Snort merupakan intrusion detection system (IDS) yang banyak digunakan untuk mendeteksi serangan jaringan. Snort memiliki tiga mode operasi yaitu sniffer, packet logger, dan intrusion detection. Laporan ini menjelaskan cara menginstal dan mengkonfigurasi Snort pada ketiga mode tersebut menggunakan MikroTik RouterBoard dan tiga interface jaringan.
1. LaporanPratikum
1
PratikumKeamanan Data
Intrusion Detection System
MenggunakanSnort
Keamananjaringanmenjadifokuspentingdalammelindungiseranganterhadapinformasiatauaset yang
berhargabagisebuahorganisasi. Salah satumetodepengamanan yang
baikadalahmembangunsistempendeteksipenyusupan.
Intrusion Detection System berfungsimelakukanpengamatan (monitoring) kegiatan-kegiatan yang
tidaklazimpadajaringan, sehinggalangkahawaldari para penyerangdapatdiketahui. Dengandemikian
administrator jaringanbisamelakukantindakanpencegahandanbersiapataskemungkinan yang
akanterjadikemudian. Ada beberapaalasanuntukmenggunakan IDS, diantaranyaadalah :
Mendeteksiserangandanpelanggarankeamanansistemjaringan yang tidakbisadicegaholeh
firewall, danjuga
Mencegahresikokeamanan yang terusmeningkat agar serangantidakterulangkembali.
Untukmembangun IDS tentuadabanyakhal yang perludipertimbangkanentahdenganbiaya yang
mahaldenganmemanfaatkanbeberapa device yang memilikimodul IDS, adapula yang
tanpabiayadenganmemanfaatkansebuah open source yang telahada. Melihatadasesuatu yang
dapatdibangundengan gratis tentulahbanyaksekali orang yang memanfaatkannya,
karenacukupmudahmemanfaatkan tools tersebut. Tools umum yang banyaksekalidigunakanadalah
Snort IDS.
Dalampengoperasiannya, Snort memiliki 3 mode yaitu:
1. Sniffer mode,untukmelihatpaket yang lewat di jaringan.
2. Packet logger mode,untukmencatatsemuapaket yang lewat di jaringanuntuk di analisa di
kemudianhari.
3. Intrusion Detection mode,pada mode ini snort akanberfungsiuntukmendeteksiserangan
yang dilakukanmelaluijaringankomputer. Untukmenggunakan mode IDS ini di perlukan setup
dariberbagai rules / aturan yang akanmembedakansebuahpaket normal denganpaket yang
membawaserangan.
Snort Setup
Padapembahasan kali inidigunakanMikroTikRouterBoard 1100.
Padapembahasaninidigunakan 3 NIC dengan detail penggunaansebagaiberikut:
eth1dengan 10.252.108.14, IP address yang berasaldari EEPIS server (dalamhalini, IP address
inidianggap IP publik), didapatdari DHCP EEPIS Server .
eth3dengan 192.168.1.1 private IP address, jaringanprivatdigunakanuntuk client.
eth4dengan master port eth3 sehinggamenggunakan private IP address.
2. LaporanPratikum
2
PratikumKeamanan Data
Berikutpenggambaranskemapadapembahasan:
Setelahkonfigurasi router danclientsudahdibuat,
lingkungandapatdigunakanuntukmelakukanpercobaanmenggunakan Snort.
Instalasi Snort
Lakukaninstalasi snort pada Client1. Padapercobaanini Client1 digunakansebagai PC server temapat
Snort diinstal.
# apt-get install snort
Kemudianmasukkan range network yang akandianalisa. Berikuthasilpemasukan range network
untukinstalasi snort:
3. LaporanPratikum
3
PratikumKeamanan Data
Menjalankan Snort dalam Sniffer mode
Sepertisudahdibahasdiatasbahwa Snort memiliki 3 mode pengoperasian,
padapembahasaniniakandibahas mode pengoperasiantersebut. Mode yang pertamaadalah Sniffer
mode. Untukmenjalankan snort pada sniffer mode tidaklahsukar, beberapacontoh parameter yang
dapatdigunakan di bawahini:
#snort –v
Berikuthasilperintah #snort –v:
Setelah startup, Snort menampilkan mode, logging directory dan interface Snort langsung me-listen
pada port. Kemudian Snort mulai men-dump paket. Snort akanmeng-generate ringkasanpaket yang
diambil, termasukprotokoldanstatistiklainnya, sepertifragmentasipaket. Opsi -d akanmenampikan
data aplikasi. Opsiinimenyediakan output bahkanlebihrinci. Data
aplikasiterlihatjelasdandapatmelihatteksbiasadalampaket.
