Assalamu'alaikum.wr.wb.
Halo, apa kabar semua? Disini saya ingin melanjutkan menulis artikel atau materi di Blog supaya tidak kaku karena sudah beberapa minggu tidak menulis di Blog. Saya akan menulis di blog materi tentang Keamanan Jaringan. Yuk langsung masuk materi saja, mohon disimak dan dipahami dengan sebaik-baiknya hehehe.
B. Bahan-bahan
1. CentOS-7-x86_64-DVD-1503-01
2. Package Snort, bisa di download di website resminya langsung https://www.snort.org/downloads.
Package yang harus didownload adalah:
- snort 2.9.x.rpm
- daq 2.0.6.rpm
- community-rules.tar.gz
3. Install required package untuk builing snort.
C. Langkah Kerja
1. Login ke root dahulu pada server, lihat IP Address pada server dengan perintah ifconfig
2. Update dahulu sebelum menginstall required package untuk snort.
3. Remote server dengan SSH dan untuk masukkan password root.
5. Download dahulu package snort, kemudian transfer file ke server dengan SFTP (Secure File Transfer Protocol) dengan port 22. Masukkan pada bagian Host dengan IP Server, dengan Username menggunakan root beserta password root lalu klik Quickconnect.
10. Masuk ke direktori daq, install dan compile package.
11. Setelah selesai, pindah ke direktori snort kemudian install dan compile package.
12. Buat soft link untuk snort binary.
13. Verify sesudah diinstal dengan snort -V.
15. Buat direktori log dan dynamic rules untuk snort.
16. Berikan permissions 5775 (r-xrwxrwxr-x) pada direktori snort, log, dan dynamic rules agar bisa di write, read, dan execute pada grup.
17. Copy *.conf dan *.map file dari snort yang sudah diekstrak tadi ke direktori /etc/snort.
18. Backup file snort.conf sebelum di edit, kemudian tambahkan file rule di snort.conf dengan perintah sed -i atau echo.
19. Edit pada line 45. ubah dengan memasukkan IP Server dan tambahkan pada eksternal !$HOME_NET.
20. Pindah ke line 104, tambahkan rule.
21. Pindah ke line 551, tambahkan rule_path.
22. Hapus bagian white_list dan black_list kemudian simpan hasil konfigurasi dengan :wq.
24. Pindah ke direktori /etc/snort/rules/ dan jalankan perintah berikut.
A. Tujuan
Mendeteksi serangan apabila terdapat penetrasi dalam parameter keamanan jaringan di server kalian.
1. CentOS-7-x86_64-DVD-1503-01
2. Package Snort, bisa di download di website resminya langsung https://www.snort.org/downloads.
Package yang harus didownload adalah:
- snort 2.9.x.rpm
- daq 2.0.6.rpm
- community-rules.tar.gz
3. Install required package untuk builing snort.
C. Langkah Kerja
Install dan Konfigurasi SNORT
2. Update dahulu sebelum menginstall required package untuk snort.
# yum update
3. Remote server dengan SSH dan untuk masukkan password root.
4. Install required package untuk snort.
# yum install -y gcc make rpm-build autoconf automake flex libpcap-devel bison libdnet libdnet-devel mysql-devel pcre-devel php-mysql
5. Download dahulu package snort, kemudian transfer file ke server dengan SFTP (Secure File Transfer Protocol) dengan port 22. Masukkan pada bagian Host dengan IP Server, dengan Username menggunakan root beserta password root lalu klik Quickconnect.
6. Apabila muncul Host key Mismatch, centang saja pada bagian Update cached key for this host lalu OK.
7. Transfer file package snort ke server. Disini saya memasukkan ke direktori /usr/local/src/.
8. Lihat dengan perintah ls package snort yang sudah berhasil di transfer pada server.
9. Ekstrak terlebih dahulu package daq dan snort.
# tar -zxvf daq-2.0.6.tar.gz # tar -zxvf snort-2.9.7.6.tar.gz
10. Masuk ke direktori daq, install dan compile package.
# cd daq-2.0.6 # ./configure && make && make install
11. Setelah selesai, pindah ke direktori snort kemudian install dan compile package.
# cd snort-2.9.7.6 # ./configure --enable-sourcefire && make && make install && ldconfig
12. Buat soft link untuk snort binary.
# ln -s /usr/local/bin/snort /usr/sbin/snort
13. Verify sesudah diinstal dengan snort -V.
14. Buat direktori baru untuk snort.
# cd .. # mkdir /etc/snort # mkdir /etcl/snort/rules # mkdir /etc/snort/prepoc_rules # touch /etc/snort/rules/white_list.rules # touch /etc/snort/rules/blacklist.rules # touch /etc/snort/rules/blacklist.rules
15. Buat direktori log dan dynamic rules untuk snort.
# mkdir /var/log/snort # mkdir /usr/local/lib/snort_dynamicrules
16. Berikan permissions 5775 (r-xrwxrwxr-x) pada direktori snort, log, dan dynamic rules agar bisa di write, read, dan execute pada grup.
