Deep Packet Inspection (DPI) aplikasi DPI sebagai Keamanan jaringan
Secara teknis, DPI merupakan kombinasi fungsi firewall, IDS dan IPS (Intrusion
Prevention System). Kombinasi tersebut memiliki fungsi mengawasi, mengidentifikasi,
mendeteksi perilaku abnormal dan mencegah cyber attack terhadap lalu lintas data pada
jaringan. Salah satu contoh produk komersil yang berfungsi sebagai DPI adalah Qosmos*
ixEngine [13]. Produk ini memiliki fitur sebagai berikut:
- Dapat melakukan analisis mendalam dan real-time terhadap jaringan berbasis IP;
- Dapat melakukan identifikasi terhadap protocol dan application yang digunakan;
- Dapat melakukan ekstraksi content dan metadata dari bit-streams pada jaringan;
- Dapat menghubungkan suatu bit-streams dimiliki oleh suatu user, application atau
Ilustrasi pengawasan paket data yang dilakukan oleh DPI pada layer protocol jaringan (OSI layer) dijelaskan pada Gambar V-2. DPI mengawasi paket data yang terdiri atas header (metadata) dan payload (content) pada setiap layer.
Gambar V-2. DPI pada OSI layerPada arsitektur LTE, perangkat DPI dapat diletakkan pada atau berdekatan dengan
security gateway, service gateway atau perangkat lain yang memiliki akses terhadap lalu
llintas data dalam EPC.
Sumber: Perdana Kusumah, ‘II5166 (Keamanan Informasi Lanjut)” Sekolah Teknik Elektro dan Informatika Institut Teknologi Bandung, 2012.
0
Download dan Ekstrak Snort
Download Snort versi gratis terbaru dari situs Snort . Mengambil kode sumber Snort ke direktori / usr / src seperti yang ditunjukkan di bawah ini.
# Cd / usr / src
# Wget -O Snort-2.8.6.1.tar.gz http://www.snort.org/downloads/116
# Tar xvzf Snort-2.8.6.1.tar.gz
# Apt-cache kebijakan libpcap0.8-dev
libpcap0.8-dev:
Dipasang: 1.0.0-2ubuntu1
Calon: 1.0.0-2ubuntu1
# Apt-cache kebijakan libpcre3-dev
libpcre3-dev:
Dipasang: 7,8-3
Calon: 7,8-3
Ikuti langkah-langkah berikut untuk menginstal Snort.
# Cd Snort-2.8.6.1
# ./configure
# make
# Make install
# Snort –version
,, _ – *> Snort! <* –
o “) ~ Versi 2.8.6.1 (Build 39)
” ” Dengan Martin Roesch & Tim Snort: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Menggunakan versi PCRE: 7.8 2008/09/05
Buat direktori berikut:
# Mkdir / etc / snort
# Mkdir / etc / snort / aturan
# Mkdir / var / log / snort
Buat berikut snort.conf dan icmp.rules file:
# Cat /etc/snort/snort.conf
termasuk /etc/snort/rules/icmp.rules
# /etc/snort/rules/icmp.rules Cat
peringatan icmp apapun apapun -> apapun apapun (msg: “ICMP Packet”; sid: 477; rev: 3;)
Aturan dasar atas tidak memperingatkan ketika ada sebuah paket ICMP (ping).
Berikut ini adalah struktur waspada:
<Rule Tindakan> <Protocol> <Sumber IP Address> <Sumber Pelabuhan> <Direction operator> <Destination IP Address> <tujuan> (opsi aturan)
# Snort -c /etc/snort/snort.conf l / var / log / snort /
Coba ping beberapa IP dari mesin Anda, untuk memeriksa aturan ping kami.Berikut adalah contoh dari peringatan Snort untuk aturan ICMP ini.
# Kepala / var / log / snort / peringatan
[**] [1: 477: 3] ICMP Packet [**]
[Prioritas: 0]
07 / 27-20: 41: 57,230345> l / l len: 0 l / l Jenis: 0x200 0: 0: 0: 0: 0: 0
Jenis pkt: 0x4 proto: 0x800 len: 0x64
209.85.231.102 -> 209.85.231.104 ICMP TTL: 64 TOS: 0x0 ID: 0 IpLen: 20 DgmLen: 84 DF
Jenis: 8 Kode: 0 ID: 24905 Seq: 1 ECHO
Peringatan Penjelasan
Beberapa baris ditambahkan untuk setiap peringatan, yang meliputi:
# Snort -dev -i ppp0 -c /etc/snort/snort.conf l / var / log / snort /
Mengeksekusi Snort sebagai Daemon
Tambahkan opsi -D untuk menjalankan Snort sebagai daemon.
