IDS "Intrution Detecting System" Packet Logger - SMKN 1 KOTA BEKASI

IDS (Intrution Detecting System)

    Pada kesempatan kali ini, anda akan melihat dan mempelajari perihal konfigurasi dengan menggunakan Aplikasi VirtualBox

Pengertian IDS

    IDS adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis

Tipe tipe dasar IDS

Rule-Based-System : berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalu lintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan

Adaptive System : mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk-bentuk penyusupan yang lain.

Snort

Sniffer mode digunakan untuk melihat paket yang lewat di jaringan

Packet Logger Mode digunakan untuk mencatat semua paket yang lewat dijaringan untuk di analisa dikemudian hari

Intrusion Detecting Mode digunakan untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan IDS ini diperlukan setup berbagai rule / aturan yang akan membedakan sebuah paket yang membawa serangan

Konfigurasi Percobaan IDS Packet Logger

Langkah pertama yang akan anda lakukan adalah masuk dan login terlebih dahulu kedalam Ubuntu Server yang ada di aplikasi VirtualBox dengan mengisikan username dan juga password.

Langkah selanjutnya yang akan anda lakukan adalah masuk kedalam mode root supaya mendapatkan akses yang lebih luas dengan menggunakan command "sudo -i" lalu isikan password Ubuntu Server dan lakukan update menyeluruh terhadap server dengan menggunakan command "apt update"

Langkah selanjutnya yang akan anda lakukan adalah menginstall package libpcap, dimana paket ini berfungsi sebagai alat yang digunakan adlaam pengendus lalu lintas alamat protocol, pencarian dan penganalisis konten untuk pencatatan data atau paket, analisis lalu lintas waktu nyata, analisis protokol, dan pencocokan konten.

Langkah selanjutnya yang akan anda lakukan adalah mengubah permission yang ada pada file "snort.conf" untuk mengakses file tersebut anda bisa menggunakan command sebagai berikut "nano /etc/snort/snort.conf", lalu ada akan mengubah pada bagian "ipvar HOME_NET any" menjadi "ipvar HOME_NET (Network Milik Koneksi anda)", untuk hasil lebih lanjut anda bisa melihat pada gambar dibawah ini.

Langkah selanjutnya yang akan anda lakukan adalah masih mengubah Permission di file "snort.conf" namun anda akan mengubah pada bagian step 7 dimana yang diubah adalah 

"include $RULE_PATH/local.rules

var LOG_IP 192.168.170.217 --> ip client

alert tcp $LOG_IP any -> any any (msg: "Akses Dari Dia"; sid:1;) -->"

Untuk hasil lebih lanjut anda bisa melihat pada gambar dibawah ini.

Langkah selanjutnya yang akan anda lakukan adalah memasukkan atau mengetikkan perintah sebagai berikut, "snort –d -l /var/log/snort.log -c /etc/snort/snort.conf -D"

Dibawah ini merupakan fungsi dari masing masing Parameter yang digunakan :

-d: Opsi ini membuat snort menampilkan paket data dalam format ASCII dan hex. Ini berguna untuk menganalisis isi paket secara manual.

-l: Opsi ini menentukan direktori untuk menyimpan file log. File log berisi informasi tentang paket yang diproses oleh snort, seperti alamat IP, port, protokol, dan payload. Dalam kasus Anda, direktori yang Anda tentukan adalah /var/log/snort.log.

-c: Opsi ini menentukan file konfigurasi yang berisi aturan snort. File konfigurasi berisi parameter yang mengatur perilaku snort, seperti variabel, output, preprocessor, dan aturan deteksi. Dalam kasus Anda, file konfigurasi yang Anda tentukan adalah /etc/snort/snort.conf.

-D: Opsi ini membuat snort berjalan sebagai daemon. Ini berarti snort berjalan di latar belakang dan tidak menampilkan output ke layar. Ini berguna untuk menjalankan snort secara terus-menerus tanpa mengganggu pengguna.

Langkah selanjutnya yang akan anda lakukan adalah memasukkkan atau mengetikkan perintah sebagai berikut "snort –d -h 192.168.170.0/24 -l /var/log/snort.log -c /etc/snort/snort.conf", untuk ip yang dimasukkan merupakan IP Network milik Internet anda.

