Firewall
Firewall nerupakan sebuah perangkat keamanan jaringan computer yang melakukan fungsi control aliran data antara dua atau lebih network yang mempunyai perbedaan tingkat keamanan. Ada cara banyak untuk mlindungi suatu private network atau sebuah situs internet. Perangkat firewall dapat ditempatkan pada posisi didepan maupun dibelakang kumpulan server web, maupun tambahan koneksi dapat dibuat pada firewall tersebut dan server web dapat ditempatkan pada network internal. Keputusan untuk bagaimana menggunakan firewall pada perancangan pada suatu system keamanan jaringan adalah berdasarkan pada aplikasi, manajemen serta ketersediaan kebutuhan perangkat yang ada.
Saat ini terdapat cukup banyak firewall yang beredar dipasaran baik komersial maupun nonkomersial, berbasiskan hardware maupun software serta dengan berbagai macam fitur layanan fasilitas dan kemampuan fitur yang ditawarkan.sebagai conoh dapat disebutkan Cisco PIX, Checkpoint, Cyberguard dan lain-lain.
Selain perangkat firewall yang ditujukan untuk keperluan manajemen network secara keseluruhan, saat ini cukup banyak tersedia juga perangkat firewall yang ditujukan untuk end user atau personal user terutama yang terhubung di internet. Setiap vendor mempunyai definisi yang spesifik terhadap masing-masing produk. Namun, secara umum akan diuraikan tipe-tipe firewall yang ada, antara lain;
• Packet filtering firewall
• Aplication-level gateways (contoh: proxy server)
• Circuit level gateways
• Stateful packet inspection firewalls
Cisco IOS Firewal
IOS Firewall merupakan fasilitas perangkat lunak tambahan pada router Cisco yang menyediakan fungsi firewall yang lebih memadai dibandingkan dengan accest list dan integrasi dengan perangkat lunak IOS. Hal ini berguna untuk meningkatkan keamanan pada perimeter network, sebagai contoh koneksi ke internet dan partner bisnis.
Layanan keamanan yang terdapat pada IOS Firewall adalah:
• Stateful, application-level filtering – atau biasa disebut context-based access control (CBAC), layanan ini secara dinamis menguji dan mengatur informasi protocol pada application layer. IOS menggunakan aplikasi ini untuk menyaring traffic secara intelligent yang melewati router yang telah dikonfigurasi untuk menjalankan CBAC.
• Pencegahan dan deteksi ‘Denial of service’ – Serangan Denial of service mencegah untuk menyerang dan melumpuhkan host tujuan dengan cara memanfaatkan beberapa kelemahan dalam implementasi TCP/IP. CBAC mempunyai kemampuan untuk mempertahankan dari serangan-serangan tersebut dan melaporkan aktifitas denial of service.
• Sistem peringatan yang ’real-time’ – CBAC mendeteksi serangan dan mempunyai kemampuan untuk menampilkan catatan atau peringatan pada saat serangan terjadi. Dengan menggunakan layanan syslog atau melalui console, system dan network administrator dapat mengumpulkan dan mengawasi serangan-serangan tersebut sebagai sebuah bagu=an dari strategi keamanan.
• Auditing of sessions (optional) – Transaksi log dari semua sesi yang terjadi didalam router dapat diaktifkan, dan ketika sesi berakhir, CBAC akan melakukan statistik yang telah dicatatnya melalui syslo atau console.
• Java applet blocking (optional) – CBAC mempunyai kemampuan untuk menghentikan atau java applet yang masuk ke suatu sistem jaringan komputer berdasarkan access list yang telah didefinisikan.
• Proses audit yang aktif dengan menggunkan Intruksion Detection System – Merupakan sebuah layanan bebas yang dapat dijalankan dengan atau pun tanpa CBAC.
Intrusion Detection
Ketika kita menyuguhkan sebuah jaringan privat untuk dapat berkomunikasi dengan jaringan-jaringan aksternal ata dunia luar, tidak ada jaminan bahwa server-server dan infrastruktur jaringan berada dalam kondisi ”secure” secara komplit. proteksi yang kita rancang dalam sistem firewall mungkin dapat melindungi klien-klien dan server-server, akan tetapi ketika server-server tersebut harus berkomunikasi dengan dunia luar, maka ancaman yang tak terduga senantiasa berpeluang.
Dari sudut pandang attacker, setiap layanan yang transparan adalah celah untuk melancarkan serangan. Saa kita menyuguhkan layanan WWW ke publik maka di sana ada jalan bagi attacker untuk mencari kelemahan-kelemahan layanan tersebut guna untuk melakukan aksi-aksi yang merugikan.
Penyerangan dan pelanggaran dapat mengambil beragam bentuk. Adalah tugas administrator- administrator jaringan untuk mengerti karakteristik- karakteristik pelanggaran tersebut dan bagaimana mengantisipasinya lebih dini. Untuk menwujudkan ini, akandibutuhkan suatu cara untuk mendeteksi permasalahan-permasalahan ini dengan jelas.
Pengimplementasian sistem deteksi intrusi (Intrusion Detection System) dan secanner menjadi pilihan terbaik bagi administrator- administrator jaringan. Deteksi intrusi adalah proses yang berkesinambungan dalam pencarian dan penelusuran pelanggaran-pelanggaran sekuriti pada sebuah jaringan; ini termasuk pendeteksian kelemahan-kelemahan, analisis aksi-aksi yang merusak dan melanggar, analisis event-event yang ganjil dan tak normal.
Sebuah utiliti scanner atau sistem deteksi intrusi setidaknya harus mampu menganalisis isu-isu berikut:
• Lemahnya sekuriti fisik
• Lemahnya sekuriti pada perimeter/ device jaringan
• Kelemahan pada software-software dan aplikasi
• Kesalahan manusia
• Kelemahn pada suit protokol-protokol IP
• Miskonfigurasi sistem.
Cisco IOS IDS (Intrusion Detection System)
Salah satu produk sekuriti berdaya guna yang ditawarkan Cisco Systen Inc. adalah Cisco IOS Firewall Intrusion Detection System (IDS) atau dikenal dengan NetRanger. Cisco IOS IDS memberikan level proteksi terhadap environment jaringan dari berbagai kesalahan dan usaha penyerangan yang dating dari user-user eksternal maupun internal. Teknologi ini memberi kelengkapan terhadap proteksi-prteksi yang ditawarkan system firewall.
Cisco IOS IDS senantiasa mengambil aksi-aksi yang dipandang tepat terhadap paket-paket yang melanggar policy sekutiti dan merepresentasikan aktifitas-aktifitas berbahaya dalam jaringan.
Salah satu fitur utamanya adalah mengidentifikasi uluhan bentuk serangan umum dengan menggunakan “signature-signature”.
Cisco IDS beraksi sebagai sebuah sensor deteksi intrusi, memperhatikan setiap paket yang melintas, dan memindai mereka untuk memastikan mereka tidak ada yang masuk criteria signature-signature IDS. Saat sebuah aktifitas berbahaya terdeteksi, Cisco IDS segera meresponnya sebelum keutuhan jaringan terganggu dan mencatat log event tersebut melalui fasilitas syslog Cisco IOS atau Post Office Protokol.
Pengelolah atau admistrator jaringan dapat merancang sistem IDS mereka untuk memilih tindakan-tindakan yang tepat terhadap bentuk pelanggaran yang spesifik
Saat beberapa paket dalam sesi koneksi terjerat dalam signature, sistem IDS dapat kita atur untuk menganbilaksi-aksi berikut:
• Mengirim alarm ke server syslog atau Cisco Secure IDS Director
• Membuang paket
• Me-reset koneksi TCP yang berjalan.
Tugas-tugas Konfigurasi Cisco IOS Firewall IDS
Memperkenalkan Cisco IOS IDS
Untuk menginisiasi atau memperkenalkan Cisco IOS firewall IDS pada sebuah router, lakukan pada perintah berikut dari global konfigurasion mode:
Tahap 1: Mengeset jumlah penerima maksimum
Langkah ini mengeset pada spamming yang diijinkan atas pesan-pesan e-mail. Disini, flag recipients merepresenasikan jumlah maksimum penerima pada sebuah pesan e-mail. Nilai default-nya adalah 250
.
Router(config)# ip audit smtp spam recipients
Tahap 2: Mengeset jumlah event maksimum
Langkah ini mengeset batasan antrian event untuk dikirim ke Cisco Secure IDS Director. Flag number_events adalah jumlah event dalam antrian. Nilai default-nya adalah 100.
Router(config)# ip audit po max-events number_events
Peningkatan jumlah ini dapat mempengaruhi kerja dan memori router.
Tahap 3: Keluar dari global configurasion
Router(config)# exit
Memperkenalkan Post Office
Untuk menginisiasi atau membuka system Post Office, ikuti tahapan perintah berikut global configurasion mode.
