PRAKTIKUM KEAMANAN DATA HOST-BASED IDS
Disusun Oleh : Labba Awwabi (2110141047)
JURUSAN TEKNIK INFORMATIKA POLITEKNIK ELEKTRONIKA NEGERI SURABAYA 2017
Percobaan 1. Install Tripwire Step awal dalam instalasi tripwire adalah membuka terminal dan menginstalnya dengan #apt-get install tripwire. Pada awal instalasi ada petunjuk bahwa peringatan tentang apa yang akan dibutuhkan dalam instalasi Tripwire. Untuk melanjutkan, pilih OK.
Kemudian muncul dialog untuk meminta user membuat key passphrase, pilih yes.
Kemudian akan ada peringatan kembali, persis seperti awal instalasi, peringatan ini, mengingatkan untuk membuat key yang aman.
Kemudian ada konfirmasi apakah ingin membuat local paraphase atau tidak. Pilih yes karena paraphase akan digenerate pada local machine sendiri.
Kemudian ada permintaan konfirmasi apakah ingin untuk menyimpan hasil konfigurasi pada /etc/tripwire/twcfg.txt. Pilih yes untuk me-rebuild file configurasi.
Setelah itu, masukan key yang diinginkan dan ulangi pada langkah selanjutnya setelah memilih OK.
Dan instalasi akan selesai ketika passphrase dimasukan dua kali. Kemudian akan ada dialog yang menyatakan bahwa instasi Tripwire selesai.
Ubah mode dari 2 buah file dari tripwire : tw.cfg dan tw.pol.
2. Melakukan modifikasi pada file “Policy” dan file konfigurasi Pertama modifikasi file /etc/tripwire/twcfg.txt jika diperlukan kemudian enkripsi file dengan menggunakan perintah #twadmin –create-cfgfile –cfgfile ./tw.cfg –site-keyfile ./site.key ./twcfg.txt
Lakukan juga pada file /etc/tripwire/twpol.txt, modifikasi jika diperlukan dan kemudian enkripsi file tersebut. Setelah melakukan proses modifikasi dan enkripsi file twpol.txt dan twcfg.txt, lakukan inisialisasi database dari Tripwire. Inisialisasi database dengan menggunakan perintah: #tripwire --init --cfgfile /etc/tripwire/tw.cfg --polfile /etc/tripwire/tw.pol --site-keyfile /etc/tripwire/site.key --local-keyfile /etc/tripwire/debian-local.key untuk perintah debian-local key sesuaikan dengan hostname PC yang digunakan. Masukan key site passphrase. Pada awal inisialisasi, akan terdapat banyak warning dan error karena Tripwire tidak mempunyai data yang sama pada databasenya.
3. Inisialisasi Database Setelah melakukan langkah-langkah pada point II, anda akan melakukan inisialisasi database dengan menjalankan perintah : #tripwire –init –cfgfile /etc/tripwire/tw.cfg –polfile /etc/tripwire/tw.pol –site-keyfile /etc/tripwire/site.key –local-keyfile /etc/tripwire/HOSTNAME-local.key
4. Melakukan cek system Untuk mencheck pada sistem terhadap adanya perubahan pada file-file pada host, gunakan perintah: #tripwire –check
5. Melakukan update file “Policy” #tripwire --update-policy --cfgfile ./tw.cfg --polfile ./tw.pol --site-keyfile ./site.key --local-keyfile ./HOSTNAME-local.key ./twpol.txt Update ini difungsikan apabila ada perubahan pada file twpol.txt, misalnya menambahkan atau mengurangi folder yang dimonitor.
