FEBRIANA DYAH KUSUMA | 2110141018 | PRAKTIKUM KEAMANAN DATA

A. DASAR TEORI

IDS (Intrusion Detection System) adalah sebuah sistem yang melakukan pengawasan
terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang Mencurigakan
didalam sebuah sistem jaringan. Jika ditemukan kegiatankegiatan yang mencurigakan
berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem
atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak
normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol)
sumber dari usaha pengaksesan jaringan.
IDS sendiri muncul dengan beberapa jenis dan pendekatan yang berbeda yang intinya
berfungsi untuk mendeteksi traffic yang mencurigakan didalam sebuah jaringan. Beberapa jenis
IDS adalah : yang berbasis jaringan (NIDS) dan berbasis host (HIDS). Ada IDS yang bekerja
dengan cara mendeteksi berdasarkan pada pencarian ciri-ciri khusus dari percobaan yang sering
dilakukan. Cara ini hampir sama dengan cara kerja perangkat lunak antivirus dalam mendeteksi
dan melindungi sistem terhadap ancaman. Kemudian ada juga IDS yang bekerja dengan cara
mendeteksi berdasarkan pada pembandingan pola traffic normal yang ada dan kemudian
mencari ketidaknormalan traffic yang ada. Ada IDS yang fungsinya hanya sebagai pengawas dan
pemberi peringatan ketika terjadi serangan dan ada juga IDS yang bekerja tidak hanya sebagai
pengawas dan pemberi peringatan melainkan juga dapat melakukan sebuah kegiatan yang
merespon adanya percobaan serangan terhadap sistem jaringan dan komputer.

1. Jenis-jenis IDS

 NIDS (Network Intrusion Detection System)

IDS jenis ini ditempatkan disebuah tempat/ titik yang strategis atau sebuah titik didalam
sebuah jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan berasal
dari semua alat-alat (devices) dalam jaringan. Idealnya semua traffic yang berasal dari
luar dan dalam jaringan di lakukan di scan, namun cara ini dapat menyebabkan
bottleneck yang mengganggu kecepatan akses di seluruh jaringan.

 HIDS (Host Intrusion Detection System)

IDS jenis ini berjalan pada host yang berdiri sendiri atau perlengkapan dalam sebuah
jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari
dalam maupun dari luar hanya pada satu alat saja dan kemudian memberi peringatan
kepada user atau administrator sistem jaringan akan adanya kegiatan-kegiatan
mencurigakan yang terdeteksi oleh HIDS.
 Signature Based

IDS yang berbasis pada signature akan melakukan pengawasan terhadap paket-paket
dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan
basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimiliki oleh
percobaan serangan yang pernah diketahui. Cara ini hampir sama dengan cara kerja
aplikasi antivirus dalam melakukan deteksi terhadap malware. Intinya adalah akan
terjadi keterlambatan antara terdeteksinya sebuah serangan di internet dengan
signature yang digunakan untuk melakukan deteksi yang diimplementasikan didalam
basis data IDS yang digunakan. Jadi bisa saja basis data signature yang digunakan dalam
sistem IDS ini tidak mampu mendeteksi adanya sebuah percobaan serangan terhadap
jaringan karena informasi jenis serangan ini tidak terdapat dalam basis data signature
sistem IDS ini. Selama waktu keterlambatan tersebut, sistem IDS tidak dapat mendeteksi
adanya jenis serangan baru.

