Aktifitas diagram Snort untuk mendeteksi - Rancangan Alur pendeteksian dan pemblokiran Serangan

BAB III METODE TUGAS AKHIR

3.3 Rancangan Alur pendeteksian dan pemblokiran Serangan 58

3.3.1.1 Aktifitas diagram Snort untuk mendeteksi

Dibawah ini merupakan sebuah alur aktifitas generalisasi Router yaitu snort

Keterangan:

1. Ketika serangan itu sedang berlangsung, maka tugas dari snort IDS adalah mendeteksi serangan tersebut. Ketika serangan terdeteksi, Snort akan melanjutkan membaca Rule-Rule serangan. Lalu snort akan membuat sebuah Alert tentang serangan apa yang menyerang Router kita.

2. Tugas dari Admin hanya membaca Alert dari snort tersebut.

3.3.1.2Aktifitas Diagram blockit untuk membuat Firewall Block

Dibawah ini merupakan sebuah alur aktifitas generalisasi Router yaitu Blockit.

Gambar 3.3.1.2 Aktifitas diagram blockit untuk membuat firewall block 1. Setelah snort IDS mendeteksi serangan tersebut dan membuat sebuah Alert

tentang serangan apa yang menyerang Router kita, maka blockit bertugas membaca alert snort dan membuat alert intruder untuk admin. Lalu blockit akan automatic membuat sebuah firewall block untuk firewall.

3.3.1.3Aktifitas Diagram firewall untuk memblokir serangan

Setelah 2 generalisasi dari router (snort dan blockit), dibawah ini merupakan generalisasi dari sebuah router terakhir yang bertugas memblokir serangan yaitu Firewall. Dibawah ini Activity pemblokiran tersebut.

Gambar 3.3.1.3 Aktifitas Diagram firewall untuk memblokir serangan Keterangan:

1. Setelah tugas Blockit membuat Firewall Block, maka tugas dari firewall adalah membaca intruksi firewall block tersebut untuk memblokir serangan dari para hacker. Selesaialah alur pendeteksian dan pemblokiran serangan hacker tersebut.

3.3.2 Aktifitas Diagram pendeteksian dan pemblokiran Serangan DDos

Dibawah ini merupakan gambar alur pendeteksian dan pemblokiran dari serangan DDos.

Gambar 3.3.2.1 Aktifitas diagram Pendeteksian dan Pemblokiran Ddos Attack Keterangan:

1. Hacker melakukan serangan DDos attack ke Router.

2. Router akan menjalankan systemnya yaitu snort untuk mendeteksi serangan tersebut. Snort membaca rule-rule yang dimilikinya untuk mendeteksi serangan DDos tersebut. Lalu snort akan membuat alert/peringatan untuk sebagai sarana blockit menentukan dan membuat firewall block. Alert tersebut diperuntukkan admin.

3. Setelah snort mengeluarkan alert maka secara automatis blockit akan mengikuti alert dari snort dan membuat alert intruder/pengganggu untuk admin dan firewall block. Firewall block tersebut sebagai media instruksi untuk firewall dalam memblokir serangan.

4. Firewall membaca instruksi firewall block dari blockit dan memblokir serangan DDos Attack.

3.3.3 Aktifitas Diagram pendeteksian dan pemblokiran Serangan SynFlood

Dibawah ini merupakan gambar alur pendeteksian dan pemblokiran dari serangan SynFlood

Gambar 3.3.3.1 Aktifitas diagram Pendeteksian dan Pemblokiran SynFlood Keterangan:

3. Setelah snort mengeluarkan alert maka secara automatis blockit akan mengikuti alert dari snort dan membuat alert intruder/pengganggu untuk admin dan firewall block. Firewall block tersebut sebagai media instruksi untuk firewall dalam memblokir serangan.

4. Firewall membaca instruksi firewall block dari blockit dan memblokir serangan SynFlood Attack.

3.3.4 Aktifitas Diagram pendeteksian dan pemblokiran Scanning IP & Port

Dibawah ini merupakan gambar alur pendeteksian dan pemblokiran dari serangan scanning IP dan Port.

