Install dan Konfigurasi Snort (NIDS) dengan CentOS 7.1

Assalamu'alaikum.wr.wb.

Halo, apa kabar semua? Disini saya ingin melanjutkan menulis artikel atau materi di Blog supaya tidak kaku karena sudah beberapa minggu tidak menulis di Blog. Saya akan menulis di blog materi tentang Keamanan Jaringan. Yuk langsung masuk materi saja, mohon disimak dan dipahami dengan sebaik-baiknya hehehe.

A. Tujuan

Mendeteksi serangan apabila terdapat penetrasi dalam parameter keamanan jaringan di server kalian.

B. Bahan-bahan

1. CentOS-7-x86_64-DVD-1503-01
2. Package Snort, bisa di download di website resminya langsung https://www.snort.org/downloads.
Package yang harus didownload adalah:
    - snort 2.9.x.rpm
    - daq 2.0.6.rpm
    - community-rules.tar.gz
3. Install required package untuk builing snort.


C. Langkah Kerja

Install dan Konfigurasi SNORT

1. Login ke root dahulu pada server, lihat IP Address pada server dengan perintah ifconfig

2. Update dahulu sebelum menginstall required package untuk snort.

# yum update

3. Remote server dengan SSH dan untuk masukkan password root.

4. Install required package untuk snort.

# yum install -y gcc make rpm-build autoconf automake flex libpcap-devel bison libdnet libdnet-devel mysql-devel pcre-devel php-mysql

5. Download dahulu package snort, kemudian transfer file ke server dengan SFTP (Secure File Transfer Protocol) dengan port 22. Masukkan pada bagian Host dengan IP Server, dengan Username menggunakan root beserta password root lalu klik Quickconnect.

6. Apabila muncul Host key Mismatch, centang saja pada bagian Update cached key for this host lalu OK.

7. Transfer file package snort ke server. Disini saya memasukkan ke direktori /usr/local/src/.

8. Lihat dengan perintah ls package snort yang sudah berhasil di transfer pada server.

9. Ekstrak terlebih dahulu package daq dan snort.

# tar -zxvf daq-2.0.6.tar.gz
# tar -zxvf snort-2.9.7.6.tar.gz

10. Masuk ke direktori daq, install dan compile package.

# cd daq-2.0.6
# ./configure && make && make install

11. Setelah selesai, pindah ke direktori snort kemudian install dan compile package.

# cd snort-2.9.7.6
# ./configure --enable-sourcefire && make && make install && ldconfig

12. Buat soft link untuk snort binary.

# ln -s /usr/local/bin/snort /usr/sbin/snort

13. Verify sesudah diinstal dengan snort -V.

14. Buat direktori baru untuk snort.

# cd ..
# mkdir /etc/snort
# mkdir /etcl/snort/rules
# mkdir /etc/snort/prepoc_rules
# touch /etc/snort/rules/white_list.rules
# touch /etc/snort/rules/blacklist.rules
# touch /etc/snort/rules/blacklist.rules

15. Buat direktori log dan dynamic rules untuk snort.

# mkdir /var/log/snort
# mkdir /usr/local/lib/snort_dynamicrules

16. Berikan permissions 5775 (r-xrwxrwxr-x) pada direktori snort, log, dan dynamic rules agar bisa di write, read, dan execute pada grup.

# chmod -R 5775 /etc/snort/
# chmod -R 5775 /var/log/snort/
# chmod -R 5775 /usr/local/lib/snort
# chmod -R 5775 /usr/local/lib/snort_dynamicrules/

17. Copy *.conf dan *.map file dari snort  yang sudah diekstrak tadi ke direktori /etc/snort.

# cp /usr/local/src/snort-2.9.7.6/etc/*.conf* /etc/snort/
# cp -v //usr/local/src/snort-2.9.7.6/etc/*.map* /etc/snort/

18. Backup file snort.conf sebelum di edit, kemudian tambahkan file rule di snort.conf dengan perintah sed -i atau echo.

# cp /etc/snort/snort.conf /etc/snort/snort.conf_orig
# sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf

19. Edit pada line 45. ubah dengan memasukkan IP Server dan tambahkan pada eksternal !$HOME_NET.

# ipvar HOME_NET 192.168.1.0/24
# ipvar EXTERNAL_NET !$HOME_NET

20. Pindah ke line 104, tambahkan rule.

# var RULE_PATH /etc/snort/rules
# var SO_RULE_PATH /etc/snort/so_rules
# var PREPROC_RULE_PATH /etc/snort/preproc_rules
# var WHITE_LIST_PATH /etc/snort/rules
# var BLACK_LIST_PATH /etc/snort/rules