 Anomaly Based

IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic
yang terjadi dengan rata-rata traffic yang ada (stabil).Sistem akan melakukan identifikasi
apa yang dimaksud dengan jaringan “normal” dalam jaringan tersebut, berapa banyak
bandwidth yang biasanya digunakan di jaringan tersebut, protolkol apa yang digunakan,
port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain
didalam jaringan tersebut, dan memberi peringatan kepada administrator ketika
dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada.

a. Passive IDS

IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic
yang mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan
membangkitkan sistem pemberi peringatan yang dimiliki dan dikirimkan ke
administrator atau user. Selanjutnya terserah administrator, tindakan apa yang akan
dilakukan terhadap hasil laporan IDS.

b. Reactive IDS

IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan
membahayakan kemudian memberi peringatan kepada administrator tetapi juga
mengambil tindakan proaktif untuk merespon terhadap serangan yang ada. Biasanya
dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP
sumber atau user jika alamat IP sumber atau user tersebut mencoba melakukan
serangan lagi terhadap sistem jaringan di waktu selanjutnya.
2. Implementasi IDS

Salah satu contoh penerapan IDS di dunia nyata adalah dengan menerapkan sistem IDS
yang bersifat open source dan gratis. Contohnya SNORT. Aplikasi Snort tersedia dalam
beberapa macam platform dan sistem operasi termasuk Linux dan Window$. Snort
memiliki banyak pemakai di jaringan karena selain gratis, Snort juga dilengkapi dengan
support system di internet sehingga dapat dilakukan updating signature terhadap Snort
yang ada sehingga dapat melakukan deteksi terhadap jenis serangan terbaru di internet.
IDS tidak dapat bekerja sendiri jika digunakan untuk mengamankan sebuah jaringan.
IDS harus digunakan bersama-sama dengan firewall. Ada garis batas yang tegas antara
firewall dan IDS. Juga ada teknologi yang disebut dengan IPS (Intrusion Prevention System).
IPS pada dasarnya adalah sebuah firewall yang dikombinasikan dengan level jaringan dan
level aplikasi dengan sebuah reactive IDS untuk melindungi jaringan secara pro aktif. Pada
dasarnya, firewall adalah titik pertama dalam garis pertahanan sebuah sistem jaringan
komputer. Seharusnya firewall diatur agar melakukan penolakan (DENY) terhadap semua
traffic yang masuk kedalam sistem dan kemudian membuka lubanglubang yang perlu saja.
Jadi tidak semua lubang dibuka ketika sistem melakukan hubungan ke jaringan luar.
Idealnya firewall diatur dengan konfigurasi seperti diatas. Beberapa port yang harus dibuka
untuk melakukan hubungan keluar adalah port 80 untuk mengakses internet atau port 21
untuk FTP file server. Tiap-tiap port ini mungkin penting untuk tetap dibuka tetapi lubang-
lubang ini juga merupakan potensi kelemahan atas terjadinya serangan yang akan masuk
kedalam jaringan. Firewall tidak dapat melakukan pemblokiran terhadap jenis serangan ini
karena administrator sistem telah melakukan konfigurasi terhadap firewall untuk membuka
kedua port tersebut. Untuk tetap dapat memantau traffic yang terjadi di kedua port yang
terbuka tersebut dibutuhkan sebuah sistem yang dapat melakukan deteksi terhadap traffic
 yang membahayakan dan berpotensi menjadi sebuah serangan. Disinilah fungsi IDS
dibutuhkan. Dapat saja digunakan / diimplementasikan sebuah NIDS melalui seluruh
jaringan atau sebuah HIDS pada alat-alat tertentu yang dirasa berpotensi terhadap
serangan. IDS akan me-monitor traffic yang masuk dan keluar jaringan dan mengidentifikasi
trafic yang mencurigakan dan membahayakan yang mungkin saja dapat melewati firewall
atau dapat saja berasal dari dalam jaringan. Jadi IDS tidak hanya mendeteksi serangan dari
luar tetapi juga potensi serangan dari dalam jaringan sendiri.
IDS dapat saja menjadi sebuah alat yang hebat untuk melakukan pengawasan secara pro
aktif dan melakukan perlindungan jaringan dari kegiatan-kegiatan yang membahayakan,
bagaimanapun juga IDS cenderung dapat memberikan peringatan yang salah. Intinya tidak
ada sistem yang sempurna untuk mengamankan sebuah jaringan komputer. Ketika
menggunakan IDS maka sistem administrasi harus sering melakukan tune-up terhadap
sistem IDS yang di implementasikan. IDS juga harus di konfigurasi secara tepat untuk
mampu mendeteksi apa itu trafic yang normal dalam jaringan dan apa itu traffic yang
membahayakan. Untuk mendefinisikan hal tersebut diatas diperlukan seorang
administrator sistem yang mampu memberikan respon terhadap sistem pemberi
peringatan IDS. Dibutuhkan pengertian apa arti peringatan tersebut dan bagaimana
mengefektifkan respon tersebut.
Idealnya IDS ditempatkan bersama-sama dengan firewall dan di tiap titik yang
berpotensi untuk mendapat serangan. Seperti diletakkan di server utama dari sebuah
sistem jaringan yang berhubungan langsung dengan jaringan luar. Selain di server utama
IDS dapat juga diletakkan di Gateway yang merupakan penghubung antara jaringan internal
dengan internet. IDS sendiri berbeda dengan firewall. Jika IDS bekerja hanya sebagai
pendeteksi dan pemberi peringatan dini terhadap kondisi jaringan yang berpotensi
merusak sistem jaringan maka firewall bekerja untuk mencari tahu ada tidaknya gangguan
kemudian menghentikan gangguan tersebut sebelum benar-benar masuk kedalam sistem
jaringan. Firewall juga membatasi akses antara jaringan dengan tujuan untuk mencegah
terjadinya gangguan tetapi tidak memberi tanda akan adanya serangan yang berasal dari
dalam jaringan itu sendiri. IDS mengevaluasi gangguan yang mencurigakan ketika kegiatan
tersebut terjadi dan langsung memberikan peringatan. IDS juga mengawasi serangan yang
berasal dari dalam sistem jaringan tersebut. Sehingga dalam implementasinya IDS dan
Firewall selalu digunakan bersama-sama sebagai sistem pengamanan jaringan dan
komputer.

