NAMA: DEVI WIYENTI
KELAS: IF6IA
NIM: 141420070
MK: KEAMANAN JARINGAN
DOSEN: SURYAYUSRA
WEBSITE: www.binadarma.ac.id
1.MOD SECURITY
Apa itu ModSecurity ?, ModSecurity adalah Web Application Firewall (WAF) yang bekerja untuk Apache, Nginxdan IIS. Dengan manambahkan WAF pada web server kita, tentu akan meningkatkan keamanan web server dari serangan cracker yang tidak bertanggung jawab. Di sini saya menggunakan sitem operasi ubuntu server 14.04 LTS 64 bit dan menggunakan apache2 untuk web server nya.
Gambar 1 Install Mod Security Dengan Perintah
Konfigurasi mod securityfile konfigurasi Modsecurity default diatur ke Detection Only, yang mencatat permintaan sesuai dengan kecocokan aturan dan tidak memblokir apapun. Ini bisa diubah dengan mengedit modsecurity.conffile dan memodifikasi SecRule Enginedirektif. Jika Anda mencoba ini di server produksi, ubahlah perintah ini hanya setelah menguji semua peraturan Anda.The SecResponse Body Access direktif mengkonfigurasi apakah tubuh respon buffer (yaitu dibaca oleh ModSecurity). Ini hanya diperlukan jika deteksi dan proteksi
kebocoran data diperlukan. Oleh karena itu, membiarkan nya menggunakan sumber Droplet dan juga meningkatkan ukuran logfile, jadi kami akan mematikan nya.
Tempelskrip PHP berikut kedalam file /var/www/html/login.php. Pastikan untuk mengubah password MySQL di script di bawah ini yang anda tentukan tadi sehingga scriptnya bisa terhubung ke database:
<html>
<body>
<?php
if(isset($_POST['login']))
{
$username = $_POST['username'];
$password = $_POST['password'];
$con = mysqli_connect('localhost','root','123456','sample');
$result = mysqli_query($con, "SELECT * FROM `users` WHERE username='$username' AND password='$password'");
if(mysqli_num_rows($result) == 0)
echo 'Invalid username or password';
else
echo '<h1>Logged in</h1><p>This is text that should only be displayed when logged in with valid credentials.</p>';
}
else
{
?>
<form action="" method="post">
Username: <input type="text" name="username"/><br />
Password: <input type="password" name="password"/><br />
<input type="submit" name="login" value="Login"/>
</form>
<?php
}
?>
</body>
</html>
Tugas selanjutnya adalah mencoba injeksi SQL untuk memotong halaman login. Masukkan berikut ini untuk kolom username.
Setelah dimasukkan sql injection ternyata bisa masuk. Seperti pada gambar berikut ini.
Membuat rule mod security
Pada langkah ini, kami akan menyiapkan beberapa peraturan ModSecurity. Untuk mempermudah, ada banyak aturan yang sudah terpasang bersama denganModSecurity. Ini disebut CRS (Core Rule Set) dan berada di dalam /usr/share/modsecurity-crs direktori. Untuk memuat aturan ini, kita perlu mengkonfigurasi Apache untuk membaca .conffile di direktori ini, jadi buka security2.conf file untuk di edit.
# nano /etc/apache2/mods-enabled/security2.conf
Tambahkan perintah yang berwarna merah kedalam file /etc/apache2/mods-enabled/security2.conf
</IfModule>).
IncludeOptional /etc/modsecurity/*.conf
IncludeOptional"/usr/share/modsecurity-crs/*.conf"
IncludeOptional"/usr/share/modsecuritycrs/activated_rules/*.conf"
</IfModule>
Selanjutnya reload apache nya
# service apache2 reload
Coba lagi mengakses web dengan sql injection seperti gambar di bawah ini
Kalau tampilan akhirnya seperti ini berarti mod security nya berhasil.