Perhatian
Pastikan kita senantiasa me-reload router setiap kali melakukan perubahan terhadap konfigurasi Post Ofice.
Tahap 1: Mengirim notifikasi events (alarm)
Konfigurasi ini mengirim notifikasi atau peringatan-peringatan alarm ke Cisco Secure IDS Director atau server syslog atau kepada keduanya. Misalkan saja, jika kita mengirim alarm ke Cisco Secure IDS Director, menggunakan keyword nr-director dalam sintaks perintah kita. Jika kita mengirim alarm ke server syslog, gunakan keyword log.
Router(config)# ip audit notify nr-director
Atau,
Router(config)# ip audit notify log
Tahap 2: Mengeset parameter-parameter Post Office (A)
Selanjutnya kita mengeset parameter-parameter Post Office baik untuk router itu sendiri (menggunakan perintah ip audit po local)
Maupn Cisco Secure IDS Director (menggunakan perintah ip audit po remote).
Router(config)# ip audit po local hosted host-id orgid org-id
host-id nomor unik antara 1 sampai 65535 yang memberi identitas pada router bersangkutan.
org-id nomor unik antara 1 sampai 65535 yang memberi identitas pada organisasi/perusahaan di mana router dan Director berada.
Tahap 3: Mengeset parameter-parameter Post Office (B)
Kita juga perlu mengeset parameter-parameter Post Office untuk router dan Cisco Secure IDS Director (menggunakan perintah ip audit po remote).
Router(config)# ip audit po local hosted host-id orgid org-id
host-id Nomor unik antara 1 antara 65535 yang menberi identitas pada router bersangkutan.
org-id Nomor unik antara 1 antara 65535 yang menberi identitas pada organisasi di mana router dan Directori berada.
rmtaddress ip- IP address Directori.
Address
localaddress ip- IP address interface router.
Address
port-number nomor port UDP di mana Directori mendengarkan alarm (default-nya bernilai 45000).
preference-number prioritas relatif rute ke Director (default-nya 1). Jika lebih dari satu rute digunakan untuk mencapai Director yang sama, maka salah satunya harus menjadi rute primer (preference 1) dan rute lainnya menjadi rute sekunder (preference 2).
seconds nilai detik di mana Post Office akan menunggu sebelum ia menetapkan bahwa koneksi telah timeout (default-nya 5).
application-type tipe aplikasi, apakah director atau logger.
Gunakan logger jika kita mengirim notifikasi Post Office ke sebuah Sensor. Mengirim sebuah aplikasi logging berarti tidak ada alarm yang dikirim ke GUI, melainkan dikirim ke sebuah file flat yang kemudian dapat diproses dengan filter-filter seperti per1 dan awk atau ditangani database. Gunakan logger hanya dimana kita ingin alarm-alarm di-log saja dan tidak ditampilkan.
Tahap 4: Menampilkan pesan-pesan syslog
Langkah-langkah ini menampilkan pesan-pesan syslog pada console router jika kita ingin mengirim alarm-alarm ke console syslog.
Router(config)# logging console info
Tahap 5: Keluarlah dari global Ccnfigurasion mode
Router(config)# exit
Tahap 6: Menyimpan konfigurasi
Pastikan kita menyimpan konfigurasi ke memori router.
Router# write memory
Tahap 7: Me-reload router
Pastikan juga untuk me-reload router shingga perubahan-perubahan memberi efek.
Router# reload
Setelah kita mengkonfigurasi router, tambahkan informasi Post Office router Cisco IOS IDS ke file /usr/nr/etc/hosts dan /usr/nr/etc/routes dalam Cisco Secure IDS Sensors dan Director-director yang berkomunikasi dengan router tersebut. Kita melakukan ini dengan bantuan tool nrConfigure dalam Cisco Secure IDS.
Mengkonfigurasi Rule-rule Audit
Untuk mengkonfigurasi rule-rule audit, ikuti tahapan perintah berikut (dari global configurasi mode):
Tahap 1: Mengeset aksi default
Pertama-tama, kita mengeset aksi-aksi default untuk info dan signature-signature serangan. Kita memiliki tiga aksiyang bisa dipilih: alarm, drop, dan reset. Nilai default-nya adalah alarm.
Router(config)# ip audit info {action [alarm] [drop] [reset]}
dan,
Router(config)# ip audit attack {action [alarm] [drop] [reset]}
Tahap 2: Membuat rule-rule audit
Aksi default-nya adalah alarm.