Dibawah ini merupakan fungsi dari masing masing Parameter yang digunakan :

-d: Opsi ini membuat snort menampilkan paket data dalam format ASCII dan hex. Ini berguna untuk menganalisis isi paket secara manual.

-h: Opsi ini menentukan jaringan rumah (home network) yang akan dipantau oleh snort. Ini memungkinkan snort untuk membedakan antara lalu lintas internal dan eksternal. Dalam kasus Anda, jaringan rumah yang Anda tentukan adalah 192.168.0.0/24.

-l: Opsi ini sama dengan yang saya jelaskan sebelumnya. Opsi ini menentukan direktori untuk menyimpan file log. File log berisi informasi tentang paket yang diproses oleh snort, seperti alamat IP, port, protokol, dan payload. Dalam kasus Anda, direktori yang Anda tentukan adalah /var/log/snort.log.

-c: Opsi ini sama dengan yang saya jelaskan sebelumnya. Opsi ini menentukan file konfigurasi yang berisi aturan snort. File konfigurasi berisi parameter yang mengatur perilaku snort, seperti variabel, output, preprocessor, dan aturan deteksi. Dalam kasus Anda, file konfigurasi yang Anda tentukan adalah /etc/snort/snort.conf.

Langkah selanjutnya yang akan anda lakukan adalah loggin dengan menggunakan parameter SCII dengan menggunakna perintah "snort -dev -K ASCII "

Dibawah ini merupakan fungsi dari masing masing parameter yang digunakan :

-dev: Opsi ini membuat snort menampilkan paket data dalam format ASCII dan hex, serta informasi tambahan seperti header IP, TCP, UDP, dan ICMP. Ini berguna untuk menganalisis isi paket secara lebih detail.

-K ASCII: Opsi ini membuat snort menyimpan file log dalam format ASCII, bukan format pcap yang default. Ini memungkinkan Anda untuk membuka file log dengan program lain seperti tcpdump atau wireshark.

-l: Opsi ini menentukan direktori untuk menyimpan file log. Anda tidak menentukan direktori tertentu, jadi snort akan menggunakan direktori default yaitu /var/log/snort.

Langkah selanjutnya yang akan anda lakukan adalah melakukan verifikasi dengan menggunakan WinSCP untuk melihat hasil log yang telah anda lakukan, pada WinScp anda masuk pada Directory "/var/log/snort" dan anda bisa memilih IP client milik anda.

Langkah selanjutnya yang akan anda lakukan adalah verifikasi dengan membuka Directory IP Tersebut, namun pada saat percobaan membuka itu tidak bisa, maka anda harus mengubah permission milik directory tersebut dengan menggunakan command "chmod 7773 -R /var/log/snort"

Dibawah ini merupakan fungsi dari masing masing parameter yang digunakan

7773: Angka ini menentukan izin yang akan diberikan kepada pemilik, grup, dan pengguna lain dari file atau direktori. Angka pertama (7) menunjukkan izin untuk pemilik, angka kedua (7) menunjukkan izin untuk grup, dan angka ketiga (7) menunjukkan izin untuk pengguna lain. Angka keempat (3) menunjukkan mode khusus yang disebut setuid, yang membuat file atau direktori dapat dijalankan dengan identitas pemiliknya, bukan pengguna yang menjalankannya. Setiap angka merupakan jumlah dari nilai-nilai berikut:

4: Izin untuk membaca (read)

2: Izin untuk menulis (write)

1: Izin untuk mengeksekusi (execute)

Jadi, angka 7 berarti izin untuk membaca, menulis, dan mengeksekusi, yang ditulis sebagai rwx. Angka 3 berarti izin untuk mengeksekusi dan setuid, yang ditulis sebagai s–. Dengan demikian, parameter 7773 berarti izin rwxrwxrws, yang artinya pemilik, grup, dan pengguna lain dapat membaca, menulis, dan mengeksekusi file atau direktori, dan file atau direktori akan dijalankan dengan identitas pemiliknya.

-R: Opsi ini membuat chmod berlaku secara rekursif, yang artinya izin yang ditentukan akan diterapkan kepada file atau direktori yang dituju, serta semua file dan subdirektori di dalamnya.

Gambar dibawah ini merupakan hasil ketika anda sedang membuka file yang ada pada directory milik ip client.