Kusprayitna Blogs

Hidup untuk berbagi ilmu :: IT Linux Windows Database Oracle PHP OpenSource

Archive for the 'ossec' Category

Mengolah log server dalam cluster secara terpusat

Posted by kusprayitna on 4th July 2012

Salah satu kendalam dalam pembangunan cluster adalah menangani log server, baik itu log dari sistem operasinya maupun dari aplikasi tambahan seperti apache. Sistem operasiyang dipakai adalah Centos 5.8 32bit

Arsitektur sistem

Arsitektur diatas adalah sebuah cluster yang terdiri dari loadbalancing yang berfungsi untuk membagi beban web kepada portal1 dan portal2, Portal1 dan portal2 adalah server dengan aplikasi tambahan apache+php.

Pada kondisi default, maka server portal1 dan portal2 akan mengelola log secara sendiri-sendiri, dimana untuk kebutuhan tertentu seperti dalam analisa akses web diperlukan lognya digabungkan. Dengan melakukan analisa log satu-persatu di setiap server membawa akibat yang cukup menambah pekerjaan seperti harus login ke setiap server, menganalisa/membaca satu persatu atau dibutuhkan effort untuk menggabungkannya. Akan berbeda ceritanya apabila log dari portal1 dan portal2 digabungkan dan disimpan di server loadbalancing misalnya.

Permasalahan lain yang timbul jika log terpisahkan yaitu ketika dibutuhkan respon yang cepat, maka akan cukup menyulitkan.

Tujuan manajemen log terpusat

Dalam pengelolaan log terpusat ini ada beberapa tujuan, yaitu :

  1. Mempermudah membaca log, cukup satu saja untuk semuanya
  2. memanfaatkan log untuk active response dalam menangani keamanan

Metode yang digunakan

Ada dua metode yang digunakan, akan tetapi metode yang kedua yang berhasil berfungsi dengan baik

I. Metode Shared Log File

Dalam metode ini setiap server diseting agar menulis dalam file yang sama dan dalam storage yang sama, yaitu dengan cara :

a. Dalam server loadbalancing dijadikan NAS dengan NFS

b. Portal1 dan Portal2 disetup untuk "mount" NAS di folder /var/log/httpd

Hasilnya yaitu :

Read the rest of this entry »

Posted in Application, Centos, ossec, Others | No Comments »

Memonitor log server dengan OSSEC

Posted by kusprayitna on 6th July 2010

Setelah berhasil melaukan instalasi OSSEC, baik itu server ataupun agent, maka tahapan yang tidak kalah penting adalah melakukan monitoring lognya.

Pada saat selesai hanya beberapa atau default log yang dilakukan analisa.

1.  syschek

Melakukan cek semua kemungkinan yang ada di suatu folder.

  • frequency yaitu seberapa sering dilakukan pengecekan (dalam detik)
  • directories yaitu direktori yang dilakukan pengecekan
    Opsi tambahan yaitu :
    - check_all  : di cek semua kemungkinan
    - real-time  : dilaporkan secara real time
  • ignore yaitu file atau direktori yang diabakan dalam pengecekan

Read the rest of this entry »

Posted in ossec, security | No Comments »

Instalasi OSSEC-HIDS agent di linux

Posted by kusprayitna on 6th July 2010

Instalasi Ossec agent

Setelah memiliki ossec-hids server, maka tahapan selanjutnya adalah menginstall osec agent di server-server lain agar setiap server dapat mengirimkan informasi ke server ossec-hids.

Tahapan instalasi ossec agent yaitu:

  1. Download source code OSSEC, pilih aplikasi yang paling update/terakhir

    # wget http://www.ossec.net/files/ossec-hids-latest.tar.gz

  2. Ekstrak file

    # tar -xzf ossec-hids*

  3. Jalankan perintah install

    # cd ossec-hids*
    # ./install.sh

  4. Ikuti perintah proses instalasi

Read the rest of this entry »

Posted in ossec, security | 2 Comments »

Instalasi OSSEC HIDS - Host-Based Intrusion Detection System

Posted by kusprayitna on 16th June 2010

Instalasi Server OSSEC

Tahapan awal untuk memonitor aktifitas server dengan momonitor log yaitu dengan menginstal OSSEC HIDS. Adapun tahapan instalasinya yaitu :

  1. Download source code OSSEC, pilih aplikasi yang paling update/terakhir

    # wget http://www.ossec.net/files/ossec-hids-latest.tar.gz

  2. Ekstrak file

    # tar -xzf ossec-hids*

  3. Jalankan perintah install

    # cd ossec-hids*
    # ./install.sh Read the rest of this entry »

Posted in ossec | 2 Comments »

OSSEC HIDS, memonitor log server secara tersentral

Posted by kusprayitna on 16th June 2010

OSSEC HIDS adalah sebuah aplikasi opensource yang dapat digunakan untuk melalukan monitoring log server.

Log server merupakan komunikasi antara server dengan admin, baik itu log sistem maupun aplikasi. Apabila terjadi sesuatu di server, misalnya seseorang melakukan gagal login di server, maka server akan menulis di log siapa, dari mana, jam berapa dan aplikasi apa yang diakses.

Kelemahan sebagai admin terkait dengan log server ini adalah admin kesulitan mendengarkan atau menganalisa setiap log yang ada, dimana ini dapat berakibat fatal, misalnya saat terjadi hacking melalui brute force attack, server sudah memberi tahu terjadi attack akan tetapi admin tidak tahu.

OSSEC HIDS terdiri dari dua kategori, yaitu sebagai server dan sebagai agent.

Setiap agent akan mengirimkan log yang dimonitor ke server ossec, baik agent itu diinstall di OS Windows, Linux maupun yang lainnya.

Sedangkan OSSEC server berfungsi untuk menyimpan semua log dan melakukan analisa dan response secara aktif atas hasil analisa.

Sebagai default sudah cukup banyak log atau aktifitas yang di monitor, ini seperti dalam file rule di OSSEC sebagai berikut : Read the rest of this entry »

Posted in ossec | No Comments »