21. Pindah ke line 551, tambahkan rule_path.

include $RULE_PATH/local.rules

22. Hapus bagian white_list dan black_list kemudian simpan hasil konfigurasi dengan :wq.

23. Pindah ke direktori src, ekstrak community-rules kemudian pindahkan ke direktori /etc/snort/rules/.

# tar -zxvf community-rules.tar.gz
# mv community-rules /etc/snort/rules/

24. Pindah ke direktori /etc/snort/rules/ dan jalankan perintah berikut.

# cd /etc/snort/rules/
# snort -T -c /etc/snort/snort.conf

Testing Penetrasi/Penyerangan ke Jaringan Server

1. Disini saya akan mencoba menyerang ke server sendiri, saya menggunakan apps LOIC. Saya menggunakan OS Windows karena apps ini membutuhkan NET.Framework. Jalankan LOIC, masukkan IP Server dan Lock On, pilih port UDP, masukkan Threat (berapa pun). Semakin banyak threat yang diberikan, maka serangan ke jaringan server akan lebih banyak ataupun secara menyeluruh. Kemudian klik IMMA CHARGIN MAH LAZER.

2. Maka Requested akan terus berjalan.

3. Coba ping IP Server apakah terganggu, terlihat jaringan di server sudah down (Ini tergantung Threat yang diberikan).

Pendeteksian Serangan Jaringan di Server

1. Di server  terlihat jaringan sudah Disconnected (DC), apabila di hubungkan kembali jaringan tersebut tidak bisa dikarenakan serangan masih berjalan.

2. Masuk ke server, masukkan perintah snort -v.

3. IP Attacker (Serangan) terdeteksi oleh snort.

Menghentikan Serangan ke Jaringan Server

1. Apabila ingin menghentikan serangan, klik Stop Floading.

2. Coba ping IP Server, terlihat server sudah berjalan normal.

Semoga Bermanfaat

Terima kasih

Wassalamu'alaikum.wr.wb.


Sumber:  
1. http://www.server-world.info/en/note?os=CentOS_6&p=snort
2. http://www.unixmen.com/install-snort-nids-ubuntu-15-04/
3. http://www.unixmen.com/install-snort-nids-centos-7/

Read More

IDS dan IPS

Hi All, Disini saya akan posting materi keamanan jaringan yaitu, IDS dan IPS? IDS itu adalah singkatan dari Intrusion Detection System sedangkan untuk IPS adalah Intrusion Prevention System. Mau tau lebih banyak? Penasaran? Yuk langsung saja ke materi.

Intrusion Detection System (IDS)

IDS (Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan di dalam sebuah sistem jaringan. IDS akan memberikan peringatan kepada sistem atau administrator jika menemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan traffic jaringan. IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol).

IDS sendiri muncul dengan beberapa jenis dan pendekatan yang berbeda yang intinya berfungsi untuk mendeteksi traffic yang mencurigakan didalam sebuah jaringan. Beberapa jenis IDS adalah yang berbasis jaringan (NIDS) dan berbasis host (HIDS).


Ada IDS yang bekerja dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari percobaan yang sering dilakukan. Cara ini hampir sama dengan cara kerja perangkat lunak antivirus dalam mendeteksi dan melindungi sistem terhadap ancaman. Kemudian ada juga IDS yang bekerja dengan cara mendeteksi berdasarkan pada pembandingan pola traffic normal yang ada dan kemudian mencari ketidaknormalan traffic yang ada. Ada IDS yang fungsinya hanya sebagai pengawas dan pemberi peringatan ketika terjadi serangan dan ada juga IDS yang bekerja tidak hanya sebagai pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah kegiatan yang merespon adanya percobaan serangan terhadap sistem jaringan dan komputer.


