1. Tripwire digunakan untuk melakukan deteksi intrusi berbasis host dengan memantau perubahan sistem file. Langkah-langkah instalasi dan konfigurasi tripwire dijelaskan secara detail beserta contoh modifikasi file kebijakan dan konfigurasi serta pengujian pengiriman email notifikasi.
Instalasi Network Monitoring System (Nagios) Centos 6.4
CARA MEMBUAT HOST BASED INTRUSSION DETECTION SYSTEM
1. 1 Praktikum Keamanan Data | Host-Based Intrussion Detection System
LAPORAN PRAKTIKUM KEAMANAN DATA
HOST BASED INTRUSSION DETECTION SYSTEM
a. Percobaan
1. Proses Instalasi Tripwire
Langkah awal sebelum proses instalasi
adalah login sebagai root melalui
perintah su(super user), kemudian
masukkan passwordnya.
Setelah berhasil masuk sebagai root,
lakukan update menggunakan perintah
apt-get update
Gambar disamping merupakan step awal
dalam instalasi tripwire. Untuk perintah
instalasi menggunakan apt-get install
tripwire
Ikuti langkah intalasi, pilih OK
Kemudian muncul dialog untuk meminta
user membuat key passphrase seperti
disamping, pilih yes
2. 2 Praktikum Keamanan Data | Host-Based Intrussion Detection System
Jika kembali muncul seperti awal
instalasi, lakukan tindakan yang sama
sampai berhasil. Pilih OK
Akan muncul dialog pembuatan key
passphrase kembali. Pilih Yes
Setelah berhasil, kemudian muncul
tampilan untuk rebuild file configuration
dari Tripwire. Pilih yes
3. 3 Praktikum Keamanan Data | Host-Based Intrussion Detection System
Proses selanjutnya adalah rebuild file
policy dari tripwire. Pilih yes
Masukkan site-key passphrase,misalnya
student. Kemudian pilih OK
Masukkan kembali site-key
passphrasekembali untuk memastikan
key yang telah dimasukkan.
4. 4 Praktikum Keamanan Data | Host-Based Intrussion Detection System
Setelah proses instalasi berhasil, maka
akan muncul tampilan seperti disamping.
Pada tampilan tersebut terdapat
informasi bahwa binary dari tripwire
terletak pada directory /usr/bindan
database dari tripwire terletak pada
/var/lib/tripwire.
Pada tampilan terminal awal juga ada
pemberitahuan bahwa proses instalasi
sudah berhasil.
Langkah selanjutnya adalah masuk pada
directory tripwire dengan menggunakan
perintah cd /etc/tripwire
Ubah mode file tw.cfg dan tw.poldengan
menggunakan perintah chmod 0600
tw.cfg tw.pol
Mode 600 menunjukkan bahwa file
hanya bisa dilihat dan dibaca.
5. 5 Praktikum Keamanan Data | Host-Based Intrussion Detection System
2. Modifikasi file Policy & file Konfigurasi
Buka file twpol.txt menggunakan editor.
vi /etc/tripwire/twpol.txt
Enkripsi file dengan menggunakan
perintah twadmin --create-cfgfile --
cfgfile ./tw.cfg--site-keyfile ./site.key
./twcfg.txt
Buka file twcfg.txt dengan menggunakan
editor.
Vi /etc/tripwire/twcfg.txt
Enkripsi file dengan menggunakan
perintah twadmin --create-cfgfile --
cfgfile ./tw.cfg--site-keyfile ./site.key
./twcfg.txt
6. 6 Praktikum Keamanan Data | Host-Based Intrussion Detection System
3. Inisialisasi Database
Kemudian lakukan inisialisasi database
dengan menggunakan perintah
tripwire --init --cfgfile
/etc/tripwire/tw.cfg --polfile
/etc/tripwire/tw.pol --site-keyfile
/etc/tripwire/site.key --local-keyfile
/etc/tripwire/debian-local.key
untuk perintah debian-local key
sesuaikan dengan hostname PC yang
digunakan
Setelah melakukan perintah inisialisasi,
maka program meminta user
menginputkan key-local passphrase
yang telah didaftarkan di awal instalasi.
