Snort merupakan aplikasi sofware yang bersifat opensource GNU General Public License yang dapat di gunakan secara bebas dan gratis dengan kode sumber (source code) bisa di modifikasi sendiri. Pertama kali di kembangkan oleh Marty Roesch akhir 1998 sebagai sniffer dengan konsistensi output. Snort dapat di gunakan sebagai Network Intrusion Detection System dengan menggunakan pengaturan rule system. Dengan membuat rule untuk mendeteksi berbagai macam serangan maka snort bisa melakukan logging terhadap berbagai macam serangan.
Intrusion Detection System (IDS) merupakan sistem untuk mendeteksi adanya Intrusion yang dilakukan oleh Intruder atau penyusup didalam jaringan IDS sendri sangat mirip seperti alarm, apabila IDS mencatat adanya suatu serangan dalam jaringan maka IDS akan memperingatkan administrator jaringan untuk melakukan tindakan. IDS dapat dideinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau host. Agar keamanan jaringan bisa lebih aman maka IDS bekerja bersama Firewall untuk mengatasi Intrusion.
Menurut cara kerjanya IDS dibagi menjadi dua, yaitu
1. Network-Based Intrusion Detection System(NIDS)
IDS akan melakukan capture paket data yang masuk pada jaringan LAN atau Wireless dan mengumpulkan paket-paket data tersebut, serta melakukan analisa terhadap paket-paket tersebut
apakah paket normal atau paket serangan.
2. Host-Based IDS (HIDS)
Host-based Intrusinon detection system (HIDS) melakukan pemantauan pada perangkat komputer tertentu di dalam jaringan. IDS dapat melihat kedalam sistem dan aplikasi berupa file log yang di gunakan untuk mendeteksi aktivitas penyusup. HIDS hanya akan berkerja apabila terjadi serangan dan akan memberikan laporan atau peringatan kepada administrator secara real time.
a. Sniffer Mode
Jika menggunakan Sniffer Mode maka kita akan bisa melkukan monitoring paket yang melewati jaringan. Jika menggunakan mode sniffer berbagai paket akan di tampilkan di layar monitor secara real time untuk menjalankannya ada beberapa contoh perintah seperti di bawah ini.
#snort –v
#snort –vd
#snort –vde
#snort –v –d –e
Dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket.
-e, untuk melihat header link layer paket seperti ethernet header.
b. Packet Logger Mode
Packet Logger Mode akan mencatat semua paket yang lewat di jaringan sehingga dapat di analisa dikemudian hari. Berikut ini beberapa perintah yang digunakan untuk menjalankan packet logger mode:
#snort -dev -l /var/log/snort
#snort -dev -l /var/log/snort -h 192.168.1.0/24
#snort -dev -l /var/log/snort -b
Untuk membaca log yang dihasilkan oleh mode packet logger sebagai berikut:
#snort -dv -r /var/log/snort/paket.log
#snort -dvr /var/log/snort/paket.log icmp
#snort -r /var/log/snort/snort.log
c. Intrusion Detection Mode
Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion
detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi
penyusup adalah dengan menambahkan perintah ke snort untuk membaca file
konfigurasi.
Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian
penyusup, seperti
#snort -A console -q -c /etc/snort/snort.conf -i eth1
#./snort –dev –l ./log –h 192.168.0.0/24 –c snort.conf
#./snort –d –h 192.168.0.0/24 –l ./log –c snort.conf
Tags
linux