3. TRIPWIRE

Tripwire merupakan salah satu program IDS yang masuk kedalam jenis host base.
Untuk memonitoring semua sistem yang ada di server cukuplah sulit untuk dilakukan. Hal
itu disebabkan banyaknya file yang dikelola dan tidak mungkin dilakukan pengecekan satu-
per-satu. Oleh karena itu diperlukannya tripwire untuk melakukan auditing file di server.
Logika yang dilakukan suatu program tripwire adalah dengan membuat suatu baseline
database yang ada pada sistem. Dimana apabila suatu file berubah maka tripwire akan
mencatat dan memberitahukan perubahan tersebut kepada admin.
Program tripwire berfungsi untuk menjaga integritas file sistem dan direktori, dengan
mencatat setiap perubahan yang terjadi pada file atau direktori. Konfigurasi tripwire
meliputi pelaporan melalui email apabila menemukan perubahan file yang tidak
semestinya dan secara otomatis melakukan pemeriksaan file. Tripwire mampu
mempermudah pekerjaan yang dilakukan oleh admin dalam mengamankan suatu sistem
yang begitu banyak. Beberapa hal yang mampu dilakukan oleh tripwire antara lain file
integrity cheking, tripwire mampu mendeteksi perubahan file, serta tripwire melakukan
perbandingan antara database file sebelum pengecekan dengan database file setelah
pengecekan. Hal yang tidak dapat dilakukan oleh tripwire antara lain, tripwire tidak dapat
menghalangi perubahan file / sistem; tripwire bukan merupakan suatu antivirus; program
tripware mampu dimanipulasi; serta false positif karena salah setting pada file policy, file
konfigurasi, atau tidak update database.
Secara garis besar cara kerja dari tripwire adalah melakukan perbandingan file dan
direktori yang ada dengan database sistem. Perbandingan tersebut meliputi perubahan
tanggal, ukuran file, penghapusan, perubahan isi file serta lain sebagainya. Setelah tripwire
dijalankan, secara otomatis akan melakukan pembuatan database sistem. Setelah itu secara
periodik akan melaporkan setiap perubahan pada file dan direktori kepada admin.
Percobaan dengan menggunakan program tripwire diperlukan suatu web server sederhana
guna untuk melakukan monitoring dan mencatat semua kegitan yang terjadi pada suatu
web server tersebut.
Dalam direktori tripwire itu sendiri terdapat dua file yang perlu dikonfigurasi,
konfigurasi file yang terdapat pada “/etc/tripwire/twcfg.txt” konfigurasi file policy
“/etc/tripwire/twpol.txt” untuk menjalankan hasil yang telah dikonfigurasi terdapat pada
file “/etc/tripwire/twinstall.sh”. Langkah selanjutnya inisialisasi tripwire dengan meng-
generate database, menjalankan tripwire guna untuk melakukan pengecekan integrity,
melakukan pengecekan pada tripwire yang terdapat pada print report, melakukan update
policy file. Setelah penyetingan selesai tripwire akan melakukan pengecekan terhadap
integrity file, dan kejanggalan dari file tersebut dapat dilaporkan dengan mengirimkan
laporan / pesan ke email.