# Snort -D -c /etc/snort/snort.conf l / var / log / snort /
Informasi Snort tambahan
Pengujian di sini hanya untuk membantu memahami bagaimana snort tersebut bekerja mendeteksi serangan berdasarkan filter rule yang dimasukan. Dalam pengujian di sini menggunakan system operasi Backtrack yang sudah terinstal snort secara default.
Dalam pengujian ini belum digunakan database dan report hanya menggunakan file log. (Dalam implementasi bisa digunakan database dan web report untuk membantu admin memonitor jaringan. Cara instalnya bisa dicari di google untuk menginstal snort yang lebih lengkap).
Untuk mengenal snort, pertama install snort. Tergantung jenis distro Linux yang dipakai. Misalnya untuk Ubuntu jalankan perinah:
—Menjalankan Snort dan Konfigurasinya
-Silahkan klik icon snort yang ada dimenu backtrack
Lalu Klik, dan running.
-Setelah
Snort running, saya akan menetukan IP yang akan dimonitoring oleh
Snort. Untuk uji cobanya, saya menggunakan IP Vbox (localhost).
Sebelumnya mari kita konfigurasikan Snortnya.
-Disini yang akan saya monitoring adalah IP 192.168.56.2 (localhost)
maka akan saya input sebelum syntax var HOME_NET 192.168.56.2 didalam snort.conf
full screenshot untuk step konfigurasi /snort.conf
—Running Snort & Monitoring
-Setelah kita konfigurasi, mari kita restart dan running Snortnya.
—Pengujian Kemampuan Snort
Unutk Pengujian kemampuan Snort, disini saya menggunakan dmitry (sudah terinstall default dibacktrack).
Lalu apa yang dilakukan Snort ketika IP 192.168.56.2 yang telah dikonfigurasi diserang? =)
,tentu snort akan secara otomatis mendeteksinya.
Sumber :https://infobacktrack.wordpress.com/2013/07/16/cara-menggunakan-snort-di-backtrack-test-localhost/
Download Snort versi gratis terbaru dari situs Snort . Mengambil kode sumber Snort ke direktori / usr / src seperti yang ditunjukkan di bawah ini.
# Cd / usr / src
# Wget -O Snort-2.8.6.1.tar.gz http://www.snort.org/downloads/116
# Tar xvzf Snort-2.8.6.1.tar.gz
- Instal Snort
# Apt-cache kebijakan libpcap0.8-dev
libpcap0.8-dev:
Dipasang: 1.0.0-2ubuntu1
Calon: 1.0.0-2ubuntu1
# Apt-cache kebijakan libpcre3-dev
libpcre3-dev:
Dipasang: 7,8-3
Calon: 7,8-3
Ikuti langkah-langkah berikut untuk menginstal Snort.
# Cd Snort-2.8.6.1
# ./configure
# make
# Make install
- Pastikan Instalasi Snort
# Snort –version
,, _ – *> Snort! <* –
o “) ~ Versi 2.8.6.1 (Build 39)
” ” Dengan Martin Roesch & Tim Snort: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Menggunakan versi PCRE: 7.8 2008/09/05
- Buat file dan direktori yang diperlukan
Buat direktori berikut:
# Mkdir / etc / snort
# Mkdir / etc / snort / aturan
# Mkdir / var / log / snort
Buat berikut snort.conf dan icmp.rules file:
# Cat /etc/snort/snort.conf
termasuk /etc/snort/rules/icmp.rules
# /etc/snort/rules/icmp.rules Cat
peringatan icmp apapun apapun -> apapun apapun (msg: “ICMP Packet”; sid: 477; rev: 3;)
Aturan dasar atas tidak memperingatkan ketika ada sebuah paket ICMP (ping).
