SNORT - Intrusion Detection System (IDS) untuk Servermu!

SNORT logo

Sebelum saya membahas apa itu snort kali ini, saya ingin bertanya terlebih dahulu kepada pembaca eichiar.blogspot.com. Apakah kalian suka Networking ? Merancang suatu jaringan, server atau Keamanan Jaringan atau yang biasa disebut Network Security? Jika iya, tools Snort ini akan sangat membantu baik hanya sekedar belajar mengetahui Keamanan Jaringan atau dapat juga benar - benar kalian implementasikan untuk Kemanan Server kalian dari serangan.

Saya akan membahas dulu apa itu IDS (Intrusion Detection System), dari namanya saja sudah ketebak yaitu Sistem yang dapat mendeteksi/melacak serangan/gangguan. Apa yang dideteksi oleh IDS ini ? Tentu saja serangan terhadap suatu server misalkan, dengan menggunakan IDS kita dapat mengetahui jika server yang kita buat ada upaya penyeragan dari seseorang untuk mengganggu kinerjanya. IDS ini nantinya akan melaporkan apa saja yang terjadi pada server kita untuk bagian jaringannya.

Nah, sekarang mari kita bahas apa itu SNORT.

Mungkin banyak yang bertanya kok logonya gambar P*g/Po*k ? Hahaha, menurut saya mungkin saja karena kebiasaanya yang suka mengendus atau berbunyi "oink" maka dari itu pihak SNORT menggunakannya sebagai logo.

SNORT adalah sebuah aplikasi open-source, yap betul Open-Source artinya gratis digunakan untuk Intrusion Detection System Jaringan. Dibuat oleh Martin Roesch pada tahun 1998. Pada saat ini, SNORT dikelola oleh Cisco. 

Apa manfaat dari menggunakan SNORT ini sendiri ? Ya banyak lah hahahah ^^.

Salah satunya yaitu kemampuannya untuk menganalisis secara Real-Time untuk Traffic (Lalu Lintas Jaringan) dan Packet Logging pada Internet Protocol artinya dia dapat melakukan sniffer pada Jaringan. SNORT ini sendiri dapat melakukan analisis protocol jaringan, pencarian konten dan mencocokannya.

Terus, karakteristik SNORT ini sendiri apa ya sebenarnya ? Kok kita mesti banget pake SNORT untuk yang hobi di Jaringan dan Keamanan Jaringan ?

Ini dia Karakteristik dari SNORT itu sendiri yaitu : 

1. Lightweight yang artinya ukuran aplikasi SNORT ini sangat ringan begitupun rules-rules yang ia gunakan. Oh iya, Rules disini berfungsi sebagai aturan yang digunakan pada saat pendeteksian serangan oleh SNORT. Rules ini sendiri bisa kalian buat manual atau download otomatis menggunakan "Oinkcodes" dari website SNORT.
2. Support nya ke banyak Operating System yang mana SNORT ini dapat dijalankan pada sistem operasi seperti Windows, Linux, OSX (Mac), Solaris, BSD dan masih banyak lagi. Jadi gausah bingung untuk support systemnya.
3. Faster and Powerfull, SNORT dapat mendeteksi jaringan dengan kecepatan 100MBps
4. Easy to Use yang artinya SNORT ini dapat digunakan dan dikonfigurasikan sesuai kebutuhan penggunanya. Seperti yang saya tulis di poin ke-2 yaitu kita bisa membuat rules kita sendiri untuk mendeteksi serangan apa dan keluarannya apa.
5. Free. Yap, FREE alias GRATIS karena bersifat Open-Source.