A. Jenis-jenis IDS

- NIDS (Network Intrusion Detection System)

IDS jenis ini ditempatkan disebuah tempat/ titik yang strategis atau sebuah titik didalam sebuah jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan berasal dari semua alat-alat (devices) dalam jaringan. Idealnya semua traffic yang berasal dari luar dan dalam jaringan di lakukan di scan, namun cara ini dapat menyebabkan bottleneck yang mengganggu kecepatan akses di seluruh jaringan.

- HIDS (Host Intrusion Detection System)

IDS jenis ini berjalan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun dari luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringan akan adanya kegiatan-kegiatan yang mencurigakan yang terdeteksi oleh HIDS.

- Signature Based

IDS yang berbasis pada signature akan melakukan pengawasan terhadap paket-paket dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh percobaan serangan yang pernah diketahui. Cara ini hampir sama dengan cara kerja aplikasi antivirus dalam melakukan deteksi terhadap malware. Intinya adalah akan terjadi keterlambatan antara terdeteksinya sebuah serangan di internet dengan signature yang digunakan untuk melakukan deteksi yang diimplementasikan didalam basis data IDS yang digunakan. Jadi bisa saja basis data signature yang digunakan dalam sistem IDS ini tidak mampu mendeteksi adanya sebuah percobaan serangan terhadap jaringan karena informasi jenis serangan ini tidak terdapat dalam basis data signature sistem IDS ini. Selama waktu keterlambatan tersebut sistem IDS tidak dapat mendeteksi adanya jenis serangan baru.

- Anomaly Based

IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan  identifikasi apa yang dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa banyak bandwidth yang biasanya digunakan di jaringan tersebut, protolkol apa yang digunakan, port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain didalam jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.

- Passive IDS

IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic yang  mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan membangkitkan sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator atau user dan selanjutnya terserah kepada administrator apa tindakan yang akan dilakukan terhadap hasil laporan IDS.

- Reactive IDS

IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan membahayakan kemudian memberi peringatan kepada administrator tetapi juga mengambil tindakan proaktif untuk merespon terhadap serangan yang ada. Biasanya dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber atau user jika alamat IP sumber atau user tersebut mencoba  melakukan serangan lagi terhadap sistem jaringan di waktu selanjutnya.

B. Implementasi IDS

Salah satu contoh penerapan IDS di dunia nyata adalah dengan menerapkan sistem IDS yang bersifat open source dan gratis. Contohnya SNORT. Aplikasi Snort tersedia dalam beberapa macam platform dan sistem operasi termasuk Linux dan Windows. Snort memiliki banyak pemakai di jaringan karena selain gratis, Snort juga dilengkapi dengan support system di internet sehingga dapat dilakukan updating signature terhadap Snort yang ada sehingga dapat melakukan deteksi terhadap jenis serangan terbaru di internet.

IDS tidak dapat bekerja sendiri jika digunakan untuk mengamankan sebuah jaringan. IDS harus digunakan bersama-sama dengan firewall. Ada garis batas yang tegas antara firewall dan IDS.


C. Cara Kerja IDS

Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.

Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.


Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.


D. Kelebihan dan Kekurangan IDS

a. Kelebihan

1. Dapat mendeteksi “external hackers” dan serangan jaringan internal.
2. Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan.
3. Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama.
4. Menyediakan pertahanan pada bagian dalam.
5. Menyediakan layer tambahan untuk perlindungan.
6. IDS memonitor Internet untuk mendeteksi serangan.
7. IDS membantu organisasi utnuk mengembangkan dan menerapkan kebijakan keamanan yang efektif.
8. IDS  memungkinkan anggota non-technical untuk melakukan pengelolaan keamanan menyeluruh.
9. Adanya pemeriksaan integritas data dan laporan perubahan pada file data.
10. IDS  melacak aktivitas pengguna dari saat masuk hingga saat keluar.
11. IDS menyederhanakan sistem sumber informasi yang kompleks.
12. IDS memberikan integritas yang besar bagi infrastruktur keamanan lainnya

b. Kekurangan

1. Lebih bereaksi pada serangan daripada mencegahnya.
2. Menghasilkan data yang besar untuk dianalisis.
3. Rentan terhadap serangan yang “rendah dan lambat”.
4. Tidak dapat menangani trafik jaringan yang terenkripsi.
5. IDS hanya melindungi dari karakteristik yang dikenal.
6. IDS tidak turut bagian dalam kebijakan keamanan yang efektif, karena dia harus diset terlebih dahulu.
7. IDS tidak menyediakan penanganan kecelakaan.
8. IDS tidak mengidentifikasikan asal serangan.
9. IDS hanya seakurat informasi yang menjadi dasarnya.
10. Network-based IDS rentan terhadap “overload”.
11. Network-based IDS dapat menyalah artikan hasil dari transaksi yang mencurigakan.
12. Paket terfragmantasi dapat bersifat problematis.


