IDS/IPS
- Dapatkan link
- X
- Aplikasi Lainnya
👁️🛡️ Bab 17 – SOP IDS/IPS (Intrusion Detection & Prevention System) di Ubuntu Server
kita masuk ke Bab 17: IDS/IPS (Intrusion Detection & Prevention System) di Ubuntu Server. Bab ini akan membuat servermu lebih proaktif dalam mendeteksi dan mencegah serangan. Kalau firewall dan hardening itu sifatnya “defensif”, IDS/IPS adalah “mata dan telinga” yang memantau aktivitas mencurigakan secara real-time.
🎯 Tujuan
- Memasang sistem deteksi intrusi (IDS).
- Mengaktifkan sistem pencegahan intrusi (IPS).
- Memantau dan menganalisis trafik mencurigakan.
- Mencegah serangan brute force, exploit, dan malware.
🔧 Lingkup
- Sistem operasi: Ubuntu Server
- Tools: Snort (IDS/IPS klasik), Suricata (modern, multi-threaded), OSSEC (host-based IDS)
3. Langkah Kerja
🔍 3.1 Instalasi Snort (IDS/IPS Klasik)
- Install Snort:
sudo apt update sudo apt install snort -y - Saat instalasi, masukkan IP server yang akan dipantau.
- Jalankan Snort dalam mode IDS:
sudo snort -A console -i eth0 -c /etc/snort/snort.conf→ Memantau trafik di interface eth0.
- Jalankan Snort dalam mode IPS (inline):
sudo snort -Q --daq afpacket -i eth0:eth1 -c /etc/snort/snort.conf→ Trafik mencurigakan akan langsung diblokir.
Penambahan: Snort menggunakan "rules" (aturan) untuk mendeteksi pola serangan. Kamu bisa mengunduh rules publik dari Snort atau membuat sendiri untuk kebutuhan spesifik.
⚡ 3.2 Instalasi Suricata (IDS/IPS Modern)
- Install Suricata:
sudo apt install suricata -y - Jalankan Suricata:
sudo systemctl start suricata sudo systemctl enable suricata - Konfigurasi di
/etc/suricata/suricata.yaml. - Log Suricata ada di:
/var/log/suricata/
Penambahan: Suricata mendukung multi-threading, artinya bisa memproses trafik lebih cepat daripada Snort di mesin multi-core. Ini membuatnya lebih cocok untuk lingkungan bertrafik tinggi.
🖥️ 3.3 Instalasi OSSEC (Host-Based IDS)
- Install OSSEC:
sudo apt install ossec-hids -y - Jalankan OSSEC:
sudo systemctl start ossec sudo systemctl enable ossec - OSSEC memantau log sistem, file integrity, dan aktivitas user.
Penambahan: OSSEC adalah Host-based Intrusion Detection System (HIDS). Berbeda dengan Snort/Suricata yang memantau jaringan (NIDS), OSSEC memantau aktivitas di dalam server itu sendiri. Ini melindungi dari serangan yang melewati jaringan.
📊 3.4 Monitoring & Alert
- Snort log:
/var/log/snort/. - Suricata log:
/var/log/suricata/. - OSSEC log:
/var/ossec/logs/. - Gunakan
tail -funtuk memantau real-time:tail -f /var/log/suricata/fast.log
🔗 3.5 Integrasi dengan Firewall
IDS/IPS bisa diintegrasikan dengan UFW/iptables agar otomatis memblokir IP mencurigakan.
Contoh (Suricata + iptables):
sudo iptables -A INPUT -m set --match-set blacklist src -j DROP
Penambahan: Untuk integrasi otomatis, kamu bisa menggunakan script (bash/python) yang membaca log IDS dan menambahkan IP ke blacklist firewall. Tools seperti fail2ban juga bisa dikonfigurasi untuk membaca log dari Suricata.
4. Command Ringkas
| Fungsi | Command |
|---|---|
| Install Snort | sudo apt install snort -y |
| Jalankan Snort IDS | sudo snort -A console -i eth0 -c /etc/snort/snort.conf |
| Jalankan Snort IPS | sudo snort -Q --daq afpacket -i eth0:eth1 -c /etc/snort/snort.conf |
| Install Suricata | sudo apt install suricata -y |
| Jalankan Suricata | sudo systemctl start suricata |
| Install OSSEC | sudo apt install ossec-hids -y |
| Jalankan OSSEC | sudo systemctl start ossec |
| Cek log Suricata | tail -f /var/log/suricata/fast.log |
5. Catatan Penting
-
🔍
IDS hanya mendeteksi, IPS bisa langsung memblokir.
-
⚡
Gunakan Suricata untuk performa tinggi (multi-thread).
-
🖥️
OSSEC cocok untuk monitoring host (log, file integrity).
-
🔄
Jangan lupa update rules IDS/IPS secara berkala agar bisa mendeteksi serangan terbaru.
-
📊
Integrasikan IDS/IPS dengan monitoring (Zabbix/Grafana) untuk alert otomatis.
- Dapatkan link
- X
- Aplikasi Lainnya
Komentar
Posting Komentar