Pemasangan program
intrusi deteksi sebenarnya bertujuan untuk mendeteksi, memantau keadaan anomali
jaringan yang disebabkan salah satunya oleh penyusup (intruder). Setelah tahap
pendeteksian, biasanya IDS dapat diset untuk dapat memberikan peringatan bagi
network administrator.
Type IDS sendiri secara
garis besar dibagi 2 yaitu host-based dan network-based IDS. Pada praktikum
kali ini, kita akan membahas salah satu contoh aplikasi dar host-based IDS,
yaitu tripwire. Program tripwire berfungsi uuntuk menjaga integritas file
sistem dan direktori. Penggunaan tripwire biasanya digunakan untuk mempermudah
pekerjaan yang dilakukan oleh System Administrator dalam mengamankan System.
Cara kerja tripwire
adalah dengan melakukan perbandingan file dan direktori yang ada dengan
database system yang dibuat pada saat tripwire diinstall. Perbandingan tersebut
meliputi perubahan tanggal, ukuran file, penghapusan, dan lain-lainnya. Setelah
tripwire dijalankan, secara otomatis akan melakukan pembuatan database sistem.
Kemudian secara periodik akan selalu akan melaporkan setiap perubahan pada file
dan direktori.
2.
Percobaan
I.
Proses Instalasi
a.
Login sebagai
root
b. Lakukan sinkronisasi terkini index paket software local dengan repository
b. Lakukan sinkronisasi terkini index paket software local dengan repository
#apt-get
upadate
Sebelum kita melakukan pemasangan tripwire,
sebaiknya kita melakukan update repository dari source list.
a.
Lakukan
instalasi tripwire
Setelah melakukan update, maka kita masuk ke tahap
pemasangan tripwire. Pada saat pemasangan / penginstalan, akan ada dialog
seperti dibawah. Perhatika dialog tersebut dan pilih “Yes”
a. Masukkan site key passphrase dan local key
passphrase, setelah muncul dialog seperti dibawah. Ulangi sekali lagi!
a.
Kemudian akan
muncul dialog bahwa tripwire telah terinstall. Perhatikan pesan pada dialog
tersebut!
b.
Ubah mode dari 2
buah file dari tripwire: tw.cfg dan tw.pol
#cd
/etc/tripwire
#chmod
0600 tw.cfg tw.pol
Setelah selesai dengan instalasi tripwire, maka kita
ke tahap penggantian mode dari file tw.cfg dan tw.pol. Disini kami memakai 0600
yang berarti kedua file tersebut diubah modenya agar dapat di “read” dan
“write”
I.
Melakukan
modifikasi pada file “Policy” dan file Konfigurasi
a.
Modifikasi file
twpol.txt. Perhatikan setiap baris pada file tersebut. Lalu enkripsi file
tersebut.
#vi
/etc/tripwire/twpol.txt
#cd
/etc/tripwire
#twadmin
–-create-cfgfile –-cfgfile ./tw.cfg
-–site-keyfile ./site.key ./twcfg.txt
a.
Modifikasi file
tw.cfg. Perhatikan setiap baris pada file tersebut. Lalu enkripsi file
tersebut.
#vi
/etc/tripwire/twcfg.txt
#cd
/etc/tripwire
#twadmin
-–create-cfgfile -–cfgfile ./tw.cfg
--site-keyfile ./site.key ./twcfg.txt
I.
Insialisasi
Database
Setelah melakukan langkah-langkah pada point II,
kami akan melakukan inisialisasi database dengan menjalankan perintah:
#tripwire
–-init –-cfgfile /etc/tripwire/tw.cfg \--polfile /etc/tripwire/tw.pol
–-site-keyfile /etc/tripwire/site.key \--local-keyfile
/tc/tripwire/HOSTNAME-local.key
HOSTNAME adalah nama host komputer. Di komputer
kami, HOSTNAMEnya “debian” Langkah ini membutuhkan waktu lama.
I.
Melakukan cek
sistem
Pada tahap ini tripwire menyimpan informasi awal
dari file-file yang akan dimonitor perubahannya:
#tripwire
-–check
I.
Melakukan update
file “Policy”
Apabila ada perubahan pada file twpol.txt, misalnya
kita akan menambahkan atau mengurangi folder yang akan dimonitor maka kita
harus melakukan update dengan menjalankan perintah:
#cd
/
#tripwire
–-update-policy –-cfgfile ./tw.cfg –-polfile ./tw.pol \--site-keyfile
./site.key –-local-keyfile ./HOSTNAME-local.key ./twpol.txt
II.
Melakukan update
database dari system file
Database dari file system perlu di update secara
berkala. Proses update dapat menggunakan perintah.
#tripwire
–-update –Z low –twrfile /var/lib/tripwire/report/HOSTNAME-yyyymmdd-tttttt.twr
Perintah tsb berarti bahwa tripwire akan membandingkan
antara database yang ada dengan file yang ada di sistem, kemudian akan menjalankan
editor untuk memilih perubahan didatabase. Opsi dari twrfile adalah report yang
dibangkitkan dan disimpan pada folder /var/lib/tripwire/report. Format penamaan
file adalah berdasarkan tahun (yyyy), bulan (mm), tanggal (dd) dan jam dalam
format (HH-MM-SS). Ekstensi file report adalah .twr.
1.
Tugas Percobaan
1.
Jalankan
perintah:
#tripwire
–check
Catat dan analisa hasilnya.
1.
Kerjakan
langkah-langkah dibawah dan analisa setiap langkahnya
a.
Ubah file policy
twpol.txt
#vim
/etc/tripwire/twpol.txt
b.
Tambahkan di
baris paling bawah
(
rulename = “Kirim Notifikasi ke email”,
severity = $(SIG_HI),
emailto = root@localhost
)
Email akan dikirimkan ke akun email dari root dari
system yang anda monitor. Biasanya, email akan ditujukan ke akun yang dapat bertindak
sebagai root.
a.
Lakukan enkripsi
terhadap file anda
#cd
/etc/tripwire
#twadmin
–-create-polfile –-cfgfile ./tw.cfg \--site-keyfile ./site.key ./twpol.txt
a.
Ubah file
konfigurassi untuk memasukkan informasi smtp:
#vi
/etc/tripwire/twcfg.txt
a.
Lakukan enkripsi
terhadap file tersebut
#cd
/etc/tripwire
#twadmin
–-create-cfgfile –-cfgfile ./tw.cfg –-site-keyfile ./site.key ./twcfg.txt
a.
Jalankan test
dengan menggunakan perintah:
#tripwire
–test –email root@localhost
b.
Check email di
akun user anda
$mail
1.
Buat sebuah file
kosong. Kemudian salinlah kedalam direktori /bin
#touch
newfile.sh
#cp
newfile.sh/root
1.
Lakukan cek
konsistensi dengan menjalankan perintah:
#tripwire
-check
Catat dan analisa hasilnya
KESIMPULAN
Seperti halnya dijelaskan di Dasar Teori tadi bahwa
tujuan dari tripwire ini adalah untuk mendeteksi adanya anomali jaringan yang
salah satu penyebabnya adalah penyusup. Fungsi lain dari tripwire ini bisa
juga dibilang monitoring. Memonitor setiap
perubahan pada OS seperti perubahan tgl, dan perubahan yang lain dan nantinya
pelaporannya dapat berupa email.
Tidak ada komentar:
Posting Komentar