Monitoring

1. Pendahuluan

Ada banyak program yang berhubungan dengan keamanan dan biasanya dapat didownload gratis di internet. Program tersebut meliputi program enkripsi/dekripsi, probe/scan listener, pemantau (monitoring), dan firewall. Juga program seperti probe dan scanner, cracker, bomber dan flooder, sniffer,  malicious code (virus, trojan dan worm), eksploit bug, backdoor, spoof dll. Dewasa ini tool-tool security yang ada semakin banyak jenisnya, mudah digunakan, dan semakin efektif. Pada bab ini kita akan memfokuskan pada pembahasan pemantauan integritas sistem dan pemeriksaan file-file log secara otomatis.

Pemantau integritas sistem adalah apilkasi yang digunakan untuk melakukan pengujian terhadap integratitas sistem, software yang digunakan misalkan tripwire dan sxid. Tripwire digunakan untuk memantau perubahan-perubahan (direktori dan file) yang terjadi pada sistem. Digunakan terutama untuk mencegah adanya backdoor, memantau pengubahan file oleh orang yang tidak berhak, dll. Logcheck digunakan untuk membantu memeriksa file-file log sehingga tidak membosankan, lebih efektif dan praktis. Program ini bekerja dengan cara mencari pattern/bentuk tertentu (dapat dikonfigurasi) dalam file log lalu mengirimkan laporannya kepada admin, misalnya melalui email.

 

2.Trip Wire

Salah satu contoh program yang sering digunakan untuk memantau integritas sistem Linux adalah program Tripwire. Program Tripwire dapat digunakan untuk memantau adanya perubahan pada berkas/file atau direktori.

Cara Kerja Tripwire.

Pada waktu pertama kali digunakan, tripwire harus digunakan untuk membuat database mengenai berkas-berkas atau direktori yang ingin kita amati beserta “signature” dari berkas tersebut. Signature berisi informasi mengenai besarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum atau hash (misalnya dengan menggunakan program MD5), dan sebagainya. Apabila ada perubahan pada berkas tersebut, maka keluaran dari hash function akan berbeda dengan yang ada di database sehingga ketahuan adanya perubahan. Selain Tripwire, tool yang yang digunakan utuk melakukan pengecekan integritas sistem antara lain: TAMU (Texas A&M University), ATP (The Anti-Tampering Program), dan sXid (men-tracks file-file suid dan sgid, bisa mendeteksi jika ada kit root yang terinstal).

Tripwire yang merupakan salah satu pilhan utilitas yang dapat digunakan oleh user dan administrator untuk memeriksa perubahan yang terjadi pada file atau direktori. Hal itu untuk menghindari adanya backdoor (pintu belakang untuk mendapatkan akses illegal lagi), penyusupan karena adanya bug pada perangkat lunak, adanya malicious code dan perubahan terhadap sistem oleh oramg lain yang sebenarnya tidak mempunyai hak untuk itu. Dalam pemeriksaan keutuhan dan keaslian file ini, tripwire perlu mengetahui file mana saja yang akan diperiksa baru setelah itu membandingkan file yang akan diperiksa tersebut dengan informasi (database) yang telah disimpan sebelumnya. Dan jika terjadi perubahan atau penambahan file baru Tripwire akan melaporkannya sehingga administrator dapat segera memeriksa apakah pengubahan atau penambahan file baru tersebut legal atau tidak.

Daftar file atau direktori yang akan diperiksa Tripwire terdapat dalam file konfigurasi Tripwire yang default-nya bernama tw.config. Sedangkan keadaan asli file tersebut terdapat di dalam file database Tripwire yang default-nya bernama tw.db_@. Karakter @ diganti dengan hostname komputer yang diinstal Tripwire.

Yang menjadi file inti dalam program Tripwire ini sebenarnya adalah kedua file tersebut yaitu file konfigurasi tw.config dan file database tw.db_@.  Karena itu sangat disarankan pada saat menginstalasi program Tripwire agar kedua file ini diletakkan pada tempat yang hanya di-mount read-only atau di media eksternal (seperti disket atau NFS) sehingga tidak ada intruder yang dapat mengubahnya.  Sebab jika hal ini tidak dilakukan akan sangat mungkin menyebabkan kita tidak dapat mengetahui seorang intruder yang telah berhasil masuk ke dalam sistem dan telah menyiapkan backdoor. Hal ini dikarenakan pada saat intruder itu telah membuat file baru atau mengubah suatu file untuk digunakan sebagai backdoor, ia sekaligus dapat mengubah file database Tripwire sehingga jejaknya tidak akan terdeteksi oleh Tripwire.  Jika hal seperti ini terjadi, berarti program Tripwire yang telah diinstalasi sama sekali tidak berguna. Contoh file yang membahayakan keamanan sistem jika diubah : password user, group user, pengubahan UID/GID sebuah file atau penambahan file yang memiliki setuid root, inetd, service, dll.

Instalasi dan penggunaan Tripwire, silakan dilihat di bagian Jobsheet.

 

3.Logcheck

Serangan terhadap sistem bisa terjadi kapan saja, dan tidak setiap saat administrator berada ditempat kejadian. Mungkin ada administrator yang tidak pernah (jarang) membaca file log karena memang menghabiskan waktu, membosankan dan tidak terjamin ketelitiannya. Padahal justru dari logginglah sebuah kejadian bisa ditrace dengan benar.

Karena itu, dapat digunakan suatu program yang berfungsi untuk membantu dalam memeriksa file-file log sehingga lebih mudah dan praktis, misalnya logcheck.

Logcheck adalah program yang berfungsi mencari pattern/bentuk tertentu (menyaring informasi penting) yang kita inginkan dalam file-file logging lalu mengirimkan laporannya kepada admin, misalnya melalui email. Logcheck bisa dikonfigurasi untuk melakukan checking sesering yang kita butuhkan, misal 5 menit/1 jam sekali, dengan menggunakan cron. Pattern yang akan dicari oleh logcheck pun bisa di atur sesuai dengan perkembangan informasi buggy yang bertebaran di internet.

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s