Konfigurasi Tripwire

1. Masukkan instruksi : apt-get install tripwire

2. Membuat kunci site key dan local key yang akan digunakan ketika masuk ke database,
mengkonfigurasi file, dan policy file :
 twadmin –generate-keys –site-keyfile ./site.key
twadmin –create-cfgfile –cfgfile ./tw.cfg –site-keyfile ./site.key twcfg.txt
3. Melakukan editing configuration file yang dapat dilihat
pada /nano/etc/tripwire/twcfg.txt, kemudian mengupdate file tersebut kedalam tw.cfg :
twadmin –create-cfgfile –cfgfile ./tw.cfg –site-keyfile ./site.key twcfg.txt
4. Melakukan editing policy file yang terdapat pada /nano/etc/tripwire/twpol.txt lalu
mengupdate policy file tw.pol :
twadmin–create-polfilecfgfile tw.cfg –site-keyfile site.key twpol.txt
5. Inisialisasi tripwire guna untuk meng-generate database : tripwire –init
6. Memasukkan password local key passphrase, dan tunggu hingga generate database
sukses
7. Melakukan pengecekan tripwire yang terdapat pada report :
twprint–mr–twrfile /var/lib/tripwire/report/<name_file>.twr
8. Dimana <name_file> sesuai dengan file yang terdapat pada komputer, untuk melakukan
pengecekan : ls /var/lib/tripwire/report
9. Update database : tripwire-updatetwrfile/var/lib/tripwire/report/<name_file>.twr
Tripwire akan menampilkan berupa editor line
10. Update policy file yang baru, sesuai dengan kebutuhan. Pengecekan tripwire akan
berjalan hanya pada file /var/www, jadi membuat policy file baru
nano/etc/tripwire/twpol.txt.new
11. Perbaharui policy file tw.pol :
“# twadmin -create-polfile-S site.key /etc/tripwire/twpol.txt.new”
12. Inisialisasi ulang guna untuk meng-generate database : tripwire –init
13. Menjalankan kembali tripwire : tripwire –check
14. Melakukan penegecekan report tripwire :
twprint–m r -twrfile/var/lib/tripwire/report/<name_file>.twr
15. Melihat informasi database tripwire : twprint -m d --print-dbfile /var/www
16. Melakukan tes email : tripwire –test –email nfhata@gmail.com

B. PERCOBAAN

1. Proses Installasi
- Login sebagai root
- Lakukan sinkronisasi terkini index paket software lokal dengan repository :
# apt-get update
- Lakukan installasi tripwire dengan perintah : # apt-get install tripwire
Lalu akan muncul dialog seperti dibawah. Perhatikan pesan yang muncul pada
setiap dialog, lalu jawab dengan “Yes”.
- Masukkan site -key passphrase dan local -key passphrase. Password tersebut akan
digunakan sebagai autentikasi ketika akan menjalankan perintah tripwire.

