Selasa, 25 November 2008

Mendeteksi 'Pengacau' Jaringan

Sebelum ini di bahas, sebaik nya anda membaca manual dari snort.org, http://www.snort.org/docs/writing_rules/chap2.html , disini diminta untuk membuat rules sendiri atau anda bisa memakai rules yang di sedikan oleh snort.org sendiri.

# tar -zxvf snortrules-stable.tar.gz

tapi, saya coba membuat rules sendiri, karena saya kurang suka dengan paket dari orang lain, setelah di gunain tapi tidak tahu gunanya buat apa ;) contoh rules sederhana

# cd rules; touch avudz.conf
# vi avudz.conf
alert tcp any any -> ipsaya/29 21 (content: "root"; \
      msg: "FTP root login";)
alert tcp any any -> ipprivate/24 22 (msg:"sshd access";)
alert tcp any any -> ipsaya/29 21 (content: "anonymous"; \
      msg: "Ada yg Coba FTP server!";)
alert tcp any any -> ipsaya/29 22 (msg:"ada yang login";)
# http://www.linuxsecurity.com/feature_stories/feature_story-144.html

Content digunakan untuk mendefinisikan inputan dari $user, sedangkan msg untuk membuat pernyataan tentang $user yang menggunakan 'content' tersebut.
sebelum rules baru ini di jalankan, pastikan anda membuat direktory logging di /var/log/snort

# mkdir -p /var/log/snort

tetapi jika anda merasa partisi /var anda sudah minim, silahkan buat symbolic link untuk logging, misal

# ln -s /home/avudz/snort/log /var/log/snort
 
ok, selesai sudah ;) sekarang coba kita jalankan software nya.

 
# snort -d -c rules/avudz.conf
Running in IDS mode
Log directory = /var/log/snort
Initializing Network Interface eth0

setelah itu silahkan anda coba ftp / ssh ke server anda dari network yang berbeda ( diconfig saya menggunakan ip public), dan pantau traffic nya.

 
# tail -f /var/log/snort/alert

contoh :

[**] [1:0:0] ada yang login [**]
[Priority: 0]
06/12-05:47:23.911639 202.xxx.xxx.xx:3962 -> 202.xxx.xxx.xxx:22
TCP TTL:64 TOS:0x10 ID:57036 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xAC015F2A  Ack: 0xAD5438B5  Win: 0x3EBC  TcpLen: 32
TCP Options (3) => NOP NOP TS: 16723031 55655688
[**] [1:0:0] Ada yg Coba FTP server! [**]
[Priority: 0]
06/12-05:48:24.419800 202.xxx.xxx.xx:3971 -> 202.xxx.xxx.xxx:21
TCP TTL:64 TOS:0x10 ID:57642 IpLen:20 DgmLen:68 DF
***AP*** Seq: 0xAE133FB1  Ack: 0xAFCB3637  Win: 0x3EBC  TcpLen: 32
TCP Options (3) => NOP NOP TS: 16729081 55661127


Ah.. selesai sudah, tinggal tambahin beberapa rules yang dibutuhkan untuk memantau aktivitas 'machine' anda ;) misalnya iseng mo monitor irc server, tinggal tambahin di avudz.conf 

# vi rules/avudz.conf
alert tcp ipsaya any -> any 6666:7000 (msg:"CHAT IRC "; flow:to_server,established; content: "NICK "; offset:0; classtype:misc-activity; sid:542;  rev:8;)
alert tcp ipsaya any -> any 6666:7000 (msg:"permintaan DCC Chat "; flow:to_server,established; content:"PRIVMSG "; nocase; offset:0; content:" \:.DCC SEND"; nocase; classtype:misc-activity; sid:1639;  rev:3;)
# === done === #

Semua config dan rules nya bisa anda pelajari dari file snortrules-stable.tar.gz yang sudah di extract, seperti msyql rules, backdoor rules, ICMP rules, bad traffic rules dll. yang penting adalah mencoba, jangan pernah menyerah! MERDEKA!! =)

Tidak ada komentar: