Minggu, 16 Oktober 2016

Deep Packet Inspection (DPI) aplikasi DPI sebagai Keamanan jaringan

  Secara teknis, DPI merupakan kombinasi fungsi firewall, IDS dan IPS (Intrusion

Prevention System). Kombinasi tersebut memiliki fungsi mengawasi, mengidentifikasi,
mendeteksi perilaku abnormal dan mencegah cyber attack terhadap lalu lintas data pada
jaringan. Salah satu contoh produk komersil yang berfungsi sebagai DPI adalah Qosmos*
ixEngine [13]. Produk ini memiliki fitur sebagai berikut:
  • Dapat melakukan analisis mendalam dan real-time terhadap jaringan berbasis IP;
  • Dapat melakukan identifikasi terhadap protocol dan application yang digunakan;
  • Dapat melakukan ekstraksi content dan metadata dari bit-streams pada jaringan;
  • Dapat menghubungkan suatu bit-streams dimiliki oleh suatu user, application atau
service.
Ilustrasi pengawasan paket data yang dilakukan oleh DPI pada layer protocol jaringan (OSI layer) dijelaskan pada Gambar V-2. DPI mengawasi paket data yang terdiri atas header (metadata) dan payload (content) pada setiap layer.
90                                                          Gambar V-2. DPI pada OSI layer
Pada arsitektur LTE, perangkat DPI dapat diletakkan pada atau berdekatan dengan
security gateway, service gateway atau perangkat lain yang memiliki akses terhadap lalu
llintas data dalam EPC.
Sumber: Perdana Kusumah, ‘II5166 (Keamanan Informasi Lanjut)” Sekolah Teknik Elektro dan Informatika Institut Teknologi Bandung, 2012.

0
Download dan Ekstrak Snort
Download Snort versi gratis terbaru dari situs Snort . Mengambil kode sumber Snort ke direktori / usr / src seperti yang ditunjukkan di bawah ini.
# Cd / usr / src

# Wget -O Snort-2.8.6.1.tar.gz http://www.snort.org/downloads/116

# Tar xvzf Snort-2.8.6.1.tar.gz
  1. Instal Snort
Sebelum menginstal Snort, pastikan Anda memiliki paket dev dari libpcap dan libpcre.
# Apt-cache kebijakan libpcap0.8-dev
libpcap0.8-dev:
Dipasang: 1.0.0-2ubuntu1
Calon: 1.0.0-2ubuntu1

# Apt-cache kebijakan libpcre3-dev
libpcre3-dev:
Dipasang: 7,8-3
Calon: 7,8-3
Ikuti langkah-langkah berikut untuk menginstal Snort.
# Cd Snort-2.8.6.1

# ./configure

# make

# Make install
  1. Pastikan Instalasi Snort
Memverifikasi instalasi seperti yang ditunjukkan di bawah ini.
# Snort –version

,, _ – *> Snort! <* –
o “) ~ Versi 2.8.6.1 (Build 39)
” ” Dengan Martin Roesch & Tim Snort: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Menggunakan versi PCRE: 7.8 2008/09/05
  1. Buat file dan direktori yang diperlukan
Anda harus membuat file konfigurasi, file yang aturan dan direktori log.
Buat direktori berikut:
# Mkdir / etc / snort

# Mkdir / etc / snort / aturan

# Mkdir / var / log / snort
Buat berikut snort.conf dan icmp.rules file:
# Cat /etc/snort/snort.conf
termasuk /etc/snort/rules/icmp.rules