Lalu SNORT ini komponennya apa aja sih ? Untuk membahas itu akan saya tuliskan dibawah ini :

1. Packet Capture Library (libpcap), libpcap berfungsi memisahkan paket data yang melalui ethernet card yang selanjutnya akan digunakan oleh snort juga sebagai library (pustaka) .
2. Packet Decoder,  fungsinya mengambil data di layer 2 yang dikirim oleh libpcap (Packet Capture Library). Untuk proses pertama yaitu memisahkan Data Link (ethernet, tokenring, 802.11) kemudian protokol IP, dan yang terakhir adalah jenis paket TCP dan UDP. Hasil dari proses ini adalah adanya informasi mengenai protokol yang digunakan proses selanjutnya.
3. Preprocessor, berfungsi menganalisis paket sebelum diproses oleh komponen berikutnya. Adapun proses analisis yang dilakukan dapat berupa ditandai, dikelompokkan atau dihentikan karena paket yang diterima tidak lengkap.
4. Detection Engine, bisa dikatakan sebagai jantung dari Snort. Paket yang diterima disini setelah melalui beberapa tahapan proses akan dibandingkan dengan rule yang ada atau telah ditetapkan sebelumnya. Rule disni berisi signature yang merupakan kategori serangan.
5. Output, setelah proses Detection Engine dilakukan maka hasilnya adalah berupa report dan alert. Snort mendukung variasi dari output yang dihasilkan, yaitu teks(ASCII), syslog, XML, binary, atau database (MySql, MsSql, PostgreSql, dan sebagainya).

Lalu bagaimana cara nulis rule kita sendiri ? Hmm, gimana ya ? Ada yang tau ^^?

Baiklah, sebagai contoh begini cara penulisannya. Ada beberapa komponen yang harus ada, seperti berikut :

1. Pass, membiarkan paket yang melewati Snort dan tidak tindakan (action) apapun.
2. Log, melakukan tindakan (log) ke lokasi direktori tertentu yang sudah ditentukan dalam file konfigurasi Snort (snort.conf)
3. Alert, mengirimkan Alert ke sentral syslog server, popup windows melalui SMB. Dapat menggunakan tools Swatch untuk membaca file alert ini yang mana untuk memberitahukan kepada analyst bahwa ada aktivitas intrusi.
4. Active, mengirimkan Alert sekaligus mengerjakan/mengaktifkan rule yang lain. Sebagai contoh, ketika ada serangan maka snort akan mendeteksi melalui rule yang sudah ada kemudian mengirimkan alert dan langsung melakukan tindakan blok port tertentu sebagai tindakan preventif dari dynamic rule yang lain.
5. Dynamic, dalam kondisi idle dan akan aktif ketika rule yang bersangkutan telah aktif, seperti contoh diatas.

Contohnya :  

var LOG_IP 100.10.12.13

alert tcp $LOG_IP any -> any any (msg: “Akses Dari Dia”; sid:1;)

File konfigurasi di atas menyebabkan Snort menghasilkan alert dalam file bernama alert setiap kali IP 100.10.12.13 melakukan akses TCP, dengan pesan berupa “Akses Dari Dia”. Variabel $LOG_IP dapat digunakan dengan mensubstitusikannya menggunakan nilai yang sesungguhnya.

alert tcp any any -> any any (content:”www.facebook.com”; msg:”Someone is visiting Facebook”;sid:1000001;rev:1;) alert tcp any any -> any any (msg:”TCP Traffic”;sid:1000002;rev:0;)

Bagaimana cara menampilkan event/serangan pada Snort ?

Untuk menjalankan snort dapat menggunakan perintah di bawah ini:

#snort –v

#snort –vd

#snort –vde

#snort –v –d –e

dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu :

-v, untuk melihat header TCP/IP paket yang lewat.

-d, untuk melihat isi paket.

-e, untuk melihat header link layer paket seperti ethernet header.

Kurang lebihnya mungkin seperti itu, jikalau dalam penulisan saya masih terdapat kekurangan mungkin akan saya tulis dipostingan berikutnya atau cukup sampai disini saja pembahasan untuk SNORT kali ini.


Selamat Belajar, always share what you know and be usefull for everyone and always helping.

Eich-I-Ar

snort, ids, intrusion detection system, server, cisco, networking, sniffer, packet logger, lippcap, tutorial, monitoring, network security, jaringan, keamanan jaringan, opensource