2.7.1. Tentang Suricata
Suricata merupakan Network IDS, IPS, dan Sebuah mesin monitor keamanan jaringan dengan performa tinggi. Suricata adalah IDS open source dan dimiliki oleh sebuah komunitas non-profit, yaitu Open Information Security Foundation (OISF). Suricata dikembangkan oleh OISF dan vendor pendukungnya.
2.7.2. Fitur Suricata
Menurut website suricata berikut adalah fitur – fitur pada suricata : 1. IDS / IPS
Suricata mengimplementasikan signature language yang lengkap untuk mencocokkan dengan ancaman yang dikenal,
25 policy violation, dan perilaku berbahaya. Suricata juga mendeteksi banyak anomali pada lalu lintas yang diinspeksi. Suricata mampu menggunakan ruleset dari Emerging Threats Suricata dan VRT ruleset.
2. High Performance
Suricata mampu melakukan inspeksi lalu lintas multi-gigabit. Engine pada suricata dibangun secara multi threading, modern, basis kode yang bersih dan scalable. Ada dukungan asli untuk akselerasi hardware pada beberapa vendor dan melalui PF_RING dan AF_PACKET. Suricata secara experimental mampu menggunakan GPU Acceleration untuk tugas yang intensif.
3. Automatic Protocol Detection
Suricata secara otomatis mendeteksi protocol seperti HTTP pada sembarang port dan mengaplikasikan pendeteksian yang diperlukan dan logging logic. Ini sangat membantu untuk menemukan malware dan CnC channels.
4. NSM : More than an IDS
Suricata mampu melakukan log HTTP request, mencatat dan menyimpan sertifikat TLS, ekstrak file yang mengalir dan menyimpan ke disk. Mendukung pcap capture secara penuh
26 untuk memudahkan analisa. Ini membuat Suricata sebuah mesin yang powerfull bagi Network Security Monitoring (NSM) ecosystem.
5. Lua Scripting
Analisa dan fungsionalitas yang lebih maju tersedia untuk mendeteksi sesuatu tidak memungkinkan antara ruleset syntax. 6. Industry Standard outputs
Pada suricata versi 2.0 diperkenalkan “Eve”, semua JSON even dan alert output. Ini memperbolehkan integrasi yang mudah dengan Logstash dan tool yang mirip.
2.8. Oinkmaster
Oinkmaster merupakan script yang digunakan untuk membantu memperbaharui maupun memanajemen rules. Oinkmaster dirilis dibawah naungan lisensi BSD dan bekerja pada berbagai platform yang mampu menjalankan script Perl seperti linux, *BSD, Windows, Max OS X, Solaris, dan sebagainya. Oinkmaster dapat digunakan untuk memperbaharui dan memanajemen rules berlisensi VRT, community rules, bleeding-snort rules, dan rules dari pihak ketiga lainnya termasuk rules yang dibuat sendiri.
Pada Ubuntu, instalasi Oinkmaster dapat dilakukan dengan menjalankan perintah :
27 #sudo apt-get install oinkmaster
File konfigurasi pada oinkmaster berada pada direktori /etc/oinkmaster.conf . Pada file konfigurasi Oinkmaster perlu dilakukan beberapa perubahan terutama pada baris dari mana rule yang akan digunakan untuk memperbaharui diperoleh dengan merubah baris konfigurasi pada bagian berikut :
…
url = http://emergingthreats.net/open/<lokasi rules>
…
Untuk menjalankan Oinkmaster dapat dijalankan dengan menggunakan baris perintah sebagai berikut :
#oinkmaster –C /etc/oinkmaster.conf –o /etc/snort/rules
Untuk bantuan pada pada oinkmaster dapat dilakukan dengan mengetikkan perintah :
#Oinkmaster -h
2.9. Pytbull
2.9.1. Tentang Pytbull
Pytbull merupakan framework untuk melakukan pengajian IDS/IPS pada Snort, Suricata, dan IDS/IPS lain yang menghasilkan file peringatan.
28 Pytbull dapat digunakan untuk menguji kemampuan deteksi maupun kemampuan untuk memblokir pada IDS/IPS, untuk membandingkan IDS/IPS, untuk membandingkan modifikasi pada konfigurasi dan untuk mengecek/memvalidasi konfigurasi.
Pada framework Pytbull ini disertakan 300 tes yang dikelompokkan kedalam 11 modul pengujian sebagai berikut :
1. Bad Traffic: Paket yang tidak sesuai dengan RFC dikirimkan ke server untuk menguji bagaimana paket diproses.
2. Brute Force: menguji kemampuan dari server untuk melacak brute force attack (contoh : FTP).
3. Client Side Attacks: Modul ini menggunakan reverse shell untuk memberikan server instruksi secara remot untuk mendwnload file berbahaya. Modul ini untuk menguji kemampuan IDS/IPS utnuk melindungi dari client side attack.
4. Denial Of Service: mengetes kemampuan IDS/IPS untuk melawan serangan DoS.
5. Evasion Techniques: variasi dari evasion techniques digunakan untuk mengecek apaah IDS/IPS mampu mendeteksinya.
6. Fragmented Packets: variasi dari fragmented payloads dikirim ke server untuk menguji kemampuan untuk menyusun ulang dan mendeteksinya.
7. Ip Reputation: mengetes kemampuan server untuk mendeteksi lalu lintas dari server dengan reputasi rendah.
29 8. Normal Usage: berupa paket yang bermuatan data yang sesuai dengan
pemakaian normal.
9. Pcap Replay: memungkinkan untuk memutar ulang file pcap.
10.Shell Codes: mengirimkan varian shellcodes ke server di port 21/TCP untuk menguji kemampuan server mendeteksi/menolak shellcodes. 11.Test Rules: pengujian rules dasar. Serangan ini diharapkan untuk
dideteksi oleh set rules yang sepaket dengan IDS/IPS
Pytbull juga menampilkan report hasil pengujian dalam bentuk grafik yang terdiri dari persentase total, jumlah test yang dijalankan dan manampilkan hasil dari setiap modul.
30 2.9.2. Remote Mode
Pada mode ini, IDS dipasang pada span port( atauport miroring) dari switch inti dan telah dikonfigurasi pada mode promiscuous. IDS menganalisa semua lalu lintas jaringan yang melewati switch ini. File berbahaya dapat diunduh oleh Pytbull atau oleh server. Mode ini disebut “remote”.
2.9.3. Local Mode
2.9.3.1.IDS mode with attacked server in DMZ
Pada konfigurasi ini, firewall dibagi menjadi 3 bagian (lan, wan, dmz). IDS dipasang pada span port ( atauport miroring) dari switch dengan interface-nya dikonfigurasi pada mode promiscuous. IDS akan menganalisa setiap lalu lintas jaringan yang dikirim ke interface LAN pada firewall.
2.9.3.2.IPS mode
Pada konfigurasi ini, firewall dibagi menjadi 3 bagian (lan, wan, dmz). IDS dipasang antara pytbull dan firewall. Untuk memberikan IDS kesempatan untuk mendeteksi file berbahaya. Pytbull harus mengunduh file yang terinfeksi sendiri.
2.9.3.3.IPS mode with attacked server in DMZ
Pada konfigurasi ini, firewall dibagi menjadi 3 bagian (lan, wan, dmz). IDS dipasang antara pytbull dan firewall. File yang
31 terinfeksi harus diunduh oleh Pytbull secara langsung untuk memberikan kesempatan kepada IDS untuk mendeteksinya.
2.10. Contoh Serangan