4. LaporanPratikum
4
PratikumKeamanan Data
#snort –vd
Berikuthasilperintah #snort –vd:
Untukmelihatlebih detail danmendapatkanhasil yang miripdengantcpdump (termasuk header
lapisan data link), gunakanopsi -ejuga. Menggunakanopsi-d danopsi -
eakanmenampilkanhampirsemua data di dalampaket.
6. LaporanPratikum
6
PratikumKeamanan Data
#snort –v –d –e
Berikuthasilperintah#snort –v –d –e:
denganmenambahkanbeberapa switch –v, -d, -e akanmenghasilkanbeberapakeluaran yang berbeda,
yaitu:
-v, untukmelihat header TCP/IP paket yang lewat.
-d, untukmelihatisipaket.
-e, untukmelihat header link layer paketsepertiEthernet header.
7. LaporanPratikum
7
PratikumKeamanan Data
Menjalankan Snort dalam Packet Logger mode
Karenaoutput sniffer Snort kelayarakanbergulirdengansangatcepat,
untukmempermudahpembacaanmasukkanhasil snort kedalam file, jalankanperintahberikut:
#snort –dev –i eth0 –L /var/log/snort/snort.log
Berikuthasil me-log-kanhasil snort pada snort.log
Akan menghasilkansebuah file di folder /var/log/snort. Berikuthasilperintah # lsdari folder
/var/log/snort:
Untukmembaca file snort (misal: snort.log.1234) berikan option –r pada snort
# snort -dev -r /var/log/snort/snort.log.1234
Berikuthasil read dari snort.log yang sudahdigenerate
Log yang di-generate oleh Snort adalah log yang dienkripsi.
8. LaporanPratikum
8
PratikumKeamanan Data
Menjalankan Snort dalamNIDS (Network Intrusion Detection
System) mode
Mode operasi snort yang paling rumitadalahsebagaipendeteksipenyusup (intrusion detection) di
jaringan yang kitagunakan. Cirikhas mode
operasiuntukpendeteksipenyusupadaahdenganmenambahkanperintahke snort untukmembaca file
konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasiinilumayanbanyak,
tapisebagianbesartelah di set secarabaikdalamcontohsnort.conf yang dibawaoleh source snort.
Untukmenjalankansnort dengan mode NIDS, opsi e dihilangkankarenakitatidakperlumengetahui link
layer MAC. Opsi v dihilangkanjuga, jalankanmenggunakan option sebagaiberikut:
#snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort/snort.conf
Berikuthasileksekusiperintahdari snort running In IDS mode:
Untukmengetahuikerja Snort dalam NIDS mode, jalankan scanning darikomputer lain (PC Client)
dengannmapmenujukomputer yang andapasangi snort (PC Server). Terlebihdulujalankan snort
dengan mode NIDS, kemudianlakukan scanning denganperintah:
#snort -d -h 192.168.1.0/24 host <no_ip_snort> -l /var/log/snort –c
/etc/snort/snort.conf
Berikutmerupakanhasilnmapdari client2 ke client 1:
9. LaporanPratikum
9
PratikumKeamanan Data
Setelah di scan menggunakannmap. Untukmelihatapa yang dicatatoleh snort, dapat dihasil log snort,
atauuntukmempermudahnya, dapatdilihat di alert log snort. Berikuthasil yang di tangkapoleh alert
log snortpada port 53.
[**] [1:257:9] DNS named version attempt [**]
[Classification: Attempted Information Leak] [Priority: 2]
04/08-03:31:08.565026 192.168.1.253:62292 -> 192.168.1.252:53
TCP TTL:128 TOS:0x0 ID:22366 IpLen:20 DgmLen:72 DF
***AP*** Seq: 0x55293CD9 Ack: 0x190DE26D Win: 0x100 TcpLen: 20
[Xref => http://cgi.nessus.org/plugins/dump.php3?id=10028][Xref
=>http://www.whitehats.com/info/IDS278]
Untukpercobaanberikutyaadalahpercobaanmembuat rule baru. rulebarusimpan di /etc/snort/rules.
Rule yang dibuatkuranglebihadalahsepertiberikut:
alert tcp any any -> any any (content:”10.252.108.99”; msg:”Someone is
visiting Webfig”;sid:1000001;rev:1;)
alerttcp any any -> any any (msg:"TCP Traffic";sid:1000002;rev:0;)
Rule diatasbermaksuduntukmemberikan alert ketikaadatransaksidat TCP dariIpberapasajadan port
berapasajakemudiake IP berapasajake port
berapasajadengankonten10.252.108.99akanmemberikanpesansepertidiatas.
Kemudiantambahkaninclude $RULE_PATH/alltcp.rulespada/etc/snort/snort.conf. kemudian restart
sevice snort.
Hasilnyaadalah