Router(config)# ip audit name audit-name {info | attack} [list standard-acl] [action [alarm] [drop] [reset] ]
audit-name adalah nama yang diterapkan kita untk rule audit, misalnya:
ip audit name nama-audit info
ip audit name nama-audit attack
Catatan
Gunakan nama yang sama pada saat kita menetapkan serangan dan info tipe signature.
Tahap 3: Menutup signature-signature individual.
Router(config)# ip audit signature signature-id {disable | list acl-list}
Menutup atau menonaktifkan signature-signature tidak dimasukkan dalam rule-rule audit karena ia merupakan perubahan konfigurasi global.
Untuk menghidupkan atau mengaktifkan kembali sebuah signature, gunakan:
Router(config)# no ip audit signature signature-id
Tahap 4: Masuk ke mode konfigurasi Interface
Router(config-if) # interface nomor-interface
Tahap 5: Mengaplikasikan sebuah rule audit
Untuk menerapkan sebuah rule audit pada sebuah interface, gunakan:
Router(config-if) # ip audit nama-audit {in | out}
Tahap 6: Keluar dari mode konfigurasi Interface
Router(config-if) # exit
Tahap 7: Menetapkan jaringan yang harus diproteksi
Tetapkan jaringan yang harus diproteksi oleh router. Di sini, ip_addr adalah nomor IP address untuk diproteksi.
Router(config) # ip audit po protected ip-addr [to ip_addr]
Tahap 8: Keluar dari global configurasion mode
Router(config) # exit
Memeriksa Konfigurasi
Untuk memeriksa apakah Cisco IOS Firewall IDS telah terkonfigurasi dengan tepat, gunakan perintah:
Show ip audit configuration
Outputnya akan seperti listing berikut:
Ids2611# show ip audit configuration
Event notification through syslog is enabled
Event notification through Net Director is enabled
Default action(s) for info signatures is alarm
Default action(s) for attack signatures is alarm drop reset
Default threshold of recipients for spam signature is 25
PostOffice:HostID:55 OrgID:123 Msg dropped:0
:Curr Event Buf Size:100 Configured:100
HID:14 OID:123 S:1 A:2 H:82 HA:49 DA:0 R:0 Q:0
ID:1 Dest:10.1.1.23:45000 Loc:172.16.58.23:45000 T:5 S:ESTAB *
Audit Rule Configuration
Audit name AUDIT.1
info actions alarm
attack actions alarm drop reset
Selanjutnya kita juga bias memeriksa interface-interface yang memiliki rule-rule audit. Gunakan perintah:
show ip audit interface
Outputnya seperti berikut:
ids2611# show ip audit interface
Interface Configuration
Interface Ethernet0
Inbound IDS audit rule is AUDIT.1
info actions alarm
attack actions alarm drop reset
Outgoing IDS audit rule is not set
Interface Ethernet1
Inbound IDS audit rule is AUDIT.1
info actions alarm
attack actions alarm drop reset
Outgoing IDS audit rule is not set
Memonitor dan Merawat Cisco IOS Firewall IDS
Memonitor dan Merawat Cisco IOS Firewall IDS cukuplah mudah karena kita hanya mengeksekusi perintah-perintah sederhana dari mode konfigurasi EXEC.
Perintah Deskripsi
Router# clear ip audit configuration Menonaktifkan Cisco IOS Firewall Ids, menghapus semua entri konfigurasi deteksi intrusi, dan merilis resource-resource dinamis.
Router# clear ip audit statistics Me-reset beragam statistic paket-paket yang teranalisis dan alarm-alarm yang terkirim.
Router# show ip audit statistics Menampilkan jumlah paket-paket yang teraudit dan jumlah alarm yang terkitim, beserta informasi-informasi lainnya.
Listing berikut memperlihatkan contoh output perintah show ip audit statistics.