# /etc/snort/rules/icmp.rules Cat
peringatan icmp apapun apapun -> apapun apapun (msg: “ICMP Packet”; sid: 477; rev: 3;)
Aturan dasar atas tidak memperingatkan ketika ada sebuah paket ICMP (ping).
Berikut ini adalah struktur waspada:
<Rule Tindakan> <Protocol> <Sumber IP Address> <Sumber Pelabuhan> <Direction operator> <Destination IP Address> <tujuan> (opsi aturan)
Tabel: Struktur Peraturan dan contoh
Struktur Contoh
aturan Tindakan waspada
Protokol icmp
Sumber IP Address apa saja
sumber Pelabuhan apa saja
arah Operator ->
Tujuan IP Address apa saja
Port tujuan apa saja
(Opsi aturan) (Msg: “ICMP Packet”; sid: 477; rev: 3;)
  1. Jalankan Snort
Jalankan dengusan dari baris perintah, seperti yang disebutkan di bawah ini.
# Snort -c /etc/snort/snort.conf l / var / log / snort /
Coba ping beberapa IP dari mesin Anda, untuk memeriksa aturan ping kami.Berikut adalah contoh dari peringatan Snort untuk aturan ICMP ini.
# Kepala / var / log / snort / peringatan
[**] [1: 477: 3] ICMP Packet [**]
[Prioritas: 0]
07 / 27-20: 41: 57,230345> l / l len: 0 l / l Jenis: 0x200 0: 0: 0: 0: 0: 0
Jenis pkt: 0x4 proto: 0x800 len: 0x64
209.85.231.102 -> 209.85.231.104 ICMP TTL: 64 TOS: 0x0 ID: 0 IpLen: 20 DgmLen: 84 DF
Jenis: 8 Kode: 0 ID: 24905 Seq: 1 ECHO
Peringatan Penjelasan
Beberapa baris ditambahkan untuk setiap peringatan, yang meliputi:
  • Pesan dicetak di baris pertama.
  • sumber IP
  • tujuan IP
  • Jenis paket, dan informasi header.
Jika Anda memiliki antarmuka yang berbeda untuk koneksi jaringan, kemudian menggunakan -dev opsi-i. Dalam contoh ini antarmuka jaringan saya adalah ppp0.
# Snort -dev -i ppp0 -c /etc/snort/snort.conf l / var / log / snort /
Mengeksekusi Snort sebagai Daemon
Tambahkan opsi -D untuk menjalankan Snort sebagai daemon.
# Snort -D -c /etc/snort/snort.conf l / var / log / snort /
Informasi Snort tambahan
Cara Menggunakan :
1.png
Pengujian di sini hanya untuk membantu memahami bagaimana snort tersebut bekerja mendeteksi serangan berdasarkan filter rule yang dimasukan. Dalam pengujian di sini menggunakan system operasi Backtrack yang sudah terinstal snort secara default.
Dalam pengujian ini belum digunakan database dan report hanya menggunakan file log. (Dalam implementasi bisa digunakan database dan web report untuk membantu admin memonitor jaringan. Cara instalnya bisa dicari di google untuk menginstal snort yang lebih lengkap).
Untuk mengenal snort, pertama install snort. Tergantung jenis distro Linux yang dipakai. Misalnya untuk Ubuntu jalankan perinah:
1 #sudo apt –get install snort
—Menjalankan Snort dan Konfigurasinya
-Silahkan klik icon snort yang ada dimenu backtrack
1
Lalu Klik, dan running.
3.jpg-Setelah Snort running, saya akan menetukan IP yang akan dimonitoring oleh Snort. Untuk uji cobanya, saya menggunakan IP Vbox (localhost). Sebelumnya mari kita konfigurasikan Snortnya.
1 vim /etc/snort/snort.conf
4.jpg
-Disini yang akan saya monitoring adalah IP 192.168.56.2 (localhost)
5.jpg
maka akan saya input sebelum syntax var HOME_NET 192.168.56.2 didalam snort.conf
6.jpg
full screenshot untuk step konfigurasi /snort.conf
7.jpg
—Running Snort & Monitoring
-Setelah kita konfigurasi, mari kita restart dan running Snortnya.
1 /etc/init.d/snort restart

1 snort -q -A console -i any -c /etc/snort/snort.conf
8.jpg
—Pengujian Kemampuan Snort
Unutk Pengujian kemampuan Snort, disini saya menggunakan dmitry (sudah terinstall default dibacktrack).
1 dmitry -p 192.168.56.2
9.jpg
Lalu apa yang dilakukan Snort ketika IP 192.168.56.2 yang telah dikonfigurasi diserang? =)
10.jpg
,tentu snort akan secara otomatis mendeteksinya.
Sumber :https://infobacktrack.wordpress.com/2013/07/16/cara-menggunakan-snort-di-backtrack-test-localhost/