E. Contoh Program IDS

1. chkwtmp Program 
chkwtmp Program yaitu, yang melakukan pengecekan terhadap entry kosong. dalam arti wtmp mencatat sesuatu tapi isinya kosong.

2. tcplogd Program 
tcplogd Program yaitu, yang mendeteksi stealth scan. Stealth scan adalah scanning yang dilakukan tanpa harus membuat sebuah sesi tcp. sebuah koneksi tcp dapat terbentuk jika klien mengirimkan paket dan server mengirimkan kembali paketnya dengan urutan tertentu, secara terus menerus sehingga sesi tcp dapat berjalan. stealth scan memutuskan koneksi tcp sebelum klien menrima kembali jawaban dari server. scanning model ini biasanya tidak terdeteksi oleh log umum di linux.

3. Hostsentry Program 
Hostsentry Program yaitu, yang mendeteksi login anomali. anomlai disini termasuk perilaku aneh (bizzare behaviour), anomali waktu (time anomalies), dan anomali lokal (local anomalies).

4. Snort
Snort adalah program IDS yang bekerja pada umumnya pada sistem operasi Linux, namun banyak pula versi yang dapat digunakan di beragam platform. Snort pada umumnya merujuk kepada intrusion detection system yang sifatnya lightweight atau ringan karena diperuntukkan bagi jaringan kecil. Snort sangat fleksibel karena arsitekturnya yang berbasis rule.

Intrusion Prevention System (IPS)

Intrusion Prevention System merupakan kombinasi antara fasilitas blocking capabilities dari Firewall dan kedalaman inspeksi paket data dari Intrusion Detection System (IDS). IPS diciptakan pada awal tahun 1990-an untuk memecahkan masalah serangan yang selalu melanda jaringan komputer. IPS membuat akses kontrol dengan cara melihat konten aplikasi, dari pada melihat IP address atau ports, yang biasanya dilakukan oleh firewall. IPS komersil pertama dinamakan BlackIce diproduksi oleh perusahaan NetworkIce, hingga kemudian berubah namanya menjadi ISS(Internet Security System). Sistem setup IPS sama dengan sistem setup IDS. IPS mampu mencegah serangan yang datang dengan bantuan administrator secara minimal atau bahkan tidak sama sekali. Secara logic IPS akan menghalangi suatu serangan sebelum terjadi eksekusi dalam memori, selain itu IPS membandingkan file checksum yang tidak semestinya mendapatkan izin untuk dieksekusi dan juga bisa menginterupsi sistem call.

A. Jenis-jenis IPS

1.  Host-based Intrusion Prevention System

Host Based IPS (HIPS) bekerja dengan memaksa sekelompok perangkat lunak fundamental untuk berkovensi secara konstan. Hal ini disebut dengan Application Binary Interface (ABI). Hampir tidak mungkin untuk membajak sebuah aplikasi tanpa memodifikasi Application Binary Interface, karena konvensi ini bersifat universal di antara aplikasi-aplikasi yang dimodifikasi. HIPS merupakan sebuah system pecegahan yang terdiri dari banyak layer, menggunakan packet filtering, inspeksi status dan metode pencegahan intrusi yang bersifat real-time untuk menjaga host berada di bawah keadaan dari efisiensi performansi yang layak. Mekanisme kerjanya yaitu dengan mencegah kode-kode berbahaya yang memasuki host agar tidak dieksekusi tanpa perlu untuk mengecek threat signature.