Signature audit statistics [process switch:fast switch]
signature 2000 packets audited: [0:2]
signature 2001 packets audited: [9:9]
signature 2004 packets audited: [0:2]
signature 3151 packets audited: [0:12]
Interfaces configured for audit 2
Session creations since subsystem startup or last reset 11
Current session counts (estab/half-open/terminating) [0:0:0]
Maxever session counts (estab/half-open/terminating) [0:0:0]
Last session created 19:18:27
Last statistic reset never
HID: 1000 OID:100 S:218 A:3 H:14085 HA:7114 DA:0 R:0
Firewall nerupakan sebuah perangkat keamanan jaringan computer yang melakukan fungsi control aliran data antara dua atau lebih network yang mempunyai perbedaan tingkat keamanan. Ada cara banyak untuk mlindungi suatu private network atau sebuah situs internet. Perangkat firewall dapat ditempatkan pada posisi didepan maupun dibelakang kumpulan server web, maupun tambahan koneksi dapat dibuat pada firewall tersebut dan server web dapat ditempatkan pada network internal. Keputusan untuk bagaimana menggunakan firewall pada perancangan pada suatu system keamanan jaringan adalah berdasarkan pada aplikasi, manajemen serta ketersediaan kebutuhan perangkat yang ada.
Saat ini terdapat cukup banyak firewall yang beredar dipasaran baik komersial maupun nonkomersial, berbasiskan hardware maupun software serta dengan berbagai macam fitur layanan fasilitas dan kemampuan fitur yang ditawarkan.sebagai conoh dapat disebutkan Cisco PIX, Checkpoint, Cyberguard dan lain-lain.
Selain perangkat firewall yang ditujukan untuk keperluan manajemen network secara keseluruhan, saat ini cukup banyak tersedia juga perangkat firewall yang ditujukan untuk end user atau personal user terutama yang terhubung di internet. Setiap vendor mempunyai definisi yang spesifik terhadap masing-masing produk. Namun, secara umum akan diuraikan tipe-tipe firewall yang ada, antara lain;
• Packet filtering firewall
• Aplication-level gateways (contoh: proxy server)
• Circuit level gateways
• Stateful packet inspection firewalls
Cisco IOS Firewal
IOS Firewall merupakan fasilitas perangkat lunak tambahan pada router Cisco yang menyediakan fungsi firewall yang lebih memadai dibandingkan dengan accest list dan integrasi dengan perangkat lunak IOS. Hal ini berguna untuk meningkatkan keamanan pada perimeter network, sebagai contoh koneksi ke internet dan partner bisnis.
Layanan keamanan yang terdapat pada IOS Firewall adalah:
• Stateful, application-level filtering – atau biasa disebut context-based access control (CBAC), layanan ini secara dinamis menguji dan mengatur informasi protocol pada application layer. IOS menggunakan aplikasi ini untuk menyaring traffic secara intelligent yang melewati router yang telah dikonfigurasi untuk menjalankan CBAC.
• Pencegahan dan deteksi ‘Denial of service’ – Serangan Denial of service mencegah untuk menyerang dan melumpuhkan host tujuan dengan cara memanfaatkan beberapa kelemahan dalam implementasi TCP/IP. CBAC mempunyai kemampuan untuk mempertahankan dari serangan-serangan tersebut dan melaporkan aktifitas denial of service.
• Sistem peringatan yang ’real-time’ – CBAC mendeteksi serangan dan mempunyai kemampuan untuk menampilkan catatan atau peringatan pada saat serangan terjadi. Dengan menggunakan layanan syslog atau melalui console, system dan network administrator dapat mengumpulkan dan mengawasi serangan-serangan tersebut sebagai sebuah bagu=an dari strategi keamanan.
• Auditing of sessions (optional) – Transaksi log dari semua sesi yang terjadi didalam router dapat diaktifkan, dan ketika sesi berakhir, CBAC akan melakukan statistik yang telah dicatatnya melalui syslo atau console.
• Java applet blocking (optional) – CBAC mempunyai kemampuan untuk menghentikan atau java applet yang masuk ke suatu sistem jaringan komputer berdasarkan access list yang telah didefinisikan.
• Proses audit yang aktif dengan menggunkan Intruksion Detection System – Merupakan sebuah layanan bebas yang dapat dijalankan dengan atau pun tanpa CBAC.
Intrusion Detection
Ketika kita menyuguhkan sebuah jaringan privat untuk dapat berkomunikasi dengan jaringan-jaringan aksternal ata dunia luar, tidak ada jaminan bahwa server-server dan infrastruktur jaringan berada dalam kondisi ”secure” secara komplit. proteksi yang kita rancang dalam sistem firewall mungkin dapat melindungi klien-klien dan server-server, akan tetapi ketika server-server tersebut harus berkomunikasi dengan dunia luar, maka ancaman yang tak terduga senantiasa berpeluang.