Masukkan site-key passphrase

Ulangi site-key passphrase sebelumnya

Site-key digunakan untuk melindungi file–file yang akan digunakan melewati beberapa
system. Ini termasuk file policy dan konfigurasi.

Masukkan local-key passphrase

Ulangi local-key passprhrase sebelumnya

Local-key digunakan untuk melindungi file khusus pada local machine, seperti
database tripwire. Local key juga digunkan untuk laporan pengecekan integritas.

- Kemudian akan mucul dialog bahwa trip wire telah terinstal. Perhatikan pesan pada
dialog tersebut.
 - Ubah mode dari 2 buah file tripwire, yaitu tw.cfg dan tw.pol, dengan cara masuk pada
direktori /etc/tripwire : # cd /etc/tripwire
Lalu lakukan : # chmod 0600 tw.cfg tw.pol

Perintah chmod akan merubah hak akses dari file tersebut terhadap user tertentu.

2. Inisialisasi Database

Selanjutnya kita akan menginisialisasi database yang digunakan tripwire untuk

memvalidasi sistem. Ini menggunakan file policy dan nantinya akan mencocokkan point-
point yang memiliki kesamaan spesifikasi ada di dalamnnya.
Karena file ini belum disesuaikan dengan sistem, kita akan memiliki banyak warning,
positif false, dan error. Hal ini akan kita gunakan sebagai referensi untuk mengkonfigurasi
file.
Berikut adalah perintah yang digunakan untuk menjalankan inisialisasi database :
# tripwire --init
Atau dengan perintah berikut :
#tripwire --init --cfgfile /etc/tripwire/tw.cfg \ --polfile /etc/tripwire/tw.pol –site keyfile
/etc/tripwire/site.key \ --local-keyfile /etc/tripwire/HOSTNAME-local.key

HOSTNAME adalah nama host komputer anda. Langkah ini mungkin membutuhkan
waktu yang cukup lama.
 Dapat terlihat bahwa terjadi error ketika inisialisasi database dilakukan, hal ini karena
struktur database pada sistem dan tripwire memiliki perbedaan. Perbedaan tersebut
menyebabkan terjadi directory-directory yang tidak dikenali ketika proses inisialisasi
dilakukan sehingga terjadi error.

3. Melakukan modifikasi pada file ‘Policy’ untuk menyesuaikan dengan sistem

File Policy merupakan otak dari tripwire. Konfigurasi ini akan menspesifikan apa yang
harus dilihat, untuk apa dilihat dan apa yang harus kita lakukan. Tripwire mempunyai
default policy dan jika diperlukan dapat diubah. Kita juga harus bisa memilah-milah file
mana saja yang harus dimonitor dan apa saja yang tidak boleh berubah sehingga akan
memudahkan untuk mengetahui adanya indikasi jika ada penyusupan sistem. Hal ini
sangat penting karena jika kita salah mendefinisikan terlalu strict ataupun terlalu longgar,
dapat terjadi false positive alarm atau menjadi ada intruder yang tidak terdeteksi.

Setelah proses instalasi dan proses inisialisasi database, lakukan langkah-langkah berikut
untuk mengkonfigurasi file agar sesuai dengan sistem :
- Modifikasi file twpol.txt. Perhatikan setiap baris pada file tersebut. Lalu enkripsi file
tersebut.

Buka file twpol.txt dalam editor dengan hak akses sebagai root, seperti berikut :
# nano /etc/tripwire/twpol.txt
Cari pada bagian “Boot Scripsts”. Lalu berikan command (#) pada /etc/rc.boot karena
tidak tersedia dalam sistem ubuntu.

