1.
Definisi Snort
Snort merupakan sebuah aplikasi ataupun software yang
bersifat opensource GNU General Public License [GNU89], sehingga boleh
digunakan dengan bebas secara gratis, dan kode sumber (source code) untuk Snort
juga bisa didapatkan dan dimodifikasi sendiri.
Snort dikembangkan oleh Marty Roesch, bisa dilihat pada (www.sourcefire.com). Awalnya dikembangkan
di akhir 1998-an sebagai sniffer dengan konsistensi output.
Snort adalah sebuah software ringkas yang sangat
berguna untuk mengamati aktivitas dalam suatu jaringan komputer. Snort dapat
digunakan sebagai suatu Network Intrusion Detection System (NIDS) yang berskala
ringan (lightweight), dan software ini menggunakan sistem peraturan-peraturan
(rules system) yang relatif mudah dipelajari untuk melakukan deteksi dan
pencatatan (logging) terhadap berbagai macam serangan terhadap jaringan
komputer.
Snort sendiri merupakan software yang masih berbasis
command-line, sehingga cukup merepotkan bagi pengguna yang sudah terbiasa dalam
lingkungan Graphical User Interface (GUI). Oleh karena itu, ada beberapa
software pihak ketiga yang memberikan GUI untuk Snort, misalnya IDScenter untuk
Microsoft Windows, dan Acid yang berbasis PHP sehingga bisa diakses melalui web
browser.
Dengan membuat berbagai rules untuk mendeteksi
ciri-ciri khas (signature) dari berbagai macam serangan, maka Snort dapat
mendeteksi dan melakukan logging terhadap serangan-serangan tersebut. Software
ini bersifat opensource berdasarkan GNU General Public License [GNU89],
sehingga boleh digunakan dengan bebas secara gratis, dan kode sumber (source code)
untuk Snort juga bisa didapatkan dan dimodifikasi sendiri bila perlu. Snort
pada awalnya dibuat untuk sistem operasi (operating system) berdasarkan Unix,
tetapi versi Windows juga sudah dibuat sehingga sekarang ini Snort bersifat
cross-platform. Snort dapat juga dijalankan di background sebagai sebuah daemon.
2.
Fitur Snort
ü Karena Snort
bersifat opensource, maka penggunaannya betul-betul gratis. Oleh karena itu,
Snort merupakan pilihan yang sangat baik sebagai NIDS ringan yang
cost-effective dalam suatu organisasi yang kecil . Dari sisi harga, jelas tidak
ada NIDS lain yang mampu mengalahkan Snort.
ü Penggunaan
Snotr sangat bebas sehingga dapat diterapkan dalam lingkungan apa saja. Kode
sumbernya pun bisa didapatkan sehingga Snort boleh secara bebas dimodifikasi
sendiri sesuai keperluan.
ü Snort
memiliki bahasa pembuatan rules yang relatif mudah dipelajari dan fleksibel.
Ini berarti bahwa pengguna dapat dengan mudah dan cepat membuat berbagai rules
baru untuk mendeteksi tipe-tipe serangan yang baru. Selain itu, berbagai rules
khusus dapat dibuat untuk segala macam situasi.
ü Snort sudah
memiliki sebuah database untuk berbagai macam rules, dan database ini secara
aktif terus dikembangkan oleh komunitas Snort sehingga tipe-tipe serangan yang baru
dapat dideteksi dan dicatat.
ü Jika
organisasi membutuhkan dukungan teknis untuk Snort yang profesional, maka ada
beberapa pihak komersial yang menawarkan dukungan untuk Snort, misalnya
SiliconDefense.Com.
ü Snort
merupakan software yang ringkas dan padat, sehingga tidak memakan banyak
resources tetapi cukup canggih dan fleksibel untuk digunakan sebagai salah satu
bagian dari NIDS yang terpadu (Integrated NIDS). Selain itu, karena Snort
bersifat lightweight, maka penerapannya juga mudah dan cepat.
ü Snort dapat
melakukan logging langsung ke sistem database, misalnya ke MySQL, PostGRE SQL,
dan MS SQL.
