2. Dasar Teori
Pemasangan
program intrusi deteksi sebenarnya ditujukan untuk mendeteksi, memantau keadaan
anomali jaringan yang disebabkan salah satunya oleh penyusup (intruder).
Setalah tahap pendeteksian biasanya IDS dapat diset untuk dapat memberikan
peringatan bagi network administrator.
Type IDS sendiri
secara garis besar dibagi 2 yaitu host-based dan network-based IDS. Pada praktikum kali ini, kita akan membahas
salah satu contoh aplikasi dari host-based
IDS, yaitu tripwire. Program tripwire berfungsi untuk menjaga integritas
file sistem dan direktori, dengan mencatat setiap perubahan yang terjadi pada
file dan direktori. Penggunaan tripwire biasanya digunakan untuk mempermudah
pekerjaan yang dilakukan oleh System Administrator dalam mengamankan System.
Cara kerja
tripwire adalah dengan melakukan perbandingan file dan direktori yang ada
dengan database system yang dibuat pada saat tripwire diinstall. Perbandingan
tersebut meliputi perubahan tanggal, ukuran file, penghapusan dan lain-lainnya.
Setelah tripwire dijalankan, secara otomatis akan melakukan pembuatan database
sistem. Kemudian secara periodik akan selalu melaporkan setiap perubahan pada
file dan direktori.
3. Percobaan
I.
Proses
Instalasi
1.
Login sebagai root
2.
Lakukan sinkronisasi
terkini index paket software lokal dengan repository
#apt-get update
3.
Lakukan installasi
tripwire
#
apt-get install tripwire
Lalu akan muncul dialog seperti dibawah. Perhatikan pesan yang
muncul pada setiap dialog, lalu jawab dengan “Yes”.
4.
Masukkan site key
passphrase dan local key passphrase, setelah muncul dialog seperti dibawah.
Ulangi sekali lagi !
5.
Kemudian akan mucul
dialog bahwa trip wire telah terinstal. Perhatikan pesan pada dialog tersebut !
6.
Ubah mode dari 2 buah
file dari tripwire : tw.cfg dan tw.pol.
#cd /etc/tripwire
#chmod 0600 tw.cfg tw.pol
Perintah
chmod akan merubah hak akses dari file tersebut terhadap user tertentu.
II.
Melakukan
modifikasi pada file “Policy” dan file konfigurasi
Setelah proses instalasi berakhir, lakukan langkah-langkah
dibawah ini :
1.
Modifikasi file
twpol.txt. Perhatikan setiap baris pada file tersebut. Lalu Enkripsi file
tersebut.
# vi /etc/tripwire/twpol.txt
# cd /etc/tripwire
# twadmin --create-polfile --polfile ./tw.pol
--site-keyfile ./site.key ./twpol.txt
2.
Modifikasi file tw.cfg.
Perhatikan setiap baris pada file tersebut. Lalu Enkripsi file tersebut.
# vi /etc/tripwire/twcfg.txt
# cd /etc/tripwire
#
twadmin --create-cfgfile --cfgfile ./tw.cfg
--site-keyfile
./site.key ./twcfg.txt
Hasil dari perubahan yang dilakukan pada file
twcfg.txt akan disimpan pada secara enkripsi pada file tw.cfg
III.
Inisialisasi
Database
Setelah melakukan langkah-langkah pada point II, anda akan
melakukan inisialisasi database dengan menjalankan perintah :
#tripwire --init --cfgfile /etc/tripwire/tw.cfg \
--polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key
\
--local-keyfile /etc/tripwire/HOSTNAME-local.key
HOSTNAME adalah nama host
komputer kami,
yaitu debian. Langkah ini membutuhkan waktu yang relatif lama.
Analisa :
Dapat
terlihat bahwa terjadi error ketika inisialisasi database dilakukan, hal ini
dikarenakan struktur database pada system dan tripwire terdapat perbedaan.
Perbedaan tersebut menyebabkan terjadi directory-directory yang tidak dikenali
ketika proses inisialisasi dilakukan sehingga terjadi error.
IV.
Melakukan
cek system
Pada tahap ini tripwire menyimpan informasi
awal dari file-file yang akan dimonitor perubahannya :
#
tripwire --check
V.
Melakukan
update file “Policy”
Apabila ada perubahan pada file twpol.txt, misalnya kita akan
menambahkan atau mengurangi folder yang akan dimonitor maka kita harus
melakukan update dengan menjalankan perintah :
# cd /
# tripwire --update-policy --cfgfile
./tw.cfg --polfile ./tw.pol \
--site-keyfile ./site.key --local-keyfile ./HOSTNAME-local.key
./twpol.txt
VI.