2. SNORT
Snort adalah NIDS yang bekerja dengan menggunakan signature detection, berfungsi juga sebagai sniffer dan packet logger. Snort pertama kali di buat dan dikembangkan oleh Marti Roesh, lalu menjadi sebuah open source project. Versi komersial dari snort dibuat oleh Sourcefire (www.sourcefire.com).Snort memiliki karakteristik, sebagai berikut:
a. berukuran kecil – Source code dan rules untukrilis 2.1.1 hanya 2256k.
b. Portable untuk banyak OS – Telah diportingke Linux, Windows, OSX, Solaris, BSD,dll.
c. Cepat – Snort mampu mendeteksi serangan pada network 100Mbps.
d. Mudah dikonfigurasi – Snort sangat mudah dikonfigurasi sesuai dengan kebutuhan network kita. Bahkan kita juga dapat membuat rule sendiri untuk mendeteksi adanya serangan baru
e. Free – Kita tidak perlu membayar sepeser pun untuk menggunakan snort. Snort bersifat open source dan menggunakan lisensi GPL.
A.Komponen Snort.
Snort merupakan packet sniffing yang sangat ringan. Snifing interface yang digunakan berbasis libpcap (padaUnixtersediadengantcpdump, www.tcpdump.org).Pembuat snort sangat fokuspada engine yang digunakan untuk mendeteksi serangan dan memanfaatkan tools tcp dump untuk mengambil paket network. Salah satu keunggulan snort adalah bahwa snort memiliki plugin sistem yang sangat fleksibel untuk dimodifikasi. Snort memiliki beberapa komponen yang tiap komponennya mempunyaitugasmasing-masing.Pada saat ada paket network yang melewati Ethernet di tempat snort dipasang,maka ada beberapa hal yang dilalui:
1. Packet capture library (libpcap). Packet capture library – akan memisahkan paket data yang melalui ethernet card untuk selanjutnya digunakan oleh snort.
2. Packet decoder. Packet decoder – mengambil data di layer 2 yang dikirim dari packet capture library(proses 1).Pertama ia akan memisahkan Data link (sepertiethernet, TokenRing, 802.11)kemudian protokol IP, dan selanjutnya paket TCP dan UDP. Setelah pemisahan data selesai, snort telah mempunyai informasi protokol yang dapat diproses lebih lanjut.
3. Preprocessor. Selanjutnya dilakukan analisis (preprocessor) atau manipulasi terhadap paket sebelum dikirimke detection engine. Manipulasi paket dapat berupa ditandai, dikelompokan atau malah dihentikan
4. Detection Engine. Inilah jantung dari snort. Paket yang datang dari packet decoder akan ditest dan dibandingkan dengan rule yang telah ditetapkan sebelumnya. Rule berisitanda-tanda (signature) yang termasuk serangan.
5. Output. Output yang dihasilkan berupa report dan alert. Ada banyak variasi output yang dihasilkan snort, sepertiteks (ASCII), XML, syslog, tcpdump, binary format, atau Database (MySQL, MsSQL, PostgreSQL, dsb).
B.Memilihlokasi Snort.
Hal terakhir yang harus kita ketahui, sekaligus menjadi faktor yang menentukan keefektifan dari snortadalah ‘lokasi’. Ini sangat penting terlebih jika jaringan yang kita kelola berukuran besar. Oleh karena itu. sebelum mulai menginstal snort,tentu kan terlebih dahulu apa yang akan kita lindungi,
1.Single server
2.Sekelompok server
3.Semua subnet
Setelah kita selesai menentukan apa yang akan dimonitor, maka kita bisa leluasa menentukan dimanaakanmeletakan snort. Jadi untuk menempatkan snort tergantung kepada apa yang akan kita monitor. Network biasanya menggunakan firewall untuk memisahkan server publik kedalam De-Militarized Zone (DMZ) dan jaringan lokal kedalam internal NAT network.
cara kerja:
Tidak ada komentar:
Posting Komentar