Dalam direktori /root home terdapat banyak file yang perlu di tambahkan comment (#)
untuk di hilangkan dari sistem. Apapun yang tidak hadir dalam sistem perlu untuk di
comment (#), seperti berikut :

Pada pengecekan terakhir, ada yang perlu di-complaine pada file descriptors dalam
/proc filesystems. File-file ini akan berubah-ubah setiap waktu sehingga memicu false
positive jika tidak dikonfigurasi.
Pada bagian "Devices & Kernel information", terdapat /proc filesystem yang akan dicek.
Dan nantinya ini akan mengecek semua file dibawahnya. Namun saya tidak
menginginkannya sehingga akan saya hapus spesifikasinya dengan menambahkan
comment (#).
Kalian juga dapat menambahkan opsi konfigurasi untuk semua direktori di bawah /proc
jika ingin dilakukan pengecekan juga.
Selanjutnya, saya juga ingin menambahkan comment (#) pada /var/run dan /var/lock
sehingga sistem tidak akan melakukan perubahan flag filesistem normal melalui service.

Simpan dan tutup file tersebut ketika selesai mengkonfigurasi.

Percobaan 4 : Melakukan Update file “Policy”

Apabila ada perubahan pada file twpol.txt, misalnya kita akan menambahkan atau
mengurangi folder yang akan dimonitor maka kita harus melakukan update.
Disini kita mengimplementasikan pembuatan file policy yang tersenkripsi, dengan
menuliskan perintah berikut :
# sudo twadmin -m P /etc/tripwire/twpol.txt

Atau dengan menggunakan perintah berikut :

# tripwire –update-policy –cfgfile ./tw.cfg –polfile ./tw.pol –site-keyfile ./site.key –local-

keyfile ./HOSTNAME-local.key ./twpol.txt

Percobaan 5 : Melakukan Update Database

Setelah file policy yang terenkripsi dibuat, lakukan inisialisasi ulang database untuk
mengimplementasikan file policy kita : # tripwire --init
 Semua warning yang diterima sebelumnya, seharusnya sudah tidak ada. Jika masih ada
peringatan, maka harus melakukan konfigurasi file /etc/tripwire/twpol.txt hingga tidak
terdapat warning lagi.

Percobaan 6 : Melakukan Verifikasi Konfigurasi

Jika inisialisasi database tidak mengalami komplain mengenai beberapa file, maka
konfigurasi telah sesuai dengan sistem yang digunakan. Tapi kita tetap harus melakukan
pengecekan untuk memastikan bahwa laporan tripwire tidak ada kesalahan.
- Lakukan perintah berikut untuk melakukan pengecekan : # tripwire –check

Hasil pengecekan diatas melaporkan bahwa tidak terdapat error sistem atas hasil
konfigurasi yang telah dilakukan sebelumnya dan terdapat beberapa file dan direktori
yang telah mengalami modifikasi.

C. TUGAS PERCOBAAN

1. Jalankan perintah : # tripwire –check

Catat dan analisa hasilnya.
 Hasil pengecekan diatas merupakan hasil yang dilaporkan tripwire dari aktivitas yang
terjadi pada sistem selama percobaan sebelumnya dilakukan. Dalam laporan tersebut,
dilaporkan bahwa tidak terdapat error yang menandakan bahwa konfigurasi yang
dilakukan pada percobaan sebelumnya telah sesuai dengan sistem yang dipakai tersebut.
Selain itu, dilaporkan juga bahwa sistem telah mengalami modifikasi pada direktori /etc,
file resolv.conv, direktori /etc/tripwire, dan file twpol.txt yang berada dalam direktori
/etc/tripwire.

2. Kerjakan langkah-langkah dibawah dan analisa setiap langkahnya

a. Ubah file policy twpol.txt :
# nano /etc/tripwire/twpol.txt
b. Tambahkan di baris paling bawah :
 Email akan dikirimkan ke akun email dari root dari system yang anda monitor. Biasanya,
email akan ditujukan kea kun user yang dapat bertindak sebagai root.

c. Lakukan enkripsi terhadap file anda

# cd /etc/tripwire
# twadmin --create-polfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twpol.txt

d. Ubah file konfigurasi untuk memasukkan informasi smtp :

# nano /etc/tripwire/twcfg.txt
 e. Lakukan enkripsi terhadap file tersebut
# cd /etc/tripwire
# twadmin --create-cfgfile --cfgfile ./tw.cfg --site-keyfile ./site.key ./twcfg.txt

f. Jalankan test dengan menggunakan perintah :

# tripwire –test –email root@localhost

g. Check email di akun user anda

$ mail

Untuk pengecekan email di akun user, dilakukan diluar root sehingga user harus exit
terlebih dahulu dari home /root sistem.
Pada output diatas, terdapat satu pesan masuk dari sistem tripwire sebagai tanda
adanya aktivitas yang terjadi pada sistem.

