CeilBleu

alhamdulillah akhirnya ada waktu untuk berbagi lagi setelah tertunda-tunda sekitar 2 minggu.
sebenarnya lagi ngantuk berat karena semalaman install sentinel 6.0 sampai sekitar jam 2
dan harus bangun sahur jam setengah empat, akhirnya terkantuk-kantuklah sekarang.
eits..jangan salah dulu sentinel disini bukan sentinel lawanya scourage yang ada di game dotA allstar,
gak usah takut g akan ada monster yang muncul disini, gak akan ada istilah rikimaru,raigor,bounty hunter,dkk disini .
sentinel disini merupakan produk novell yang biasanya dipake oleh security-consultant untuk monitoring, manajemen dan mengamankan sebuah sistem.
ya.. sekali-sekalilah kita belajar untuk defense,lebih bagus lg kalo bisa nyari bug kmudian dijual .sudah banyak banget kan kalo kita nyari tutorial untuk attacking sebuah bug?.
tidak masalah saya rasa menjual sebuah bug (+solusinya) ke owner.bukankah dokter itu pekerjaan mulia??
dokter mendeteksi penyakit pasien kemudian menyembuhkan dan mendapat imbalan dr usahanya,
sama halnya dengan mereka yg mendeteksi bug kemudian mencari solusinya dan mendapat imbalan dr ownernya.
saya rasa mereka lebih terhormat drpd seorang yang mencari bug sebuah sistem kemudian
menyebarkan bug itu ke kalayak luas hingga si owner dipermalukan dan akhirnya resign dr organisasinya.
bukankah seperti itu sama halnya dengan menyebarkan aib seseorang?
ups.. its a little OOT ok back to topict.

sentinel:

sebuah security information management keluaran dari novell yang memonitor dan menerima informasi secara
real time dari beberapa source sekaligus, misalnya router,database,aplikasi,firewall,server unix,ids, main frame, dll.
cara kerja secara sederhananya adalah yang pertama, source akan mengirimkan log-nya ke collector.
collector akan membaca file log  dari source melalui s_RXBufferString perbaris.
dari data yang didapat kemudian akan dilakukan normalize, yaitu proses pemilahan log berdasarkan kriteria tertentu,
misalnya IP=10.14.133.210,user_name=”admin”,event_name=”port attack”,dst. kemudian data akan ditampilkan secara lengkap
pada active view novell sentinel control center dan secara paralel juga disimpan kedalam database pada report
server untuk keperluan dokumentasi.
sentinel melakukan penyimpanan secara paralel berbeda dengan tools information management lain, tool information management
lainya biasanya melakukan penyimpanan kedatabase sebelum di normalize, hal itu akan membuat kerja server xtra berat
disamping tidak bisa real time.

disamping kemampunya untuk view secara realtime paralel dengan penyimpanan data pada database, sentinel mempunyai kemampuan
untuk melakukan filtering dan action atas sebuah event yang terdeteksi.
apa itu filtering dan action?
filtering disini maksudnya adalah sentinel mampu menampilkan event sesuai dengan kriteria yang kta inginkan saja, misalnya
kita hanya ingin melihat event dengan severity diatas 4 atau event yang attack pada port tertentu.
sedangkan action disini maksudnya adalah sentinel mampu memeberikan respon atas event yang terjadi.
misalnya terdeteksi sebuah event attack pada port 22 pada salah satu server, kita dapat mengkonfigure apa yang harus dilakukan
jika event itu terjadi misalnya segera blok port 22->check ip address attacker->blok IP->check server lain yg terhubung dengan
sentinel,apakah ada serangan pada waktu yang sama?apakah IP attacker sama?server mana saja yg sudah berhasil dimasuki?->
kirim sms alert ke admin, dll.

sentinel mempunyai 2 metode untuk melakukan normalize yaitu melalui string manipulation seperti tokenize dan regex.

event:
merupakan sebuah istilah yang digunakan untuk menamai sebuah aksi yang direportkan pada sentinel.
terdapat dua jenis event;external event yaitu sebuah event yang diterima dari security device. yang kedua adalah internal
event yaitu event yang digenerate oleh sentinel sendiri.
sebagai contoh sebuah external event adalah event yang terjadi karena adanya detection attack oleh IDS. internal event
di generate oleh sentinel untuk mengindikasikan adanya perubahan pada sistem, misalnya collector menjadi stopped.