2. Network Intrusion Prevention System

Network Based IPS (NIPS), yang juga disebut sebagai “In-line proactive protection”, menahan semua trafik jaringan dan menginspeksi kelakuan dan kode yang mencurigakan. Karena menggunakan in-line model, performansi tinggi merupakan sebuah elemen krusial dari perangkat IPS untuk mencegah terjadinya bottleneck pada jaringan. Oleh karena itu, NIPS biasanya didesain menggunakan tiga komponen untuk mengakselerasi performansi bandwidth, yaitu :

Network Chips (Network processor)
FPGA Chips
ASIC Chips

Network Based IPS (NIPS) biasanya dibangun dengan tujuan tertentu, sama halnya dengan switch dan router. Beberapa teknologi sudah diterapkan pada NIPS, seperti signature matching, analisa protocol dan kelainan pada protocol, identifikasi dari pola trafik, dan sebagainya. NIPS dibuat untuk menganalisa, mendeteksi, dan melaporkan seluruh arus data dan disetting dengan konfigurasi kebijakan keamanan NIPS, sehingga segala serangan yang datang dapat langsung terdeteksi. Kebijakan keamanan NIPS sendiri terdiri dari:

1. Content based Intrusion Prevention System, yang bertugas mengawasi isi dari paket-paket yang berlalu lalang dan mencari urutan yang unik dari paket-paket tersebut, berisi virus worm, trojan horse,dll.
2. Rate based Intrusion Prevention System, bertugas mencegah dengan cara memonitor melalui arus lalu lintas jaringan dan dibandingkan dengan data statistic yang tersimpan dalam database.

Apabila RBIPS mengenali paket-paket yang tidak jelas, maka langsung mengkarantina paket tersebut.

Baik host based maupun network IPS memiliki kelebihan dan kekurangannya masing-masing. HIPS dapat mengatasi semua jenis jaringan yang terenkripsi dan dapat menganalisa semua kode, sedangkat NIPS tidak menggunakan prosesor dan memori di client maupun host. NIPS tidak selalu bagus, kadang bisa gagal dalam mendeteksi serangan, kadang bisa langsung mendeteksi serangan. Keuntungan NIPS adalah administrasinya yang gampang.

B. Cara Kerja IPS

Firewall merupakan sebuah system yang menerapkan sebuah kebijakan kontrol akses yang memeriksa trafik data yang lalu lalang dan memblok paket data yang tidak sesuai dengan kebijakan keamanan. Sebuah Intrusion Detection System (IDS) memonitor performansi system atau jaringan, mencari pola tingkah laku yang tidak sesuai dengan kebijakan keamanan atau tanda-tanda serangan yang dapat dikenali, dan kemudian jika ditemukan maka IDS akan memicu alarm. Di sini, firewall akan menolak serangan yang sudah pasti/jelas, sementara trafik yang mencurigakan akan dibiarkan lewat. Di sisi lain, IDS memonitor semua data di dalam jaringan, memberitahukan administrator jaringan akan adanya serangan pada saat serangan mulai ‘hidup’ dan berada di dalam jaringan. Dengan kata lain, baik IDS maupun firewall tidak mampu memblokir serangan ketika intrusi benar-benar telah terjadi.

Lebih jauh lagi, IPS sebenarnya lebih dari sekedar IDS + firewall. IPS didesain sebagai sebuah embedded system yang membuat banyak filter untuk mencegah bermacam-macam serangan seperti hacker, worm, virus, Denial of Service (DoS) dan trafik berbahaya lainnya, agar jaringan enterprise tidak menderita banyak kerugian bahkan ketika security patch terbaru belum diterapkan. Pembangunan IPS didasarkan pada sebuah modul “in-line”: data melewati perangkat IPS dari satu ujung dari kanal data tunggal, hanya data yang sudah dicek dan divalidasi oleh mesin IPS yang diperbolehkan untuk lewat menuju ujung lain dari kanal data. Pada scenario ini, paket yang mengandung tanda-tanda serangan pada paket asalnya akan dibersihkan dari jaringan.

Penggunaan multiple filter pada IPS membuatnya secara signifikan lebih efektif ketika menginspeksi, mengidentifikasi dan memblokir serangan berdasarkan urutan waktu. IPS membuat filter baru ketika sebuah metode serangan baru diidentifikasi. Mesin inspeksi paket data IPS normalnya terdiri dari integrated circuit yang didesain untuk inspeksi data mendalam. Setiap serangan yang mencoba mengeksploitasi kelemahan dari layer 2 sampai layer 7 OSI akan difilter oleh mesin IPS yang mana, secara tradisional, kemampuan firewall hanya terbatas sampai modul 3 atau 4 saja. Teknologi packet-filter dari firewall tradisional tidak menerapkan inspeksi untuk setiap byte dari segmen data yang bermakna tidak semua serangan dapat diidentifikasikan olehnya.