Keterangan:

1. Hacker melakukan serangan scanning IP dan Port ke Router.

4. Firewall membaca instruksi firewall block dari blockit dan memblokir serangan Scanning IP dan Port.

3.4 Rancangan Firewall dengan IPtables

Setelah mengerti dasar teori tentang firewall dan IPtables yang dijelaskan dalam bab II, maka dalam bab 3 ini saya akan membuat sebuah Rancangan iptables untuk melimit sebuah serangan seperti Ddos Attack dan synflood. Dalam iptables memiliki tiga macam daftar aturan bawaan dalam tabel penyaringan, daftar tersebut dinamakan rantai firewall (firewall chain) atau sering disebut chain saja. Ketiga chain tersebut adalah INPUT, OUTPUT dan FORWARD. Namun dalam mendeteksi sebuah serangan, maka yang dipakai untuk melimit sebuah serangan adalah chain INPUT. Chain INPUT merupakan pertaruran masuknya sebuah data dalam Router, INPUT chain di ACCEPT maka seluruh komponen networking dari layer 3 – 4 bisa masuk dalam Router kita. Begitu juga sebaliknya, jika chain INPUT di DROP/DENY maka seluruh komponen networking dalam layer 3 dan 4 tidak akan masuk.

Berikut ini Rancangan sebuah chain INPUT yang masuk untuk melimit serangan DDos dan Synflood.

Gambar 3.4.1 Skema Limitasi serangan dengan chain INPUT Keterangan:

Ketika serangan paket data (DDos dan Synflood) menyerang router kita maka Firewall dalam Chain INPUT akan melimit sebuah serangan paket data tersebut. Setelah limitasi dilakukan maka akan masuk pada session log. Log sebuah firewall biasanya dibaca di /var/log/daemon.log. ketika seluruh proses tersebut sudah dijalankan maka output paket data yang keluar adalah paket data limitan yang dilakukan firewall.

BAB IV

IMPLEMENTASI SISTEM

4.1Konfigurasi Snort IDS (Intrusion detection system)

Setelah mempelajari metode IDS dan program-program yang menjalankan IDS, kini tinggallah kita mengenal konfigurasi dari snort IDS. Snort IDS merupakan sebuah program engine/mesin pendeteksi sebuah serangan yang dapat menerapkan metode IDS. Untuk instalasi snort, sudah dijabarkan dalam dasar teori di bab II, disini saya akan langsung memperlihatkan sebuah konfigurasi dari snort IDS. Dibawah ini adalah konfigurasi dari snort IDS dengan file yang bernama snort.conf.

- Step-step menyusun snort.conf. 1) Pendeklarasian jaringan Komputer.

2) Konfigurasi load kumpulan dynamic processor untuk snort 3) Konfigurasi pendeteksi / preprocessor

4) Konfigurasi output untuk alert

5) Konfigurasi rule-rule tambahan untuk pendeteksian jika ada. 6) Konfigurasi Rule-rule yang dipakai

Dan dibawah ini penjabarannya:

1. Konfigurasi deklarasi variable jaringan kita yang akan dideteksi oleh snort. #konfigurasi jaringan LAN

var HOME_NET [10.124.1.0/24] var DNS_SERVERS $HOME_NET var SMTP_SERVERS $HOME_NET var HTTP_SERVERS $HOME_NET var SQL_SERVERS $HOME_NET var TELNET_SERVERS $HOME_NET var SNMP_SERVERS $HOME_NET

#Konfigurasi jaringan LUAR kita var EXTERNAL_NET any

# Konfigurasi untuk multiple port web server portvar HTTP_PORTS [80,8080]

# Port untuk yang diinginkan untuk pendeteksian SHELLCODE. portvar SHELLCODE_PORTS !80

# Port untuk pendeteksian serangan pada oracle dihidupkan portvar ORACLE_PORTS 1521

#Alamat server untuk fasilitas program chat var AIM_SERVERS

[64.12.24.0/23,64.12.28.0/23,64.12.161.0/24,64.12.163.0/24,64.12.200.0/24,205.1 88.3.0/24,205.188.5.0/24,205.188.7.0/24,205.188.9.0/24,205.188.153.0/24,205.18 8.179.0/24,205.188.248.0/24]

