SNORT

TUJUAN PEMBELAJARAN

  1. Mengenalkan pada mahasiswa tentang konsep IDS di linux
  2. Mahasiswa memahami konsep IDS : Snort yang ada di linux
  3. Mahasiswa mampu melakukan konfigurasi dan analisa terhadap aplikasi snort

DASAR TEORI

Deteksi Penyusupan (Intrusion Detection) adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis. Program yang dipergunakan biasanya disebut sebagai Intrusion Detection System (IDS).

Tipe dasar dari IDS adalah:

  • Rule-based systems – berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan.
  • Adaptive systems – mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru.

Bentuk yang sering dipergunakan untuk komputer secara umum adalah rule-based systems.Pendekatan yang dipergunakan dalam rule-based systems ada dua, yakni pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah waktu saja. Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintas jaringan. Jika ditemukan paket yang mencurigakan, maka program akan melakukan tindakan yang perlu. Pendekatan reaksi, program pendeteksi penyusupan hanya mengamati file log. Jika ditemukan paket yang mencurigakan, program juga akan melakukan tindakan yang perlu.

Snort

Tiga (3) buah mode, yaitu

  1. Sniffer mode, untuk melihat paket yang lewat di jaringan.
  2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari.
  3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa

Sniffer Mode

Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh perintah-nya terdapat di bawah ini:

#snort –v

#snort –vd

#snort –vde

#snort –v –d –e

Dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu

-v, untuk melihat header TCP/IP paket yang lewat.

-d, untuk melihat isi paket.

-e, untuk melihat header link layer paket seperti ethernet header

Packet Logger Mode

Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama jika kita menggunakan ethernet berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian, sambil santai. Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah

./snort –dev –l ./log

./snort –dev –l ./log –h 192.168.0.0/24

./snort –dev –l ./log –b

perintah yang paling penting untuk me-log paket yang lewat adalah

-l ./log

yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII.

Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah -r nama file log-nya, seperti,

./snort –dv –r packet.log

./snort –dvr packet.log icmp

Intrusion Detection Mode

Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi penyusup adaah dengan menambahkan perintah ke snort untuk membaca file konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh snort.conf yang dibawa oleh source snort.

Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti

./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf

./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf

Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan perintah –l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi perintah snort.conf.

Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien, mekanisme pemberitahuan alert di Linux dapat di set dengan perintah –A sebagai berikut,

-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.

-A full, mode alert dengan informasi lengkap.

-A unsock, mode alert ke unix socket.

-A none, mematikan mode alert.

Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s, seperti tampak pada beberapa contoh di bawah ini.

./snort –c snort.conf –l ./log –s –h 192.168.0.0/24

./snort –c snort.conf –s –h 192.168.0.0/24

Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah di bawah ini,

./snort –c snort.conf –b –M WORKSTATIONS

Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini

/usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D

atau

/usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D

Dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).

PERCOBAAN

KONFIGURASI PADA SERVER

Ubah IP address pada computer server menjadi 192.168.56.101. Untuk mengetahui IP address dari computer jalankan perintah #ifconfig.

1

Karena computer server akan ditanamkan snort, maka lakukan instalasi aplikasi snort dengan mengetikkan perintah #apt-get install snort.

2

Selama proses instalasi, maka akan terdapat perintah untuk memasukkan range network yang akan digunakan. Isikan pada address range for the local network dengan jaringan 192.168.0.0/16

3

MENJALANKAN SNORT

Untuk melakukan uji coba pada snort, komputer client akan mengakses komputer server yang sebelumnya telah ditanamkan snort. Pada client ubah konfigurasi IP address sesuai dengan jaringan yang sama dengan yang dimiliki oleh server.

4

Pada komputer client, jalankan perintah #ping untuk mengirimkan paket yang nantinya akan dideteksi oleh snort yang terdapat pada komputer server.

5

Setelah paket dikirim, pada komputer server jalankan snort dengan menggunakan mode sniffer dengan menjalankan perintah berikut :

1. #snort –v. Perintah ini akan menghasilkan informasi TCP / IP paket header ketika dijalankan.

6

2. #snort –vd. Perintah ini hanya akan menampilkan IP dan TCP / UDP / ICMP header, dan tidak menampilkan informasi yang lain.

77a

3. #snort –vde. Perintah ini memberikan instruksi pada snort untuk menampilkan paket data dan juga informasi header.

8

4. #snort –v –d –e. Sama seperti perintah –vde, perintah ini akan menampilkan paket data dan juga informasi header. Bedanya setiap baris perintah yang dihasilkan dapat terdaftar secara terpisah atau dalam bentuk gabungan.

9

Untuk mempermudah pembacaan, masukkan hasil snort kedalam sebuah file dengan menjalankan perintah berikut #snort –dev –i eth0 –L /var/log/snort/snort.log. Perintah ini berjalan pada packet logging mode.

10

Setelah menjalankan perintah di atas, maka akan menghasilkan sebuah file baru yang terdapat pada direktori /var/log/snort dengan nama file snort.log. Untuk melihat file ketikkan perintah #ls

11

Untuk membaca file snort, ketikkan perintah #snort -dev -r /var/log/snort/.

12

MODE NIDS (Network Intrusion Detection System)

Untuk menjalankan snort menggunakan Mode NIDS, hilangkan opsi e dan v karena tidak memerlukan informasi link layer MAC. Jalakan menggunakan perintah #snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort/snort.conf. Perintah ini berjalan pada IDS mode.

13

Lakukan uji coba dengan menjalankan scanning dari komputer Client menuju komputer yang menggunakan snort (PC Server) dengan perintah nmap. Terlebih dulu jalankan snort dengan menggunakan mode NIDS. Lakukan scanning dengan menggunakan perintah :

#snort -d -h 192.168.1.0/24 host -l /var/log/snort –c /etc/snort/snort.conf

#nmap -sS -v

14

Jika proses scanning terekam oleh snort, maka copy-kan hasil snort yang terdapat pada bagian scanning SYN. Dan untuk melihat, gunakan perintah #snort –dev –r | more.

16

Buat rule baru untuk snort dengan nama alltcp.rules dan letakkan file tersebut pada direktori /etc/snort/rules. Untuk menambahkan rule pada snort ketikkan perintah berikut:

17

Dimana pada baris any any () diisi host port, dan sid harus bernilai lebih dari 1 juta dan juga rev dimulai dari angka 0.

18

Jalankan perintah #/etc/init.d/snort restart untuk merestart kompoter dan menyimpan semua perubahan konfigurasi yang telah dilakukan.

19

Tinggalkan komentar