Secara kontras, IPS mampu melakukan inspeksi tersebut dan semua paket data diklasifikasikan dan dikirim ke filter yang sesuai menurut informasi header yang ditemukan di segmen data, seperti alamat asal, alamat tujuan, port, data field dan sebagainya. Setiap filter bertanggung jawab untuk menganalisis paket-paket yang berkaitan, dan yang mengandung tanda-tanda membahayakan akan didrop dan jika dinyatakan tidak berbahaya akan dibiarkan lewat. Paket yang belum jelas akan diinspeksi lebih lanjut. Untuk setiap tipe serangan berbeda, IPS membutuhkan sebuah filter yang bersesuaian dengan aturan filtering yang sudah ditentukan sebelumnya. Aturan-aturan ini mempunyai definisi luas untuk tujuan akurasi, atau memastikan bahwa sebisa mungkin jangkauan aktifitas yang luas dapat terenkapsulasi di dalam sebuah definisi. Ketika mengklasifikasikan sebuah aliran data, mesin filter akan mengacu pada informasi segmen paket, menganalisa konteks dari field tertentu dengan tujuan untuk mengimprovisasi akurasi dari proses filtering.

Semoga Bermanfaat

Terima kasih

Wassalamu'alaikum.wr.wb.


Sumber: http://amildaroslita.blogspot.co.id/2012/10/apa-itu-ids-ips.html
                 http://benzjanggo.blogspot.co.id/2012/10/ids-dan-ips.html         

Read More

Lab 6 Hostpot

Assalamu'alaikum.wr.wb

Hi all, disini saya akan kembali ke materi jaringan, yaitu jaringan nirkabel atau wireless. Nah saya akan posting materi selanjutnya yaitu Hostpot. Apasih Hostpot itu? Bagaimana sih cara konfigurasi Hostpot di MikroTik? Penasaran? Yuk langsung saja ke topik.

A. Topologi

A. Tujuan

- Untuk mengetahui pengertian hostpot beserta fungsinya.
- Untuk mengetahui pengertian NTP.
- Untuk mengetahui apa itu IP Binding dan Walled Garden.
- Untuk mengetahui cara konfigurasi hostpot di MikroTik.


B. Konsep Dasar

Pengertian Hostpot

Hotspot adalah sebuah titik yang memancarkan koneksi jaringan/internet melalui frekuensi tertentu yang apabila ditangkap oleh perangkat penerima pada sebuah komputer akan memungkinkan komputer tersebut terhubungkan ke jaringan/internet. Hotspot biasanya dipancarkan oleh sebuah perangkat Wifi (Wireless Fidelity) yang dapat digunakan secara efektif pada radius tertentu dari perangkat tersebut.

Fungsi Hostpot

Fungsi Hotspot dalam jaringan wireless adalah sebagai pusat pemancar/penerima jaringan LAN (Local Area Network) yang kemudian hotspot tersebut biasanya terhubung ke Internet. Sehingga laptop/netbook yang berada pada area jangkauan Hotspot dan kemudian terhubung dengan jaringan hotspot itu maka biasanya akan bisa terhubung ke internet.

Pengertian NTP

Network Time Protocol atau lebih sering disebut dengan istilah NTP adalah sebuah mekanisme atau protokol yang digunakan untuk melakukan sinkronisasi terhadap penunjuk waktu dalam sebuah sistem komputer dan jaringan. Proses sinkronisasi ini dilakukan di dalam jalur komunikasi data yang biasanya menggunakan protokol komunikasi TCP/IP. Sehingga proses ini sendiri dapat dilihat sebagai proses komunikasi data biasa yang hanya melakukan pertukaran paket-paket data saja.  

Dalam kondisi tertentu Router Mikrotik harus bekerja berdasarkan waktu, baik tanggal, hari, maupun jam. Misalnya saja jika Anda ingin memblokir akses internet di luar jam kerja atau memblokir beberapa situs pada jam-jam tertentu. Jika anda menggunakan PC sebagai Router Mikrotik ini tentu bukan masalah, karena di Motherboard komputer sudah terpasang baterai yang dapat mempertahankan konfigurasi waktu. Namun pada RouterBoard Mikrotik yang tidak memiliki barerai internal maka konfigurasi waktu akan kacau tiap kali router mengalami restart.