Melakukan
update database dari system file
Database dari file system perlu di update
secara berkala. Proses update dapat menggunakan perintah
# tripwire
--update -Z low --twrfile /var/lib/tripwire/report/host-yyyymmdd-
tttttt.twr
Perintah tersebut berarti bahwa tripwire akan
membandingkan antara database yang ada dengan file yang ada di system, kemudian
akan menjalankan editor untuk memilih perubahan di database. Opsi dari twrfile
adalah file report yang dibangkitkan dan disimpan pada folder
/var/lib/tripwire/report. Format penamaan file adalah berdasarkan tahun (yyyy),
bulan (mm), tanggal(dd) dan jam dalam format (HH-MM-SS). Ekstensi file report
adalah .twr.
4. Tugas Percobaan
1.
Jalankan perintah :
#
tripwire –check
2.
Kerjakan langkah-langkah dibawah dan analisa setiap
langkahnya
a)
Ubah file policy twpol.txt
#
vim /etc/tripwire/twpol.txt
b)
Tambahkan di baris paling bawah
(
rulename = "Kirim Notifikasi ke email",
severity = $(SIG_HI),
emailto = kukuh@it.student.pens.ac.id
)
rulename = "Kirim Notifikasi ke email",
severity = $(SIG_HI),
emailto = kukuh@it.student.pens.ac.id
)
Email
akan dikirimkan ke akun email dari root dari system yang anda monitor. Biasanya,
email akan ditujukan ke akun user yang dapat bertindak sebagai root.
c)
Lakukan enkripsi terhadap file anda
#
cd /etc/tripwire
# twadmin --create-polfile --cfgfile ./tw.cfg \
--site-keyfile ./site.key ./twpol.txt
# twadmin --create-polfile --cfgfile ./tw.cfg \
--site-keyfile ./site.key ./twpol.txt
d)
Ubah file konfigurasi untuk memasukkan informasi
smtp :
# vi /etc/tripwire/twcfg.txt
…
MAILMETHOD =SMTP
SMTPHOST =localhost
SMTPHOST =localhost
SMTPPORT =25
…
MAILMETHOD =SMTP
SMTPHOST =localhost
SMTPHOST =localhost
SMTPPORT =25
…
e)
Lakukan enkripsi terhadap file tersebut
# cd /etc/tripwire
# twadmin --create-cfgfile --cfgfile ./tw.cfg
--site-keyfile ./site.key ./twcfg.txt
# twadmin --create-cfgfile --cfgfile ./tw.cfg
--site-keyfile ./site.key ./twcfg.txt
f)
Jalankan test dengan menggunakan perintah :
# tripwire –test –email kukuh@it.student.pens.ac.id
g)
Check email di akun user anda
$ mail
3.
Buat sebuah file kosong . Kemudian salinlah ke
dalam direktori /bin
# touch newfile.sh
# cp newfile.sh /root
# cp newfile.sh /root
4.
Lakukan cek konsistensi dengan menjalankan perintah:
# tripwire –check
5. Bandingkan hasil dari perintah
pada nomor 1 dan nomor 4.
Karena
percobaan yang kami lakukan menghasilkan error semua pada saat di check dan
hasil nya sama semua, kami tidak mengetahui dimanakah perbedaan nya dengan yang
lainnya.
5. Latihan
1.
Berikan kesimpulan hasil praktikum yang anda
lakukan.
Sesuai dengan
fungsinya, tripwire memungkinkan admin untuk melakukan pengawasan terhadap
aktivitas added, deleted, & modified files. Dalam penerapannya, Tripwire
memiliki system database sebagai tempat penyimpanan ketika mencatat seluruh log
yang ada. Pada saat installasi pada tripwire, akan terjadi error jika struktur
pada tripwire dan system OS berbeda.
2.
Berdasarkan percobaan yang anda lakukan,
jelaskan cara kerja tripwire dalam melakukan integrity checker ?
Dalam melakukan monitoring, tripwire melakukan maintaining checklist,
comparison copies, checksum record atau backup tapes. Metode yang dilakukan
dalam melakukan aktivitas tersebut terhadap semua hal yang terjadi pada system
dengan menambahkan integritas.
Integritas yang ideal meliputi :
·
Automasi dengan tingkat yang cukup tinggi
·
Memberikan deskripsi yang sederhana terhadap
attribute dari system file yang dimonitor
·
Mudah untuk melakukan update database yang
digunakan untuk mengontrol monitoring.
·
Melakukan check rutin secara otomatis.
3.
Carilah referensi baik dari buku maupun
Internet, aturan-aturan apa saja yang bisa dideteksi oleh tripwire ?
Hal-hal yang bisa dicatat oleh
tripwire adalah :
·
Size
·
Access & modification timestamps
·
Permissions
·
Inode number
·
Signature
0 comments