# chmod -R 5775 /etc/snort/ # chmod -R 5775 /var/log/snort/ # chmod -R 5775 /usr/local/lib/snort # chmod -R 5775 /usr/local/lib/snort_dynamicrules/
17. Copy *.conf dan *.map file dari snort yang sudah diekstrak tadi ke direktori /etc/snort.
# cp /usr/local/src/snort-2.9.7.6/etc/*.conf* /etc/snort/ # cp -v //usr/local/src/snort-2.9.7.6/etc/*.map* /etc/snort/
18. Backup file snort.conf sebelum di edit, kemudian tambahkan file rule di snort.conf dengan perintah sed -i atau echo.
# cp /etc/snort/snort.conf /etc/snort/snort.conf_orig # sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf
19. Edit pada line 45. ubah dengan memasukkan IP Server dan tambahkan pada eksternal !$HOME_NET.
# ipvar HOME_NET 192.168.1.0/24 # ipvar EXTERNAL_NET !$HOME_NET
20. Pindah ke line 104, tambahkan rule.
# var RULE_PATH /etc/snort/rules # var SO_RULE_PATH /etc/snort/so_rules # var PREPROC_RULE_PATH /etc/snort/preproc_rules # var WHITE_LIST_PATH /etc/snort/rules # var BLACK_LIST_PATH /etc/snort/rules
21. Pindah ke line 551, tambahkan rule_path.
include $RULE_PATH/local.rules
22. Hapus bagian white_list dan black_list kemudian simpan hasil konfigurasi dengan :wq.
23. Pindah ke direktori src, ekstrak community-rules kemudian pindahkan ke direktori /etc/snort/rules/.
# tar -zxvf community-rules.tar.gz # mv community-rules /etc/snort/rules/
24. Pindah ke direktori /etc/snort/rules/ dan jalankan perintah berikut.
# cd /etc/snort/rules/ # snort -T -c /etc/snort/snort.conf
Testing Penetrasi/Penyerangan ke Jaringan Server
1. Disini saya akan mencoba menyerang ke server sendiri, saya menggunakan apps LOIC. Saya menggunakan OS Windows karena apps ini membutuhkan NET.Framework. Jalankan LOIC, masukkan IP Server dan Lock On, pilih port UDP, masukkan Threat (berapa pun). Semakin banyak threat yang diberikan, maka serangan ke jaringan server akan lebih banyak ataupun secara menyeluruh. Kemudian klik IMMA CHARGIN MAH LAZER.
2. Maka Requested akan terus berjalan.
3. Coba ping IP Server apakah terganggu, terlihat jaringan di server sudah down (Ini tergantung Threat yang diberikan).
Pendeteksian Serangan Jaringan di Server
1. Di server terlihat jaringan sudah Disconnected (DC), apabila di hubungkan kembali jaringan tersebut tidak bisa dikarenakan serangan masih berjalan.
2. Masuk ke server, masukkan perintah snort -v.
3. IP Attacker (Serangan) terdeteksi oleh snort.
Menghentikan Serangan ke Jaringan Server
1. Apabila ingin menghentikan serangan, klik Stop Floading.
2. Coba ping IP Server, terlihat server sudah berjalan normal.
Semoga Bermanfaat
Terima kasih
Wassalamu'alaikum.wr.wb.
Sumber:
1. http://www.server-world.info/en/note?os=CentOS_6&p=snort
2. http://www.unixmen.com/install-snort-nids-ubuntu-15-04/
3. http://www.unixmen.com/install-snort-nids-centos-7/
Sumber:
1. http://www.server-world.info/en/note?os=CentOS_6&p=snort
2. http://www.unixmen.com/install-snort-nids-ubuntu-15-04/
3. http://www.unixmen.com/install-snort-nids-centos-7/