2.2 Snort
IDS SNORT adalah open source yang berbasis jaringan sistem deteksi intrusi NIDS yang memiliki kemampuan untuk melakukan analisis lalu lintas
secara real - time dan paket logging pada jaringan Internet Protocol IP. Snort melakukan analisis protokol, mencari konten, dan pencocokan konten. Program
ini juga dapat digunakan untuk mendeteksi probe atau serangan. Snort sudah di download lebih dari 3 juta orang. Hal ini menandakan bahwa snort merupakan
suatu intrusion Detection System yang dipakai banyak orang di dunia. Snort bisa di operasikan dengan tiga mode Ariyus, 2007 yaitu:
1. Paket sniffer : Untuk melihat paket yang lewat di jaringan.
2. Paket logger : Untuk mencatat semua paket yang lewat di jaringan
3. Network Intrusion Detection System NIDS. : deteksi penyusupan pada
netwaork : pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan computer.
Cara kerja Snort adalah dengan menggunakan deteksi signature pada lalu lintas jaringan mencocokkan lalu lintas jaringan dengan daftar signature serangan
yang disebut Snort rules. Jika aksi atau paket yang melintasi jaringan itu sesuai dengan rules, maka Snort engine akan menganggapnya sebagai intrusi dan dicatat
pada log kemudian disimpan di database.
2.2.1 Komponen – komponen Snort
Snort memiliki komponen yang bekerja saling berhubungan satu dengan yang lainnya seperti berikut ini. Ariyus, 2007:146 :
1. Rule Snort. Merupakan database yang berisi pola-pola serangan berupa
signature jenis-jenis serangan. Rule Snort IDS ini, harus di update secara rutin agar, ketika ada suatu teknik serangan yang baru Snort bisa
mendeteksi karena jenis atau pola serangan tersebut sudah ada pada rule snort.
2. Snort Engine. Merupakan program yang berjalan sebagai proses yang
selalu bekerja
untuk membaca
paket data
dan kemudian
membandingkannya dengan rule Snort.
3. Alert. Merupakan catatan serangan pada deteksi penyusupan, jika snort
engine menyatakan paket data yang lewat sebagai serangan, maka snort engine akan mengirimkan alert berupa log file. Untuk kebutuhan analisa,
alert dapat disimpan di dalam database. 4.
Preprocessors. Merupakan suatu saringan yang mengidentifikasi berbagai hal yang harus diperiksa seperti Snort Engine. Preprocessors berfungsi
mengambil paket yang berpotensi membahayakan, kemudian dikirim ke Snort engine untuk dikenali polanya.
5. Output Plug - ins : suatu modul yang mengatur format dari keluaran untuk
alert dan file logs yang bisa diakses dengan berbagai cara, seperti console, extern files, database, dan sebagainya.
2.2.2 Fitur – fitur Snort
Menurut Wardhani 2007 Snort memiliki fitur - fitur dan kemudahan dalam melakukan pendekesiaan suatu serangan. Fitur - fitur tersebut adalah
sebagai berikut : 1.
Bersifat Opensource, karena itu maka penggunaannya betul - betul gratis, Snort merupakan pilihan yang sangat baik sebagai NIDS ringan yang cost
- effective dalam suatu organisasi yang kecil jika organisasi tersebut tidak mampu menggunakan NIDS commercial yang harganya paling sedikit
ribuan dolar US. Dari sisi harga, jelas tidak ada NIDS lain yang mampu mengalahkan Snort.
2. Karena Snort bersifat opensource, maka penggunaannya betul - betul
bebas sehingga dapat diterapkan dalam lingkungan apa saja. Kode sumbernya pun bisa didapatkan sehingga Snort bisa secara bebas
dimodifikasi sendiri sesuai keperluan. Selain itu, karena Snort merupakan software yang bebas, maka telah terbentuk suatu komunitas Snort yang
membantu memberikan berbagai macam dukungan untuk penggunaan, pengembangan, penyempurnaan, dan perawatan software Snort itu.
3. Snort memiliki bahasa pembuatan rules yang relatif mudah dipelajari dan
fleksibel. Ini berarti bahwa pengguna dengan mudah dan cepat membuat
berbagai rules baru untuk mendeteksi tipe-tipe serangan yang baru. Selain itu, berbagai rule khusus dapat dibuat untuk segala macam situasi.
4. Snort sudah memiliki sebuah database untuk berbagai macam rules, dan
database ini secara aktif terus dikembangkan oleh komunitas Snort sehingga tipe-tipe serangan yang baru dapat dicatat
5. Snort merupakan software yang ringkas dan padat, sehingga tidak
memakan banyak resources tetapi cukup canggih dan fleksibel untuk digunakan sebagai salah satu bagian dari NIDS yang terpadu Integrated
NIDS. selain itu, snort bersifat lighweight, maka penerapannya juga mudah dan cepat.
6. Snort dapat melakukan logging langsung ke sistem database MySQL.
7. Snort sebagai NIDS dapat menyembunyikan dirinya dalam jaringan
computer sehingga keberadaannya tidak bisa terdeteksi oleh komputer mana pun. Ini disebut sebagai stealth mode
2.2.3 Snort Rules