#Path konfigurasi rule-rule yang dipakai snort var RULE_PATH /etc/snort/rules

2. Konfigurasi mengeluarkan kumpulan dynamic processor untuk snort

#dynamic preprocessor directory

dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/ # dynamicpreprocessor file /usr/local/lib/snort_dynamicpreprocessor/libdynamicexample.so # dynamicengine file dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so # dynamicdetection file /usr/local/lib/snort_dynamicrule/libdynamicexamplerule.so

3. Konfigurasi pendeteksi / preprocessor

#konfigurasi frag3 untuk mesin pendeteksi preprocessor frag3_global: max_frags 65536

preprocessor frag3_engine: policy first detect_anomalies

#konfigurasi untuk mesin pendeteksi serangan

preprocessor stream5_global: max_tcp 8192, track_tcp yes, \ track_udp yes

preprocessor stream5_tcp: policy first, use_static_footprint_sizes preprocessor stream5_udp: ignore_any_rules

#konfigurasi untuk statistic performance HTTP/Web Server preprocessor http_inspect: global \

iis_unicode_map unicode.map 1252

preprocessor http_inspect_server: server default \

profile all ports { 80 8080 8180 } oversize_dir_length 500

#konfigurasi RPC

preprocessor rpc_decode: 111 32771

#konfigurasi pendeteksi Back Orifice/lubang bugs preprocessor bo

#konfigurasi statistic performance untuk FTP preprocessor ftp_telnet: global \

encrypted_traffic yes \ inspection_type stateful

preprocessor ftp_telnet_protocol: telnet \ normalize \

preprocessor ftp_telnet_protocol: ftp server default \ def_max_param_len 100 \

alt_max_param_len 200 { CWD } \ cmd_validity MODE < char ASBCZ > \

cmd_validity MDTM < [ date nnnnnnnnnnnnnn[.n[n[n]]] ] string > \ chk_str_fmt { USER PASS RNFR RNTO SITE MKD } \

telnet_cmds yes \ data_chan

preprocessor ftp_telnet_protocol: ftp client default \ max_resp_len 256 \

bounce yes \ telnet_cmds yes

#Konfigurasi statistic performance SMTP preprocessor smtp: \

ports { 25 587 691 } \ inspection_type stateful \ normalize cmds \

normalize_cmds { EXPN VRFY RCPT } \ alt_max_command_line_len 260 { MAIL } \ alt_max_command_line_len 300 { RCPT } \

alt_max_command_line_len 500 { HELP HELO ETRN } \ alt_max_command_line_len 255 { EXPN VRFY }

#Konfigurasi Pendeteksi scanner port preprocessor sfportscan: proto { all } \ scan_type { all } \ memcap { 10000000 } \ sense_level { high } \ detect_ack_scans

#Konfigurasi Arp Spoof dari snort preprocessor arpspoof

#Konfigurasi Statistic performance SSH preprocessor ssh: server_ports { 22 } \ max_client_bytes 19600 \ max_encrypted_packets 20

#Konfigurasi Statistic performance Samba dan DCE/RPC preprocessor dcerpc: \

autodetect \

max_frag_size 3000 \ memcap 100000

# Konfigurasi Statistic performance untuk DNS preprocessor dns: \

ports { 53 } \

enable_rdata_overflow

4. Konfigurasi output untuk alert

#Konfigurasi output alert yang masuk dalam database mysql

output database: log, mysql, user=snort password=snort dbname=snort host=localhost

