TUJUAN PEMBELAJARAN:
1. Mengenalkan pada mahasiswa tentang konsep integrator cek pada IDS
2. Mampu membedakan konsep IDS host base dan network base
3. Mampu melakukan installasi, konfigurasi dan memakaai Tripwire sebagai program hostbase IDS dengan sistem integrator Checking
DASAR TEORI
Pemasangan program intrusi deteksi sebenarnya ditujukan untuk mendeteksi penyusup ataupun hacker ke suatu jaringan atau network dan bisa memantau seluruh ulah sang hacker yang sedang dilakukan olehnya.
Type IDS sendiri secara garis besar dibagi 2 yaitu hostbase dan network base IDS. Snort termasuk dalam Network base. Salah satu model host-based IDS adalah tripwire
Program tripwire berfungsi untuk menjaga integritas file system dan direktori, dengan mencatat setiap perubahan yang terjadi pada file dan direktori. Konfigurasi tripwire meliputi pelaporan melalui email, bila menemukan perubahan file yang tidak semestinya dan secara otomatis melakukan pemeriksaan file melalui cron. Penggunaan tripwire biasanya digunakan untuk mempermudah pekerjaan yang dilakukan oleh System Administrator dalam mengamankan System. Tripwire merupakan salah satu
Cara kerja tripwire adalah melakukan perbandingan file dan direktori yang ada dengan database sistem. Perbandingan tersebut meliputi perubahan tanggal, ukuran file, penghapusan dan lain-lainnya. Setelah tripwire dijalankan, secara otomatis akan melakukan pembuatan database sistem. Kemudian secara periodik akan selalu melaporkan setiap perubahan pada file dan direktori.
Berikut ini merupakan penjelasan dari skema di atas:
1. Anda melakukan instalasi tripwire dan melakukan pengaturan policy file serta inisialisasi database,
2. Selanjutnya Anda bisa menjalankan pemeriksaan integritas sistem.
3. Bila ditemukan perubahan ukuran, tanggal maupun kepemilikan pada file tersebut, maka tripwire akan melakukan laporan pada sistem tentang adanya perubahan pada file terkait.
4. Jika perubahan tidak diijinkan, maka Anda bisa mengambil tindakan yang diperlukan.
5. Sebaliknya, jika perubahan pada file tersebut diijinkan, maka tripwire akan memeriksa Policy File, apakah policy file berjalan dengan baik?
6. Jika policy file tidak berjalan dengan benar, maka policy file harus di-update sesegera mungkin.
7. Jika policy file sudah berjalan dengan benar, maka tripwire akan melakukan update database file database.
8. Dan demikian seterusnya proses ini berlangsung.
TUGAS PENDAHULUAN
1. Apa fungsi tripwire ? Dan
2. Sebutkan langkah-langkah kerja yang dilakukan tripwire ketika mengecek integritas file
3. Apa guna perintah-perintah berikut :
- tripwire –init
- tripwire –check
- twprint
4. Ada 4 file penting yang digunakan oleh tripwire. Sebutkan fungsi 4 file tersebut dan dimana file tersebut disimpan.
PERCOBAAN
1. Siapkan file source tripwire, ambil pada komputer yang sudah disediakan.
2. Lakukan installasi file tripwire yang ada
rpm -ivh tripwire-xxx-xx.i386.rpm
Preparing... ########################################### [100%]
1:tripwire ########################################### [100%]
3. Lakukan pre-konfigurasi. Jalankan file /usr/sbin/tripwire-setup-keyfiles
#/usr/sbin/tripwire-setup-keyfiles
l Masukkan password untuk site key file dan local keyfile. Bedakan kedua password ini dg password root. Bedakan juga password site dan local. Dengan cara ini, apabila hacker mengetahui password root, hacker tetap tidak bisa mengubah file konfigurasi tripwire.
l Setelah itu masukkan password untuk site passphrase.