Dari sudut pandang attacker, setiap layanan yang transparan adalah celah untuk melancarkan serangan. Saa kita menyuguhkan layanan WWW ke publik maka di sana ada jalan bagi attacker untuk mencari kelemahan-kelemahan layanan tersebut guna untuk melakukan aksi-aksi yang merugikan.
Penyerangan dan pelanggaran dapat mengambil beragam bentuk. Adalah tugas administrator- administrator jaringan untuk mengerti karakteristik- karakteristik pelanggaran tersebut dan bagaimana mengantisipasinya lebih dini. Untuk menwujudkan ini, akandibutuhkan suatu cara untuk mendeteksi permasalahan-permasalahan ini dengan jelas.
Pengimplementasian sistem deteksi intrusi (Intrusion Detection System) dan secanner menjadi pilihan terbaik bagi administrator- administrator jaringan. Deteksi intrusi adalah proses yang berkesinambungan dalam pencarian dan penelusuran pelanggaran-pelanggaran sekuriti pada sebuah jaringan; ini termasuk pendeteksian kelemahan-kelemahan, analisis aksi-aksi yang merusak dan melanggar, analisis event-event yang ganjil dan tak normal.
Sebuah utiliti scanner atau sistem deteksi intrusi setidaknya harus mampu menganalisis isu-isu berikut:
• Lemahnya sekuriti fisik
• Lemahnya sekuriti pada perimeter/ device jaringan
• Kelemahan pada software-software dan aplikasi
• Kesalahan manusia
• Kelemahn pada suit protokol-protokol IP
• Miskonfigurasi sistem.
Cisco IOS IDS (Intrusion Detection System)
Salah satu produk sekuriti berdaya guna yang ditawarkan Cisco Systen Inc. adalah Cisco IOS Firewall Intrusion Detection System (IDS) atau dikenal dengan NetRanger. Cisco IOS IDS memberikan level proteksi terhadap environment jaringan dari berbagai kesalahan dan usaha penyerangan yang dating dari user-user eksternal maupun internal. Teknologi ini memberi kelengkapan terhadap proteksi-prteksi yang ditawarkan system firewall.
Cisco IOS IDS senantiasa mengambil aksi-aksi yang dipandang tepat terhadap paket-paket yang melanggar policy sekutiti dan merepresentasikan aktifitas-aktifitas berbahaya dalam jaringan.
Salah satu fitur utamanya adalah mengidentifikasi uluhan bentuk serangan umum dengan menggunakan “signature-signature”.
Cisco IDS beraksi sebagai sebuah sensor deteksi intrusi, memperhatikan setiap paket yang melintas, dan memindai mereka untuk memastikan mereka tidak ada yang masuk criteria signature-signature IDS. Saat sebuah aktifitas berbahaya terdeteksi, Cisco IDS segera meresponnya sebelum keutuhan jaringan terganggu dan mencatat log event tersebut melalui fasilitas syslog Cisco IOS atau Post Office Protokol.
Pengelolah atau admistrator jaringan dapat merancang sistem IDS mereka untuk memilih tindakan-tindakan yang tepat terhadap bentuk pelanggaran yang spesifik
Saat beberapa paket dalam sesi koneksi terjerat dalam signature, sistem IDS dapat kita atur untuk menganbilaksi-aksi berikut:
• Mengirim alarm ke server syslog atau Cisco Secure IDS Director
• Membuang paket
• Me-reset koneksi TCP yang berjalan.
Tugas-tugas Konfigurasi Cisco IOS Firewall IDS
Memperkenalkan Cisco IOS IDS
Untuk menginisiasi atau memperkenalkan Cisco IOS firewall IDS pada sebuah router, lakukan pada perintah berikut dari global konfigurasion mode:
Tahap 1: Mengeset jumlah penerima maksimum
Langkah ini mengeset pada spamming yang diijinkan atas pesan-pesan e-mail. Disini, flag recipients merepresenasikan jumlah maksimum penerima pada sebuah pesan e-mail. Nilai default-nya adalah 250
.
Router(config)# ip audit smtp spam recipients
Tahap 2: Mengeset jumlah event maksimum
Langkah ini mengeset batasan antrian event untuk dikirim ke Cisco Secure IDS Director. Flag number_events adalah jumlah event dalam antrian. Nilai default-nya adalah 100.
Router(config)# ip audit po max-events number_events
Peningkatan jumlah ini dapat mempengaruhi kerja dan memori router.
Tahap 3: Keluar dari global configurasion
Router(config)# exit
Memperkenalkan Post Office
Untuk menginisiasi atau membuka system Post Office, ikuti tahapan perintah berikut global configurasion mode.