# Konfigurasi memasukkan klasifikasi, prioritas, dan Referensi snort include /etc/snort/classification.config

include /etc/snort/reference.config

5. Konfigurasi Rule-rule yang dipakai snort include /etc/snort/rules/local.rules

72 include /etc/snort/rules/bad-traffic.rules include /etc/snort/rules/exploit.rules include /etc/snort/rules/scan.rules include /etc/snort/rules/finger.rules include /etc/snort/rules/ftp.rules include /etc/snort/rules/telnet.rules include /etc/snort/rules/rpc.rules include /etc/snort/rules/rservices.rules include /etc/snort/rules/dos.rules include /etc/snort/rules/ddos.rules include /etc/snort/rules/dns.rules include /etc/snort/rules/tftp.rules include /etc/snort/rules/web-cgi.rules include /etc/snort/rules/web-coldfusion.rules include /etc/snort/rules/web-iis.rules include /etc/snort/rules/web-frontpage.rules include /etc/snort/rules/web-misc.rules include /etc/snort/rules/web-client.rules include /etc/snort/rules/web-php.rules include /etc/snort/rules/sql.rules include /etc/snort/rules/x11.rules include /etc/snort/rules/icmp.rules include /etc/snort/rules/netbios.rules include /etc/snort/rules/misc.rules include /etc/snort/rules/attack-responses.rules include /etc/snort/rules/oracle.rules include /etc/snort/rules/mysql.rules include /etc/snort/rules/snmp.rules include /etc/snort/rules/smtp.rules include /etc/snort/rules/imap.rules include /etc/snort/rules/pop2.rules

include /etc/snort/rules/pop3.rules include /etc/snort/rules/nntp.rules include /etc/snort/rules/other-ids.rules include /etc/snort/rules/web-attacks.rules include /etc/snort/rules/backdoor.rules include /etc/snort/rules/shellcode.rules include /etc/snort/rules/policy.rules include /etc/snort/rules/porn.rules include /etc/snort/rules/info.rules include /etc/snort/rules/icmp-info.rules include /etc/snort/rules/virus.rules include /etc/snort/rules/chat.rules include /etc/snort/rules/multimedia.rules include /etc/snort/rules/p2p.rules include /etc/snort/rules/spyware-put.rules include /etc/snort/rules/specific-threats.rules include /etc/snort/rules/experimental.rules 4.2Konfigurasi Blockit

Blockit merupkan software pembantu pemblokiran sebuah serangan yang mengambil pemblokiran dari alert snort. Blockit berjalan sendiri untuk memblokir serangan. Setelah penginstalan blockit dilakukan maka berikut ini konfigurasi dari blockit.conf yang berada dalam folder etc/blockit.

#Konfigurasi interface yang akan dideteksi Interface = all

#Konfigurasi Host IP dan Gateway automatis terdeteksi HostIpAddr = autodetect

#Konfigurasi tipe firewall yang dipakai # 0 = IPTABLES --- DEFAULT # 1 = IPCHAINS # 2 = IPFWADM # 3 = CHECKPOINT # 4 = IPFW # 5 = IPFILTER # 6 = PF FirewallType = 0

#Konfigurasi Chain input untuk IPtables blockit UseChain = BLOCKIT

#Path IPtables

FirewallPath = /sbin/iptables

#Firewall temporary target

FirewallTemporaryTarget = CUST_LOG

#Konfigurasi Firewall target (Default/Blank (kosong) = Deny / Drop) FirewallPermanentTarget =

#Konfigurasi pendeteksi alert snort AlertFile = /var/log/snort/alert

#konfigurasi Letak Syslog SyslogFile = /var/log/syslog

#Sys Ignore Filter

#konfigurasi letak dari SIGid SigIDFile = /etc/blockit/blockit.sigid

#Konfigurasi Ignore untuk host IP yang tidak boleh di block IgnoreFile = /etc/blockit/blockit.ignore

#Log data untuk Blockit

LogFile = /var/log/blockit/intruders

#Konfigurasi host yang dideteksi blockit ExtraHostsFile = /etc/blockit/blockit.hosts

#konfigurasi auto start up untuk intruder blockit UseIntruders = 1

Keterangan: 1 adalah nilai yang di nilai yes.

#Konfigurasi Path untuk intruders blockit berupa iptables yang akan di load ketika blockit berjalan

IntruderFile = /etc/blockit/blockit.intruders

#Konfigurasi Rule tambahan blockit # - Ignore Established Connections -

# 0 = Disregard established connections <-- DEFAULT # 1 = Add destination IPs to temporary ignore-list(convenient)

# 2 = Add both destination and source IPs to temporary ignore-list (risky) # 2 is a potential security hole since anybody can establish a

# connection to services like ssh and become ignored. IgnoreEstablishedConnections = 0

#konfigurasi penggunaan rule blockit untuk filter IP Address # 0 = No filtering, block all <-- DEFAULT

# 1 = Only known IP destinations from ExtraHostsFile FilterTargets = 0

#konfigurasi pemakaian waktu untuk mendeteksi serangan dalam kurung waktu per-menit