3. Buat sebuah file kosong . Kemudian salinlah ke dalam direktori /bin

# touch newfile.sh
# cp newfile.sh /root

Untuk membuat file newfile.sh, terlebih dahulu pastikan bahwa akses kita sebagai root.
 Perintah # ls diatas digunakan untuk melihat bahwa file newfile.sh telah berada di dalam
direktori yang dimaksud.

4. Lakukan cek konsistensi dengan menjalankan perintah :

# tripwire –check

Hasilnya menunjukan bahwa ada beberapa file yang diubah dan penambahan file yang
terjadi, terlihat bahwa proses pengopian file newfile.sh masuk kedalam laporan pada
aplikasi tripwire.

5. Bandingkan hasil dari perintah pada soal nomor 1 dan nomor 4 !

Jawab :
Terdapat perubahan berupa penambahan file newfile.sh dalam direktori /root, membuat
report tripwire mengalami perubahan juga. Awalnya hanya file report modified
/etc/tripwire/tw.cfg, setelah penambahan file newfile.sh terdapat file report baru Added
bernama /root/newfile.sh dan Modified pada direktori /root dan /root/.nano_history. Hal
ini menandakan bahwa tripwire melakukan tugasnya sebagai software integrity checker.
Adanya perubahan sesuai dengan perubahan yang kita lakukan, baik penambahan
maupun modifikasi data serta konfigurasi lainnya. Diantaranya :
 –Penambahan file newfile.sh, dimana dalam report nomor 1 tidak ada dan pada nomor 4
ada
–Report kedua terdapat Modifikasi pada direktori /root
–Report kedua terdapat Modifikasi pada file /root/.nano_history
–Terdapat penambahan data pada folder /root dengan nama file newfile.sh pada rule
root config files.

D. LATIHAN

1. Berikan kesimpulan dari hasil praktikum anda diatas !

Jawab :
- Pada awal penginstalan tripwire, harus membuat database yang berguna menyimpan
informasi awal terkait berkas-berkas atau direktori yang ingin kita amati
beserta“signature” dari berkas tersebut.
- Tripwire adalah salah satu utilitas yang digunakan untuk menghindari adanya backdoor.
 - Daftar file atau direktori yang akan diperiksa Tripwire terdapat dalam file konfigurasi
Tripwire yang default-nya bernama tw.config.
- Semua informasi perubahan akan disimpan disebuah database, kemudian dilakukan
permbandingan antara database sebelum adanya perubahan dan setelah adanya
perubahan.

2. Berdasarkan percobaan yang anda lakukan, jelaskan cara kerja tripwire dalam melakukan
integrity checker ?
Jawab :
Dalam melakukan monitoring, tripwire melakukan maintaining checklist, comparison
copies, checksum record atau backup tapes. Metode yang dilakukan dalam melakukan
aktivitas tersebut terhadap semua hal yang terjadi pada sistem dengan menambahkan
integritas. Integritas yang ideal meliputi :
- Automasi dengan tingkat yang cukup tinggi
- Memberikan deskripsi yang sederhana terhadap attribute dari sistem file yang dimonitor
- Mudah untuk melakukan update database yang digunakan untuk mengontrol
monitoring.
- Melakukan check rutin secara otomatis.

3. Carilah referensi baik dari buku maupun Internet, aturan-aturan apa saja yang bisa
dideteksi oleh tripwire ?
Jawab :
Hal-hal yang bisa dicatat oleh tripwire diantaranya adalah Size, Access & Modification
Timestamps, Permissions, Inode number, dan Signature.