Menulis local.rules SNORT (IDS) deteksi telnet

Menulis local.rules SNORT (IDS) deteksi telnet

21.04
Sebuah pendeteksi penyusup / Intrusion Detection System (IDS) logika bekerjanya seperti anti-virus, engine pendeteksi hanya akan bekerja dengan benar kalau database-nya benar. Kalau serangan tersebut tidak ada dalam database maka serangan tersebut tidak akan terdeteksi. Sial-nya database tersebut adalah buatan manusia, yang harus telaten mendokumentasinya bentuk paket / isi paket serangan, kemudian menuangkannya ke dalam sebuah aturan / rules.
 Snort Intrusion Detection System (IDS) mempunyai kemampuan yang baik untuk membaca paket yang lewat di jaringan. Snort IDS mirip dengan tcpdump / wireshark, tetapi memiliki output yang lebih bersih dan bahasa aturan yang lebih fleksibel. Sama seperti tcpdump / wireshark, snort akan mendengarkan antarmuka tertentu, atau membaca jejak paket dari sebuah file. Umumnya administrator keamanan diminta untuk melihat jejak paket untuk menganalisa serangan yang terjadi. Salah satu yang nampaknya akan amat sangat bermanfaat adalah kemampuan untuk menulis snort rules untuk mendeteksi serangan. Disini kita akan belajar bagaimana menggunakan snort untuk membaca jejak dan belajar bagaimana menulis aturan / rules baru.
Tujuan utama Snort IDS adalah untuk bereaksi jika ada rules yang cocok dengan paket yang masuk. Reaksi yang di berikan Snort IDS bisa bermacam-macam tergantung kebutuhan / kemauan yang memprogram, bisa di catat / "log", bisa memberikan "alert" bagi administrator keamanan jaringan.

Pola Aturan Snort

JIka kita instalasi Snort dengan baik maka, semua aturan snort biasanya di simpan di folder /etc/snort/rules. Aturan tersebut berupa file-file dengan nama yang sesuai dengan kategori serangan, misalnya, virus.rules adalah file berisi aturan snort yang akan mendeteksi paket yang kemungkinan membawa virus.
Bagi kita yang akan berexperimen dengan aturan snort, sebaiknya mengedit file /etc/snort/rules/local.rules. Beri keterangan dengan tanda '#' di depan-nya. Keterangan tersebut perlu dibuat untuk mengingatkan kita tentang percobaan / aturan apa yang kita buat.
Format aturan itu sendiri adalah "action protocol address port direction address port (rule option)". Dimana, pilihan action yang biasa digunakan adalah "log" atau "alert". Pilihan protocol yang biasa digunakan adalah "tcp", "udp", dan "icmp". Address adalah IP address dapat berupa notasi CIDR, atau satu IP address saja. Pilihan port bisa satu port, bisa range port, bisa dengan notasi "!" untuk menegasikan. Operator direction yang digunakan bisa "->", "<-" atau "<>" kalau mau mengatur bi-directional / dua arah.
Sementara rule option yang  minimal biasanya kita gunakan adalah msg: untuk memberikan tulisan bisa untuk log atau alert. Dan snort id sid: nomor ID aturan snort. Untuk local.rules sebaiknya menggunakan nomor di atas satu juta 1000000. rule option dapat berisi banyak opsi, harus di pisahkan dengan ";".

Membuat local.rules deteksi telnet

Disini kita akan belajar untuk membuat rules pendeteksi traffic telnet. Mengapa telnet perlu di deteksi? karena memang telnet sangat rentan untuk disadap.
Semua aplikasi pada jaringan TCP/IP akan bekerja menggunakan nomor port tertentu. Telnet menggunakan nomor port 23. Aplikasi lain akan menggunakan nomor port yang lain, misalnya, web 80, https 443, smtp 25, pop3 110, imap 143. Daftar sebagian besar nomor port yang digunakan oleh aplikasi Internet bisa di lihat di file /etc/services.
Setelah mengetahui nomor port telnet 23, maka kita dapat membuat aturan snort sederhana untuk mendeteksi telnet. Misalnya, menggunakan kalimat aturan "alert tcp any any -> 192.168.0.100 23 (msg: "Ada yang telnet ke mesin!"; sid:1000001;)". Cara membaca-nya adalah jika ada paket menuju server 192.168.0.100 ke port 23 (telnet) dari semua IP address dari semua port berjalan di atas protocol TCP, maka tulis alert dengan message "Ada yang telnet ke mesin!". Snort ID (sid) dari aturan ini adalah 1000001.

Cara Test Rules

 

Untuk mentest apakah rules tersebut berjalan dengan baik atau tidak sebaiknya kita menginstalasi Snort IDS pada server yang menjalankan telnetd. Pastikan Snort IDS sudah beroperasi / jalan. Selanjutnya coba melakukan telnet dari mesin lain ke mesin server yang menjalankan telnet. Cek isi /var/log/snort/alert. Harusnya keluar / ada kalimat seperti tampak pada gambar.
Pada percobaan ini, mesin telnetd adalah 192.168.0.100, mesin yang melakukan telnet adalah 192.168.0.106.
Jika tidak ada kalimat tersebut maka harus di cek lagi kemungkinan ada yang salah.
Semoga bisa bermanfaat.

SUMBER : c.uctalks.ucweb.com (Kang Onno)

Share this :

percetakanrepublik.com

Next
« Prev Post
Previous
Next Post »
0 Komentar

Penulisan markup di komentar
  • Silakan tinggalkan komentar sesuai topik. Komentar yang menyertakan link aktif, iklan, atau sejenisnya akan dihapus.
  • Untuk menyisipkan kode gunakan <i rel="code"> kode yang akan disisipkan </i>
  • Untuk menyisipkan kode panjang gunakan <i rel="pre"> kode yang akan disisipkan </i>
  • Untuk menyisipkan quote gunakan <i rel="quote"> catatan anda </i>
  • Untuk menyisipkan gambar gunakan <i rel="image"> URL gambar </i>
  • Untuk menyisipkan video gunakan [iframe] URL embed video [/iframe]
  • Kemudian parse kode tersebut pada kotak di bawah ini
  • © 2015 Simple SEO ✔

Langganan: Posting Komentar (Atom)