AccumulativeTiming = 1

#konfigurasi waktu minimum firewall sebelum melakukan kick pada sebuah serangan untuk ukuran waktu per-menit

MinFirewallTime = 1/2

#konfigurasi waktu maximal firewall sebelum melakukan ban/blok ip address pada sebuah serangan untuk ukuran waktu per-menit

MaxFirewallTime = 1

# konfigurasi waktu untuk pemblokiran ketika alert snort diberlakukan # - Default Amount of Time to Hold Rule For -

# -1 = Forever

# Number = Amount of Time in Minutes DTime = 20

# konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi port scan

# - Amount of Time to hold a Rule For a Detected Portscan # -1 = Forever

# Number = Amount of Time in Minutes PTime = 14400

# konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi serangan yang tinggi / yang terberat.

# -1 = Forever

# Number = Amount of Time in Minutes HTime = -1

# konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi serangan yang medium/diantara terbesar dan terkecil /pertengahan.

# - Amount of Time to hold a Rule For a Medium PriorityAttack # -1 = Forever

# Number = Amount of Time in Minutes MTime = -1

# konfigurasi waktu untuk pemblokiran ketika alert snort menunjukkan deteksi #serangan yang terkecil

# - Amount of Time to hold a Rule For a Low Priority Attack # -1 = Forever

# Number = Amount of Time in Minutes LTime = 1440

#konfigurasi untuk log database.

#setting 1 jika ingin memasukkan log intruder dalam database. MySQL = 0 #nama database Database = blockit #user database Username = blockit #password database Password = bl0ck1t

Dalam blockit juga disediakan sebuah konfigurasi untuk logging yang dikirim ke email. Konfigurasi ini merupakan fitur tambahan yang disediakan blockit. Namun dalam konfigurasi yang saya gunakan tidak memakai email logging.

#konfigurasi email logging

#set 0 jika tidak ingin menggunakan email log, set 1 untuk menggunakan #email log

email = 0

#Konfigurasi path sendmail MailProgram = /usr/sbin/sendmail

#Email penerima

ToEmail = kafiramadhani@yahoo.com.com

#email Pengirim

FromEmail = blockit@blah.com

#path program yang dibutuhkan IfConfigPath = /sbin/ifconfig RoutePath = /sbin/route GrepPath = /bin/grep AwkPath = /usr/bin/awk IpConntrackPath = /proc/net/ip_conntrack 4.3Konfigurasi Firewall

Setelah dasar teori Firewall telah diutarakan dalam bab II dan rancangan firewall bila terjadi sebuah serangan di bab III maka didalam bab VI ini saya akan membuat sebuah konfigurasi firewall untuk melimit sebuah serangan jika blockit tidak dapat memblokir serangan.

Konfigurasi Firewall yang diutarakan berada dalam file Rc.local yang berada dalam folder etc. Fungsi firewall ini hanya untuk melimit sebuah serangan dikarenakan blockit yang akan memblokir serangan-serangan tersebut. Dibawah ini isi dari firewall yang berada dalam file rc.local

#!/bin/sh -e #

# rc.local #

# This script is executed at the end of each multiuser runlevel. # Make sure that the script will "exit 0" on success or any other # value on error.

# In order to enable or disable this script just change the execution # bits.

# By default this script does nothing.

#iptables untuk mengeluarkan komponen IPTABLES modprobe ip_queue

iptables -F iptables -F -t nat iptables -F -t mangle

iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT

#iptables untuk Routing dan Redirect Proxy Server

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.1:8080

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp dport 80 -j REDIRECT --to-ports 8080

# perlindungan synflood iptables -N syn-flood

iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood

iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN iptables -A syn-flood -j DROP

# New tcp connectons are SYN packets

iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP

iptables -A INPUT -i eth0 -f -j LOG --log-prefix "IPTABLES FRAGMENT:" iptables -A INPUT -i eth0 -f -j DROP

# rancangan firewall untuk UDP flood iptables -N udp-flood

iptables -A INPUT -p udp -j udp-flood

iptables -A udp-flood -m limit --limit 1/s --limit-burst 4 -m comment --comment "limit UDP rate" -j RETURN

iptables -A udp-flood -m limit --limit 1/h --limit-burst 1 -j LOG --log-prefix "Firewall>>probable udp flood"

iptables -A udp-flood -m recent name blacklist_240 set -m comment --comment "Blacklist Source IP" -j DROP