Bypass

1. IP Binding

Normalnya, semua koneksi dari berbagai perangkat yang ada di jaringan hotspot kita akan diblock sebelum melakukan login/authentikasi ke hotspot server. Tetapi tidak semua perangkat bisa melakukan sistem autentikasi tersebut, misalnya: Printer server, IP Cam, VoIP server dan sebagainya. Atau ada user VIP yang memang istimewa tidak perlu melakukan login. Untuk perangkat-perangkat yang ingin anda bypass, tidak perlu melakukan login untuk akses ke jaringan, anda bisa menggunakan fitur yang namanya IP Binding.

2. Walled Garden

Bila anda mempunyai kebijakan, untuk mengakses resource di jaringan lokal anda sendiri (halaman web perusahaan/web server, mail server, file server dan sebagainya) tidak perlu melakukan login. Tetapi pada saat user ingin akses ke internet (misalnya browsing ke yahoo, facebook dan sebagainya) baru anda minta user tersebut untuk melakukan login. Fitur yang bisa anda gunakan untuk hal tersebut dinamakan Walled Garden.

C. Bahan-bahan

1. Niat dan Kemauan

2. 3 Notebook

3. Switch Cisco

4. 1 RouterBoard 951G-2nHD

5. 2 Kabel UTP

6. Jaringan Internet
7. WinBox


D. Langkah Kerja

Konfigurasi Koneksi Internet

1. Buka WinBox, login sebagai admin dan password kosong dengan MAC Address.

2. Pilih menu New Terminal.

3. Atur interfaces ether1 untuk internet melalui switch, interfaces ether2 sebagai client, interfaces wlan1 sebagai wireless, gateway dan yang terakhir DNS. Setelah itu test koneksi internet dengan ping google.com.

ip address add address=172.16.2.121/24 interface=ether1
ip address add address=192.168.21.1/24 interface=ether2
ip address add address=21.21.21.1/24 interface=wlan1
ip route add gateway=172.16.2.1
ip dns set servers=8.8.8.8 allow-remoter-requests=yes

4. Pilih menu Wireless.

5.Pilih tab Interfaces, hidupkan wlan1 dengan tanda centang kemudia klik 2x pada wlan1, kemudian pindah bagian tab Wireless ubah mode menjadi ap brigde, pada band menjadi 2GHz-B/G/N (sesuaikan pada spesifikasi RB), dan pilih Freq. Usage untuk memilih frekuensi dan masukkan SSID yang ingin digunakan, Apply dan OK.

Konfigurasi NTP Server

1. Pilih menu New Terminal.

2. Ping NTP untuk mengetahui IP Address Public zona waktu kawasan indonesia, untuk lebih jelasnya kalian dapat melihatnya di http://www.pool.ntp.org/zone/id. Untuk 0.id.pool.ntp.org sebagai Primary NTP Server dan 1.id.pool.ntp.org sebagai Secondary NTP Server.

3. Pilih menu System-SNTP Client.

4. Masukkan IP yang sudah diketaui dan centang Enabled lalu Apply dan OK.

5. Pilih menu System-Clock. 

6. Pilih Time Zone Name menjadi Asia/Jakarta lalu Apply dan OK.

7. Maka akan otomatis berubah jam dan tanggal di router sesuai dengan waktu/tanggal yang terdapat pada PC/Notebook.

Konfigurasi Pembuatan Hostpot

1. Pilih menu New Terminal.

2. Masukkan perintah ip hostpot setup, gunakan interface wlan1, local address dengan ip yang sudah diberikan tadi untuk wlan1, masquerade yes, untuk pool network biarkan secara default, certificate menjadi none, smtp server biarkan secara default, DNS menjadi 8.8.8, dns name saya berikan sesuai SSID, user menggunakan admin dan masukkan password user admin.

3. Aktifkan Wi-Fi.

4. Hubungkan Wi-Fi ke SSID yang sudah di konfigurasi pada wireless.

5. Maka akan terhubung dengan status Connected.

6. Setelah terhubung ke SSID, maka akan muncul tampilan login page hostpot secara otomatis. Masukkan user admin beserta password lalu OK.