4. Inisialisasi tripwire:
#/usr/sbin/tripwire --init
Tripwire akan meng-generate file database sistem yang anda miliki. File database ini disimpan pada file /var/lib/tripwire/..twd. Untuk melihat / mengeprint hasil cek (karena file twd tidak dapat dibaca langsung. Hal ini disengaja untuk faktor keamanan. ), anda dapat menggunakan perintah :
# /usr/sbin/twprint -m d --print-dbfile | less
5. Untuk mengetes tripwire
# /usr/sbin/tripwire --check
Tripwire akan meng-generate file report sistem dan disimpan dalam file /var/lib/tripwire/report/ nama-file-report.twr. Untuk melihat / mengeprint hasil cek (karena file twr tidak dapat dibaca langsung), anda dapat menggunakan perintah :
#/usr/sbin/twprint -m r --twrfile /var/lib/tripwire/report/nama-file-report.twr
Jalankan perintah berikut dan jawab pertanyaan yang ada.
l Coba buat group baru dg perintah
#groupadd mahasiswa
l Jalankan cek dan print hasil cek tersebut
# /usr/sbin/tripwire –check
#/usr/sbin/twprint -m r --twrfile /var/lib/tripwire/report/nama-file-report.twr
l Ada berapa total object yang discanned ? Ada berapa pelanggaran yg terjadi ? Modified object ini termasul pelanggaran. Apakah anda melihat bahwa /etc/group termasuk modified object ? Jika iya, copy paste mulai dari rule name yg menyebut /etc/group sebagai modified object name.
6. Update database
Misalkan anda mengubah/mengedit file tertentu, apabila database tidak diubah, perubahan file ini akan dideteksi oleh tripwire sebagai bentuk pelanggaran, walaupun perubahan tersebut legal! Untuk itu anda perlu melakukan update database dengan perintah :
#/usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/nama-file .twr
Yang perlu diperhatikan disini adalah file report. twr. Buat update database berdasarkan file report tripwire tersebut.
Jalankan perintah berikut dan jawab pertanyaan yang ada.
l Sekarang coba update database tripwire dengan perintah :
#/usr/sbin/tripwire --update --twrfile /var/lib/tripwire/report/nama-file .twr
l Jalankan perintah cek sekali lagi.
l Apakah hasil cek menunjukkan adanya pelanggaran ? Apa fungsi update database tripwire?
7. Update policy
Ada beberapa hal yang membutuhkan update policy, misalnya saat kita melakukan tuning up tripwire, ada file yang memang tidak ada dan dianggap sebagai file not found oleh tripwire atau kita ingin tripwire mengemail kita saat ada perubahan terhadap file tertentu. Untuk itu edit file policy sesuai dengan kebutuhan (defaultnya adalah twpol.txt).
Jalankan perintah berikut dan jawab pertanyaan yang ada.
l Coba lihat hasil report tripwire, beberapa file disebut sebagai file not found. Coba ubah file policy agar file-file tersebut tidak dianggap sebgai file not found dengan memberikan tanda # pada file-file yang memang tidak ada.
l Misal, menginginkan setiap kali ada perubahan pada file crontab, server langsung mengirimkan pemberitahuan ke email anda.
§ copy file twpol.txt menjadi twpol.txt.new, kemudian edit file twpol.txt.new
(
rulename = "Critical configuration files",
severity = $(SIG_HI),
emailto = isbat@eepis-its.edu )
{
#/etc/crontab -> $(SEC_BIN) ;
}
§ Perbaharui data tripwire:
/usr/sbin/twadmin --create-polfile -S /etc/tripwire/site.key /etc/tripwire/twpol.txt.new
§ Inisialisasi ulang
/usr/sbin/tripwire --init
§ Jalankan kembali tripwire
/usr/sbin/tripwire --check
8. Sebelum policy email kita jalankan, mungkin kita bisa mengecek terlebih dahulu apakah tripwire bisa mengirim email apa tidak secara langsung dari command :
/usr/sbin/tripwire --test --email isbat@eepis-its.edu
9. Untuk mencetak hasil tripwire, jalankan perintah berikut :
# twprint -m r --twrfile /var/lib/tripwire/report/.twr
0 komentar:
Posting Komentar