Berikut ini adalah struktur waspada:
<Rule Tindakan> <Protocol> <Sumber IP Address> <Sumber Pelabuhan> <Direction operator> <Destination IP Address> <tujuan> (opsi aturan)
| Tabel: Struktur Peraturan dan contoh | |
| Struktur | Contoh |
| aturan Tindakan | waspada |
| Protokol | icmp |
| Sumber IP Address | apa saja |
| sumber Pelabuhan | apa saja |
| arah Operator | -> |
| Tujuan IP Address | apa saja |
| Port tujuan | apa saja |
| (Opsi aturan) | (Msg: “ICMP Packet”; sid: 477; rev: 3;) |
- Jalankan Snort
# Snort -c /etc/snort/snort.conf l / var / log / snort /
Coba ping beberapa IP dari mesin Anda, untuk memeriksa aturan ping kami.Berikut adalah contoh dari peringatan Snort untuk aturan ICMP ini.
# Kepala / var / log / snort / peringatan
[**] [1: 477: 3] ICMP Packet [**]
[Prioritas: 0]
07 / 27-20: 41: 57,230345> l / l len: 0 l / l Jenis: 0x200 0: 0: 0: 0: 0: 0
Jenis pkt: 0x4 proto: 0x800 len: 0x64
209.85.231.102 -> 209.85.231.104 ICMP TTL: 64 TOS: 0x0 ID: 0 IpLen: 20 DgmLen: 84 DF
Jenis: 8 Kode: 0 ID: 24905 Seq: 1 ECHO
Peringatan Penjelasan
Beberapa baris ditambahkan untuk setiap peringatan, yang meliputi:
- Pesan dicetak di baris pertama.
- sumber IP
- tujuan IP
- Jenis paket, dan informasi header.
# Snort -dev -i ppp0 -c /etc/snort/snort.conf l / var / log / snort /
Mengeksekusi Snort sebagai Daemon
Tambahkan opsi -D untuk menjalankan Snort sebagai daemon.
# Snort -D -c /etc/snort/snort.conf l / var / log / snort /
Informasi Snort tambahan
- File konfigurasi default akan tersedia di Snort-2.8.6.1 / etc / snort.conf
- Aturan default dapat didownload dari: http://www.snort.org/snort-rules
Pengujian di sini hanya untuk membantu memahami bagaimana snort tersebut bekerja mendeteksi serangan berdasarkan filter rule yang dimasukan. Dalam pengujian di sini menggunakan system operasi Backtrack yang sudah terinstal snort secara default.
Dalam pengujian ini belum digunakan database dan report hanya menggunakan file log. (Dalam implementasi bisa digunakan database dan web report untuk membantu admin memonitor jaringan. Cara instalnya bisa dicari di google untuk menginstal snort yang lebih lengkap).
Untuk mengenal snort, pertama install snort. Tergantung jenis distro Linux yang dipakai. Misalnya untuk Ubuntu jalankan perinah:
| 1 | #sudo apt –get install snort |
-Silahkan klik icon snort yang ada dimenu backtrack
Lalu Klik, dan running.
-Setelah
Snort running, saya akan menetukan IP yang akan dimonitoring oleh
Snort. Untuk uji cobanya, saya menggunakan IP Vbox (localhost).
Sebelumnya mari kita konfigurasikan Snortnya.| 1 | vim /etc/snort/snort.conf |
-Disini yang akan saya monitoring adalah IP 192.168.56.2 (localhost)
maka akan saya input sebelum syntax var HOME_NET 192.168.56.2 didalam snort.conf
full screenshot untuk step konfigurasi /snort.conf
—Running Snort & Monitoring
-Setelah kita konfigurasi, mari kita restart dan running Snortnya.
| 1 | /etc/init.d/snort restart |
| 1 | snort -q -A console -i any -c /etc/snort/snort.conf |
—Pengujian Kemampuan Snort
Unutk Pengujian kemampuan Snort, disini saya menggunakan dmitry (sudah terinstall default dibacktrack).
| 1 | dmitry -p 192.168.56.2 |
Lalu apa yang dilakukan Snort ketika IP 192.168.56.2 yang telah dikonfigurasi diserang? =)
,tentu snort akan secara otomatis mendeteksinya.
Sumber :https://infobacktrack.wordpress.com/2013/07/16/cara-menggunakan-snort-di-backtrack-test-localhost/