ü Snort
sebagai NIDS dapat menyembunyikan dirinya dalam jaringan komputer sehingga
keberadaannya tidak bisa terdeteksi oleh komputer mana pun. Ini disebut sebagai
stealth mode.
3.
Mode Pengoperasian
ü Sniffer Mode
Snort bertindak sebagai software sniffer yang dapat
melihat semua paket yang lewat dalam jaringan komputer di mana Snort
diletakkan. Fungsi snort dalam sniffer mode ini sama seperti yang ada di
software Iris. Dalam mode ini, berbagai paket hanya ditampilkan di layar
monitor secara real time.
Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh
perintah-nya terdapat di bawah ini:
#snort –v
#snort –vd
#snort –vde
#snort –v –d –e
dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket.
-e, untuk melihat header link layer paket seperti ethernet header.
#snort –v
#snort –vd
#snort –vde
#snort –v –d –e
dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket.
-e, untuk melihat header link layer paket seperti ethernet header.
ü Packet
Logger Mode
Dalam mode ini, selain melihat semua paket yang lewat dalam jaringan
komputer, Snort juga dapat mencatat atau melakukan logging terhadap berbagai
paket tersebut ke disk. Dengan kata lain, Snort membuat copy dari paket-paket
yang lewat dan menyimpan copy tersebut di disk sehingga pengguna Snort dapat
melakukan analisis terhadap lalu lintas jaringan atau untuk keperluan lainnya.
Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang
ada adalah:
./snort –dev –l ./log
./snort –dev –l ./log –h 192.168.0.0/24
./snort –dev –l ./log –b
./snort –dev –l ./log
./snort –dev –l ./log –h 192.168.0.0/24
./snort –dev –l ./log –b
Perintah yang paling penting untuk me-log paket yang lewat adalah -l ./log
yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log.
Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang
menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang
memberitahukan agar file yang di log dalam format binary, bukan ASCII.
Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di
tambahkan perintah –r nama file log-nya, seperti,
./snort –dv –r packet.log
./snort –dvr packet.log icmp
./snort –dv –r packet.log
./snort –dvr packet.log icmp
ü Network
Intrusion Detection Mode
Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup
(intrusion detection) di jaringan yang kita gunakan. Ciri khas mode operasi
untuk pendeteksi penyusup adaah dengan menambahkan perintah ke snort untuk
membaca file konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasi
ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh
snort.conf yang dibawa oleh source snort.
Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan
pendeteksian penyusup, seperti:
./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf
./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf
./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf
./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf
Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan
logging paket yang lewat dapat menggunakan perintah –l nama-file-logging, atau
membiarkan snort menggunakan default file logging-nya di directory
/var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai
dengan isi perintah snort.conf. Ada beberapa tambahan perintah yang akan
membuat proses deteksi menjadi lebih effisien.
Mekanisme pemberitahuan alert di Linux dapat di set dengan perintah –A
sebagai berikut,
-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full, mode alert dengan informasi lengkap.
-A unsock, mode alert ke unix socket.
-A none, mematikan mode alert.
-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full, mode alert dengan informasi lengkap.
-A unsock, mode alert ke unix socket.
-A none, mematikan mode alert.
Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s,
seperti tampak pada beberapa contoh di bawah ini.
./snort –c snort.conf –l ./log –s –h 192.168.0.0/24
./snort –c snort.conf –s –h 192.168.0.0/24
./snort –c snort.conf –l ./log –s –h 192.168.0.0/24
./snort –c snort.conf –s –h 192.168.0.0/24
Untuk mengirimkan alert binary ke workstation windows, dapat digunakan
perintah di bawah ini,
./snort –c snort.conf –b –M WORKSTATIONS
Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D
Atau
/usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D
dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).
./snort –c snort.conf –b –M WORKSTATIONS
Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort –d –h 192.168.0.0/24 –c /root/snort/snort.conf –A full –s –D
Atau
/usr/local/bin/snort –d –c /root/snort/snort.conf –A full –s –D
dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).
Tidak ada komentar:
Posting Komentar