4. Cek system
Lakukan check system dengan
menggunakan perintah tripwire --check
7. 7 Praktikum Keamanan Data | Host-Based Intrussion Detection System
Tampilan system yang dimonitor oleh
program tripwire. Jika ada sesuatu yang
berubah dari system, maka dapat
dilakukan pengecekan dengan
menggunakan perintah tripwire --check
5. Update File Policy
Lakukan update file policy (twpol.txt)
dengan menggunakan perintah
tripwire --update-policy --cfgfile
./tw.cfg --polfile ./tw.pol --site-keyfile
./site.key --local-keyfile ./HOSTNAME-
local.key ./twpol.txt
update ini difungsikan apabila ada
perubahan pada file twpol.txt, misalnya
menambahkan atau mengurangi folder
yang dimonitor.
8. 8 Praktikum Keamanan Data | Host-Based Intrussion Detection System
6. Update Database System File
Update database file system dengan
menggunakan perintah
tripwire --update -Z low --twrfile
/var/lib/tripwire/report/debian-
20130311-134129.twr
debian-20130311-134129 merupakan
host dan date (yyyymmdd-time)
perintah tersebut berarti bahwa tripwire
akan membandingkan antara database
yang ada dengan file yang ada di system,
kemudian akan menjalankan editor
untuk memilih perubahan di database.
Setelah dilakukan perintah update
database, maka program akan meminta
verifikasi dengan memasukkan key-local
passphrase kembali.
9. 9 Praktikum Keamanan Data | Host-Based Intrussion Detection System
Tugas Percobaan
1. Jalankan perintah :
# tripwire –check
Catat dan analisa hasilnya
Gambar 1 Hasil perintah # tripwire –check
2. Kerjakan langkah-langkah dibawah dan analisa setiap langkahnya
a. Ubah file policy twpol.txt
# vim /etc/tripwire/twpol.txt
b. Tambahkan di baris paling bawah
(
rulename = "Kirim Notifikasi ke email",
severity = $(SIG_HI),
emailto = root@localhost
){}
Email akan dikirimkan ke akun email dari root dari system yang anda monitor.
Biasanya, email akan ditujukan kea kun user yang dapat bertindak sebagai root.
Gambar 2 Penambahan rule pada twpol.txt
c. Lakukan enkripsi terhadap file anda
# cd /etc/tripwire
10. 10 Praktikum Keamanan Data | Host-Based Intrussion Detection System
# twadmin --create-polfile --cfgfile ./tw.cfg --site-keyfile
./site.key ./twpol.txt
Gambar 3 Melakukan enkripsi terhadap file twpol.txt
d. Ubah file konfigurasi untuk memasukkan informasi smtp:
# vi /etc/tripwire/twcfg.txt
…
MAILMETHOD =SMTP
SMTPHOST =localhost
SMTPPORT =25
…
Gambar 4 Pengubahan konfigurasi smpt pada twcfg.txt
e. Lakukan enkripsi terhadap file tersebut
# cd /etc/tripwire
# twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile
./site.key ./twcfg.txt
Gambar 5 Pengenkripsian terhadap file twcfg.txt
f. Jalankan test dengan menggunakan perintah:
# tripwire –test –email root@localhost
Gambar 6 Pengetesan pengiriman email tripwire ke localhost
g. Check email di akun user anda
$ mail
11. 11 Praktikum Keamanan Data | Host-Based Intrussion Detection System
Gambar 7 Hasil pengecekan email pada user, terdapat banyak email test dikarenakan kelompok kami mengirim email test banyak
kali
3. Buat sebuah file kosong . Kemudian salinlah ke dalam direktori /bin
# touch newfile.sh
# cp newfile.sh /root
4. Lakukan cek konsistensi dengan menjalankan perintah :
# tripwire –check
Catat dan analisa hasilnya.
Gambar 8 Hasilnya terlihat pada log tripwire yang menyatakan penambahan file dan pemodifikasian pada direktori root, kemudian
dibeberapa keterangan dibawahnya menyebutkan warning terhadap penambahan file pada direktori root. Terdapat email pula yang
memberikan warning kepada user
12. 12 Praktikum Keamanan Data | Host-Based Intrussion Detection System
5. Bandingkan hasil dari perintah pada nomor 1 dan nomor 4.
Gambar 9 Hasil yang berbeda terlihat pada bagian pada gambar di atas