7. Masuk ke browser, tuliskan dns name maka akan muncul tampilan hostpot login. Masukkan user admin beserta password lalu OK.

8. Maka sudah masuk login memakai user admin.

9. Kalian bisa disconect kan LAN yang terhubung ke router. Karena jaringan wireless pada client sudah terhubung ke router. Lihat jaringan yang terhubung hanya jaringan wireless.

Konfigurasi Limitasi Bandwith User

Disini saya akan membuat 2 Users, yaitu:

- User Manager akan diberikan bandwith sebesar 1M.

- User Staff akan diberikan bandwith sebesar 512k.

1. Buka WinBox, kemudian pilih menu IP-Hostpot.

2. Pilih tab User Profiles kemudian klik tanda + lalu masukkan Name sebesar 1M dan Rate Limit sebesar 1M/1M lalu Apply dan OK.

3. Kemudian berikan lagi untuk limitasi bandwith dengan Name 512k dan Rate Limit sebesar 512k/512k lalu Apply dan OK.

4. Terlihat User Profiles dengan 2 users telah terbuat.

5. Pilih tab Users untuk membuat user dan klik tanda +, masukkan Server dengan hostpot1 dengan Name Manager dan berikan password. Untuk Profile pilih 1M, Apply dan OK.

6. Lakukan cara yang sama seperti pembuatan users Manager, namun untuk users Staff diubah Profile menjadi 512k dan Apply lalu OK.

7. Terlihat sudah terbuat Users tersebut.

8. Clear browsing data terlebih dahulu, supaya Cookies dan Cached hostpot login akan hilang dan akan diakses seperti baru.

9. Kemudian login dengan user Manager.

10. Maka sudah login ke user Manager.

11. Test kecepatan bandwith untuk user Manager di speedtest

12. Kemudian logoff dari user Manager.

13. Kemudian Clear browsing data kembali.

14. Login dengan user Staff.

15. Kemudian test kecepata bandwith untuk user Staff.

Konfigurasi Kuota Waktu User Manager

1. Pilih user Manager, klik 2x pada users tersebut kemudian pilih tab Limits. Masukkan Limit Uptime dan Limit Bytes Total. Disini saya akan memsukkan limit waktu sebesar 5 menit dengan kuota 8 Mb. Jadi Kuota sebesar 8 Mb akan habis dalam waktu 5 menit.

2. Kemudian testing download lagu, apabila tidak berjalan maka kuota tersebut telah habis.

Konfigurasi IP Bindings

1. Pilih tab IP Bindings, kemudian klik tanda +. Masukkan MAC Address interfaces wlan1, kemudian pilih To Address untuk secara DHCP yang akan otomatis didapatkan pada client. Pilih Server hostpot1 dan Type bypassed lalu Apply dan OK.

2. Kemudian pindah ke tab Active, terlihat tidak ada users yang aktif karena sudah di bypass.

3. Buka terminal ketik perintah ifconfig, akan terlihat IP sudah berubah secara otomatis.

4. Kemudian masuk ke browser, ketik perintah google.co.id terlihat tidak perlu memasukkan user hostpot login dan langsung terbuka halaman login Google.

Konfigurasi Walled Garden

1. Pilih tab Walled Garden kemudian pilih tab +.

2. Pilih Action allow dengan server hostpot1 dan masukkan halaman web yang ingin di bypass. Disini saya memasukkan halaman web mikrotik.co.id, Apply kemudian OK.

3. Buka halaman web mikrotik.co.id pada browser maka akan langsung terbuka dan tidak perlu memasukkan user hostpot login.

4. Kemudian testing dengan membuka web detik.com.

5. Maka akan muncul tampilan untuk memasukkan user hostpot login, karena hanya web mikrotik.co.id yang diizinkan/bypassweb tidak perlu memasukkan user hostpot.

Semoga Bermanfaat

Terima kasih

Wassalamu'alaikum.wr.wb.

Sumber: 1. http://catatanharianboy.blogspot.co.id/2013/11/hotspot-adalah.html

                2. http://mikrotikindo.blogspot.co.id/2013/03/apa-itu-ntp-setting-ntp-client-di-mikrotik.html

                3. http://mikrotik.co.id/artikel_lihat.php?id=49

Read More