Perhatian
Pastikan kita senantiasa me-reload router setiap kali melakukan perubahan terhadap konfigurasi Post Ofice.
Tahap 1: Mengirim notifikasi events (alarm)
Konfigurasi ini mengirim notifikasi atau peringatan-peringatan alarm ke Cisco Secure IDS Director atau server syslog atau kepada keduanya. Misalkan saja, jika kita mengirim alarm ke Cisco Secure IDS Director, menggunakan keyword nr-director dalam sintaks perintah kita. Jika kita mengirim alarm ke server syslog, gunakan keyword log.
Router(config)# ip audit notify nr-director
Atau,
Router(config)# ip audit notify log
Tahap 2: Mengeset parameter-parameter Post Office (A)
Selanjutnya kita mengeset parameter-parameter Post Office baik untuk router itu sendiri (menggunakan perintah ip audit po local)
Maupn Cisco Secure IDS Director (menggunakan perintah ip audit po remote).
Router(config)# ip audit po local hosted host-id orgid org-id
host-id nomor unik antara 1 sampai 65535 yang memberi identitas pada router bersangkutan.
org-id nomor unik antara 1 sampai 65535 yang memberi identitas pada organisasi/perusahaan di mana router dan Director berada.
Tahap 3: Mengeset parameter-parameter Post Office (B)
Kita juga perlu mengeset parameter-parameter Post Office untuk router dan Cisco Secure IDS Director (menggunakan perintah ip audit po remote).
Router(config)# ip audit po local hosted host-id orgid org-id
host-id Nomor unik antara 1 antara 65535 yang menberi identitas pada router bersangkutan.
org-id Nomor unik antara 1 antara 65535 yang menberi identitas pada organisasi di mana router dan Directori berada.
rmtaddress ip- IP address Directori.
Address
localaddress ip- IP address interface router.
Address
port-number nomor port UDP di mana Directori mendengarkan alarm (default-nya bernilai 45000).
preference-number prioritas relatif rute ke Director (default-nya 1). Jika lebih dari satu rute digunakan untuk mencapai Director yang sama, maka salah satunya harus menjadi rute primer (preference 1) dan rute lainnya menjadi rute sekunder (preference 2).
seconds nilai detik di mana Post Office akan menunggu sebelum ia menetapkan bahwa koneksi telah timeout (default-nya 5).
application-type tipe aplikasi, apakah director atau logger.
Gunakan logger jika kita mengirim notifikasi Post Office ke sebuah Sensor. Mengirim sebuah aplikasi logging berarti tidak ada alarm yang dikirim ke GUI, melainkan dikirim ke sebuah file flat yang kemudian dapat diproses dengan filter-filter seperti per1 dan awk atau ditangani database. Gunakan logger hanya dimana kita ingin alarm-alarm di-log saja dan tidak ditampilkan.
Tahap 4: Menampilkan pesan-pesan syslog
Langkah-langkah ini menampilkan pesan-pesan syslog pada console router jika kita ingin mengirim alarm-alarm ke console syslog.
Router(config)# logging console info
Tahap 5: Keluarlah dari global Ccnfigurasion mode
Router(config)# exit
Tahap 6: Menyimpan konfigurasi
Pastikan kita menyimpan konfigurasi ke memori router.
Router# write memory
Tahap 7: Me-reload router
Pastikan juga untuk me-reload router shingga perubahan-perubahan memberi efek.
Router# reload
Setelah kita mengkonfigurasi router, tambahkan informasi Post Office router Cisco IOS IDS ke file /usr/nr/etc/hosts dan /usr/nr/etc/routes dalam Cisco Secure IDS Sensors dan Director-director yang berkomunikasi dengan router tersebut. Kita melakukan ini dengan bantuan tool nrConfigure dalam Cisco Secure IDS.
Mengkonfigurasi Rule-rule Audit
Untuk mengkonfigurasi rule-rule audit, ikuti tahapan perintah berikut (dari global configurasi mode):
Tahap 1: Mengeset aksi default
Pertama-tama, kita mengeset aksi-aksi default untuk info dan signature-signature serangan. Kita memiliki tiga aksiyang bisa dipilih: alarm, drop, dan reset. Nilai default-nya adalah alarm.
Router(config)# ip audit info {action [alarm] [drop] [reset]}
dan,
Router(config)# ip audit attack {action [alarm] [drop] [reset]}
Tahap 2: Membuat rule-rule audit
Aksi default-nya adalah alarm.