4.4Implementasi Pendeteksian dan Pemblokiran serangan dari IRC-Server

Setelah setting konfigurasi dari snort IDS (Intrusion Detection System) dan blockit serta firewall, maka kita siap untuk ujicoba pendeteksian dan pemblokiran dari serangan IRC (Internet Relay Chat). Penjelasan tentang kegiatan hacking didalam IRC yang dijelaskan di bab II. Sudah cukup jelas, bahwa IRC merupakan sarana bagi para hacker UnderGround untuk melakukan serangan-serangan pada targernya. Untuk serangan yang ditujukan untuk IP Public jaringan pascasarjana akan dibantu oleh para Underground hacking yang berada pada server irc.byroe.net. Serangan tersebut dilakukan oleh hacker yang memiliki nick “Kangkung” (pemilik dari server byroe) dan saya sendiri dengan nick dhani_xx. Hacker ini akan mencoba sebuah serangan yang sudah saya rancang, yaitu Scanning IP dan port, SynFlood, dan DDOs attack.

Para hacker ini sudah merancang sebuah script untuk melakukan scanning, DDos dan synflood. Namun disini saya tidak akan menjelaskan script tersebut karena tidak termasuk dalam batasan masalah yang saya usung. Script ini akan saya cantumkan dalam lampiran.

Dan untuk penjelasan yang lebih detail tentang rancangan serangan scanning ip dan port, DDos, dan Synflood yang disertai gambar akan dijelaskan dalam sub-bab dari sub-bab IV dibawah ini.

4.4.1 Pendeteksian dan Pemblokiran Serangan Scanning IP dan Port

Setelah snort dirancang untuh mendeteksi sebuah serangan, Blockit dipakai sebuah sarana membentuk Firewall, dan Firewall membaca Intruksi dari blockit, maka saat ini server pascasarjana sudah siap di uji coba dengan serangan-serangan yang sudah dirancang. Berikut ini uji coba serangan, pendeteksian serangan dan pemblokiran serangan:

1. Ketika Script yang dijelaskan dalam bab IV sudah di load dari web-server zombie yang dimiliki hacker IRC maka bot tersebut otomatis masuk dan mengenali server yang ditempatinya didalam IRC server. Nama nick yang dirancang dalam bot ini adalah Skripsi. Berikut ini contoh gambar bot yang sudah diload oleh para hacker didalam IRC server dan sudah digunakan untuk menyerang server Pascasarjana dengan jenis serangan scanning IP dan port.

2. Setelah serangan scanning IP dan Port tersebut dilancarkan oleh hacker yang berada dalam IRC server maka Snort IDS yang akan mendeteksi serangan tersebut dan mengeluarkan Alert untuk yang berada didalam folder /var/log/snort. Alert tersebut merupakan tanda pendeteksi sebuah serangan yang akan di baca oleh blockit. Berikut ini gambar yang alert yang terjadi ketika serangan scanning IP dan Port terjadi dan terdeteksi oleh snort IDS:

Gambar 4.4.1.2 Alert Snort IDS (Intrusion Detection System) scanning IP dan Port

3. Setelah Snort IDS membaca serangan scanning dan mengeluarkan Alert maka sudah jadi tugas blockit membaca alert tersebut dan meneruskannya dengan membuat intruders untuk diteruskan dan dibaca firewall untuk memblockir serangan. Dan dibawah ini gambar alert intruder yang dibuat blockit untuk membuat intruksi kepada firewall dalam pemblokiran serangan scanning ip dan port.

4. Ketika intruksi alert intruders yang dibuat blockit dibuat maka alert tersebut secara otomatis akan dibaca firewall dan berikut ini gambar firewall memblokir ip yang digunakan hacker untuk menyerang server pascasarjana dengan jenis serangan scanning ip dan port (-A BLOCKIT –s

Dalam dokumen Pengamanan Jaringan Komputer Pascasarjana UPN “Veteran” Jatim menggunakan metode “IDS (Intrusion Detection System)” Dari Aktifitas. (Halaman 69-102)