6. Melakukan update database dari system file. Database dari file system perlu di update secara berkala. Proses update dapat menggunakan perintah: # tripwire --update -Z low --twrfile /var/lib/tripwire/report/host-yyyymmdd-tttttt.twr Perintah tersebut berarti bahwa tripwire akan membandingkan antara database yang ada dengan file yang ada di system, kemudian akan menjalankan editor untuk memilih perubahan di database. Opsi dari twrfile adalah file report yang dibangkitkan dan disimpan pada folder /var/lib/tripwire/report. Format penamaan file adalah berdasarkan tahun (yyyy), bulan (mm), tanggal(dd) dan jam dalam format (HH-MM-SS). Ekstensi file report adalah .twr
Pada debian versi terbaru perintah tersebut tidak perlu dilakukan karena update database/database report akan terjadi otomatis sesuai dengan urutan nama penyimpanan host-yyyymmdd-tttttt.twr Perintah tersebut berarti bahwa tripwire akan membandingkan antara database yang ada dengan file yang ada di system, kemudian akan menjalankan editor untuk memili perubahan di database. Opsi dari twrfile adalah file report yang dibangkitkan dan disimpan pada folder /var/lib/tripwire/report. Format penamaan file adalah berdasarkan tahun (yyyy), bulan (mm), tanggal(dd) dan jam dalam format (HH-MM-SS). Ekstensi file report adalah .twr.
Tugas Percobaan 1. Jalankan perintah : # tripwire –check Sebelum menjalankan perintah diatas, sebaiknya memilih folder apa saja yang akan di monitoring. Comment beberapa folder yang tidak ingin di check/monitoring.
Pada block diatas, tambahkan folder yang ingin dimonitoring sesuai security yang diinginkan. Saya memonitoring folder /home/student/Pictures/210131048/Percobaan dengan SEC_CONFIG atau securitynya yang berarti file/folder tersebut merupakan config file yang perubahannya jarang terjadi tetapi selalu diakses
Setelah itu lakukan pengecekan dan tidak muncul lagi error, serta muncul report seperti dibawah :
2. Kerjakan langkah-langkah dibawah dan analisa setiap langkahnya Tambahkan di baris paling bawah ( rulename = “Kirim Notifikasi ke email”, severity = $(SIG_HI), emailto = root@localhost )
Email akan dikirimkan ke akun email dari root dari system yang anda monitor. Biasanya, email akan ditujukan kea kun user yang dapat bertindak sebagai root. c. Lakukan enkripsi terhadap file anda # cd /etc/tripwire # twadmin –create-polfile –cfgfile ./tw.cfg –site-keyfile ./site.key ./twpol.txt
d. Ubah file konfigurasi untuk memasukkan informasi smtp : # vi /etc/tripwire/twcfg.txt … MAILMETHOD =SMTP SMTPHOST =localhost SMTPHOST =localhost SMTPPORT =25 …
Hasilnya meninjukan bahwa ada beberapa file yang diubah dan penambahan file yang terjadi, terlihat bahwa proses pengcopyan file cobacoba.sh masuk kedalam report pada aplikasi tripwire. 5.Bandingkan hasil dari perintah pada nomor 1 dan nomor 4. Terdapat perubahan berupa adanya penambahan file cobacoba.sh di direktori /home/student/Pictures/210141047/Percobaan membuat report dari tripwire mengalami perubahan juga. Yang awalnya hanya terdapat file report debian 20170325-104833.twr, setelah penambahan file newfile.sh, terdapat file report baru bernama 20170325-113053.twr, menandakan bahwa tripwire melakukan tugasnya sebagai software integrity checker. Adanya perubahan sesuai dengan perubahan yang kita lakukan baik penambahan data maupun modifikasi data serta konfigurasi lainnya. Diantaranya : – Penambahan file cobacoba.sh, dimana pada report pada no 1 tidak ada namun pada report no 4 ada report penambahan cobacoba.sh. – Kedua report terdapat Penambahan data debian.twd. namun pada report no 1 tidak ada modifikasi pada debian.twd seperti pada report no 4. – Report kedua terdapat Modifikasi pada direktori /etc – Report kedua terdapat Modifikasi pada file /etc/resolv.conf –> saat mengubah ini saya sedang mengkonfigurasi jaringan internetnya -Report kedua terdapat Modifikasi pada folder /etc/tripwire -Report kedua terdapat Modifikasi pada file /etc/tripwire/newfile.ssh –>file salah buat – Terdapat penambahan data pada folder /root dengan file cobacoba.sh pada rule root config files.