Router(config)# ip audit name audit-name {info | attack} [list standard-acl] [action [alarm] [drop] [reset] ]
audit-name adalah nama yang diterapkan kita untk rule audit, misalnya:
ip audit name nama-audit info
ip audit name nama-audit attack
Catatan
Gunakan nama yang sama pada saat kita menetapkan serangan dan info tipe signature.
Tahap 3: Menutup signature-signature individual.
Router(config)# ip audit signature signature-id {disable | list acl-list}
Menutup atau menonaktifkan signature-signature tidak dimasukkan dalam rule-rule audit karena ia merupakan perubahan konfigurasi global.
Untuk menghidupkan atau mengaktifkan kembali sebuah signature, gunakan:
Router(config)# no ip audit signature signature-id
Tahap 4: Masuk ke mode konfigurasi Interface
Router(config-if) # interface nomor-interface
Tahap 5: Mengaplikasikan sebuah rule audit
Untuk menerapkan sebuah rule audit pada sebuah interface, gunakan:
Router(config-if) # ip audit nama-audit {in | out}
Tahap 6: Keluar dari mode konfigurasi Interface
Router(config-if) # exit
Tahap 7: Menetapkan jaringan yang harus diproteksi
Tetapkan jaringan yang harus diproteksi oleh router. Di sini, ip_addr adalah nomor IP address untuk diproteksi.
Router(config) # ip audit po protected ip-addr [to ip_addr]
Tahap 8: Keluar dari global configurasion mode
Router(config) # exit
Memeriksa Konfigurasi
Untuk memeriksa apakah Cisco IOS Firewall IDS telah terkonfigurasi dengan tepat, gunakan perintah:
Show ip audit configuration
Outputnya akan seperti listing berikut:
Ids2611# show ip audit configuration
Event notification through syslog is enabled
Event notification through Net Director is enabled
Default action(s) for info signatures is alarm
Default action(s) for attack signatures is alarm drop reset
Default threshold of recipients for spam signature is 25
PostOffice:HostID:55 OrgID:123 Msg dropped:0
:Curr Event Buf Size:100 Configured:100
HID:14 OID:123 S:1 A:2 H:82 HA:49 DA:0 R:0 Q:0
ID:1 Dest:10.1.1.23:45000 Loc:172.16.58.23:45000 T:5 S:ESTAB *
Audit Rule Configuration
Audit name AUDIT.1
info actions alarm
attack actions alarm drop reset
Selanjutnya kita juga bias memeriksa interface-interface yang memiliki rule-rule audit. Gunakan perintah:
show ip audit interface
Outputnya seperti berikut:
ids2611# show ip audit interface
Interface Configuration
Interface Ethernet0
Inbound IDS audit rule is AUDIT.1
info actions alarm
attack actions alarm drop reset
Outgoing IDS audit rule is not set
Interface Ethernet1
Inbound IDS audit rule is AUDIT.1
info actions alarm
attack actions alarm drop reset
Outgoing IDS audit rule is not set
Memonitor dan Merawat Cisco IOS Firewall IDS
Memonitor dan Merawat Cisco IOS Firewall IDS cukuplah mudah karena kita hanya mengeksekusi perintah-perintah sederhana dari mode konfigurasi EXEC.
Perintah Deskripsi
Router# clear ip audit configuration Menonaktifkan Cisco IOS Firewall Ids, menghapus semua entri konfigurasi deteksi intrusi, dan merilis resource-resource dinamis.
Router# clear ip audit statistics Me-reset beragam statistic paket-paket yang teranalisis dan alarm-alarm yang terkirim.
Router# show ip audit statistics Menampilkan jumlah paket-paket yang teraudit dan jumlah alarm yang terkitim, beserta informasi-informasi lainnya.
Listing berikut memperlihatkan contoh output perintah show ip audit statistics.
Signature audit statistics [process switch:fast switch]
signature 2000 packets audited: [0:2]
signature 2001 packets audited: [9:9]
signature 2004 packets audited: [0:2]
signature 3151 packets audited: [0:12]
Interfaces configured for audit 2
Session creations since subsystem startup or last reset 11
Current session counts (estab/half-open/terminating) [0:0:0]
Maxever session counts (estab/half-open/terminating) [0:0:0]
Last session created 19:18:27
Last statistic reset never
HID: 1000 OID:100 S:218 A:3 H:14085 HA:7114 DA:0 R:0
