS 80
Port untuk pendeteksian serangan pada oracle dihidupkan portvar ORACLE_PORTS 1521
Alamat server untuk fasilitas program chat var AIM_SERVERS
[64.12.24.023,64.12.28.023,64.12.161.024,64.12.163.024,64.12.200.024,205.1 88.3.024,205.188.5.024,205.188.7.024,205.188.9.024,205.188.153.024,205.18
8.179.024,205.188.248.024]
Path konfigurasi rule-rule yang dipakai snort var RULE_PATH etcsnortrules
2. Konfigurasi mengeluarkan kumpulan dynamic processor untuk snort
dynamic preprocessor directory dynamicpreprocessor directory usrlocallibsnort_dynamicpreprocessor
dynamicpreprocessor file usrlocallibsnort_dynamicpreprocessorlibdynamicexample.so
dynamicengine file dynamicengine usrlocallibsnort_dynamicenginelibsf_engine.so
dynamicdetection file usrlocallibsnort_dynamicrulelibdynamicexamplerule.so
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
69
3. Konfigurasi pendeteksi preprocessor
konfigurasi frag3 untuk mesin pendeteksi preprocessor frag3_global: max_frags 65536
preprocessor frag3_engine: policy first detect_anomalies
konfigurasi untuk mesin pendeteksi serangan preprocessor stream5_global: max_tcp 8192, track_tcp yes, \
track_udp yes preprocessor stream5_tcp: policy first, use_static_footprint_sizes
preprocessor stream5_udp: ignore_any_rules
konfigurasi untuk statistic performance HTTPWeb Server preprocessor http_inspect: global \
iis_unicode_map unicode.map 1252 preprocessor http_inspect_server: server default \
profile all ports { 80 8080 8180 } oversize_dir_length 500
konfigurasi RPC preprocessor rpc_decode: 111 32771
konfigurasi pendeteksi Back Orificelubang bugs preprocessor bo
konfigurasi statistic performance untuk FTP preprocessor ftp_telnet: global \
encrypted_traffic yes \ inspection_type stateful
preprocessor ftp_telnet_protocol: telnet \ normalize \
ayt_attack_thresh 200
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
70
preprocessor ftp_telnet_protocol: ftp server default \ def_max_param_len 100 \
alt_max_param_len 200 { CWD } \ cmd_validity MODE char ASBCZ \
cmd_validity MDTM [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string \ chk_str_fmt { USER PASS RNFR RNTO SITE MKD } \
telnet_cmds yes \ data_chan
preprocessor ftp_telnet_protocol: ftp client default \ max_resp_len 256 \
bounce yes \ telnet_cmds yes
Konfigurasi statistic performance SMTP preprocessor smtp: \
ports { 25 587 691 } \ inspection_type stateful \
normalize cmds \ normalize_cmds { EXPN VRFY RCPT } \
alt_max_command_line_len 260 { MAIL } \ alt_max_command_line_len 300 { RCPT } \
alt_max_command_line_len 500 { HELP HELO ETRN } \ alt_max_command_line_len 255 { EXPN VRFY }
Konfigurasi Pendeteksi scanner port preprocessor sfportscan: proto { all } \
scan_type { all } \ memcap { 10000000 } \
sense_level { high } \ detect_ack_scans
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
71
Konfigurasi Arp Spoof dari snort preprocessor arpspoof
Konfigurasi Statistic performance SSH preprocessor ssh: server_ports { 22 } \
max_client_bytes 19600 \ max_encrypted_packets 20
Konfigurasi Statistic performance Samba dan DCERPC preprocessor dcerpc: \
autodetect \ max_frag_size 3000 \
memcap 100000
Konfigurasi Statistic performance untuk DNS preprocessor dns: \
ports { 53 } \ enable_rdata_overflow
4. Konfigurasi output untuk alert
Konfigurasi output alert yang masuk dalam database mysql output database: log, mysql, user=snort password=snort dbname=snort
host=localhost
Konfigurasi memasukkan klasifikasi, prioritas, dan Referensi snort include etcsnortclassification.config
include etcsnortreference.config
5. Konfigurasi Rule-rule yang dipakai snort include etcsnortruleslocal.rules
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
72
include etcsnortrulesbad-traffic.rules include etcsnortrulesexploit.rules
include etcsnortrulesscan.rules include etcsnortrulesfinger.rules
include etcsnortrulesftp.rules include etcsnortrulestelnet.rules
include etcsnortrulesrpc.rules include etcsnortrulesrservices.rules
include etcsnortrulesdos.rules include etcsnortrulesddos.rules
include etcsnortrulesdns.rules include etcsnortrulestftp.rules
include etcsnortrulesweb-cgi.rules include etcsnortrulesweb-coldfusion.rules
include etcsnortrulesweb-iis.rules include etcsnortrulesweb-frontpage.rules
include etcsnortrulesweb-misc.rules include etcsnortrulesweb-client.rules
include etcsnortrulesweb-php.rules include etcsnortrulessql.rules
include etcsnortrulesx11.rules include etcsnortrulesicmp.rules
include etcsnortrulesnetbios.rules include etcsnortrulesmisc.rules
include etcsnortrulesattack-responses.rules include etcsnortrulesoracle.rules
include etcsnortrulesmysql.rules include etcsnortrulessnmp.rules
include etcsnortrulessmtp.rules include etcsnortrulesimap.rules
include etcsnortrulespop2.rules
Hak Cipta © milik UPN Veteran Jatim : Dilarang mengutip sebagian atau seluruh karya tulis ini tanpa mencantumkan dan menyebutkan sumber.
73
include etcsnortrulespop3.rules include etcsnortrulesnntp.rules
include etcsnortrulesother-ids.rules include etcsnortrulesweb-attacks.rules
include etcsnortrulesbackdoor.rules include etcsnortrulesshellcode.rules
include etcsnortrulespolicy.rules include etcsnortrulesporn.rules
include etcsnortrulesinfo.rules include etcsnortrulesicmp-info.rules
include etcsnortrulesvirus.rules include etcsnortruleschat.rules
include etcsnortrulesmultimedia.rules include etcsnortrulesp2p.rules
include etcsnortrulesspyware-put.rules include etcsnortrulesspecific-threats.rules
include etcsnortrulesexperimental.rules
4.2 Konfigurasi Blockit