Gambar 2.1 Komponen Snort
2.3.2 MODUS KERJA
Secara umum snort dapat dioperasikan dalam tiga buah modus, yaitu
2.3.2.1 Sniffer mode
Modus ini digunakan untuk mengamati paket yang masuk ke dalam jaringan yang sedang diamati. Untuk menjalankan snort pada sniffer mode
contoh perintahnya terdapat di bawah ini :
snort –v
snort –vd
snort –vde
snort –v –d –e
Dengan menambahkan
beberapa switch -
v, -d, -e
akan menghasilkan beberapa keluaran yang berbeda, yaitu :
-v
, untuk melihat header TCPIP paket yang lewat.
-d
, untuk melihat isi paket.
-e
, untuk melihat header link layer paket seperti ethernet header.
Universitas Sumatera Utara
2.3.2.2 Packet logger mode
Pada modus ini, snort mencatat semua paket yang masuk ke dalam jaringan untuk di analisa kemudian. Beberapa perintah yang dapat digunakan
untuk mencatat paket yang ada adalah :
snort –dev –l .log
snort –dev –l .log –h 192.168.0.024
snort –dev –l .log –b
Perintah yang paling penting untuk me-log paket yang lewat adalah :
-l .log
Beberapa perintah
tambahan dapat digunakan seperti
–h 192.168.0.024
yang menunjukan bahwa yang dicatat hanya packet dari host tertentu, dan
–b
yang memberitahukan agar file yang dilog dalam format biner, bukan ASCII. Untuk
membaca file
log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah
–r
nama file log-nya, seperti :
snort –dv –r packet.log
snort –dvr packet.log icmp
2.3.2.3 Intrusion Detection Mode
Modus operasi snort yang paling rumit adalah sebagai pendeteksi penyusup intrusion detection. Ciri khas modus kerja untuk pendeteksi
penyusup adalah dengan menambahkan perintah ke snort untuk membaca file konfigurasi
–c nama-file-konfigurasi.conf
. Isi file konfigurasi, sebagian besar telah di atur secara baik dalam contoh
snort.conf
yang dibawa oleh source snort.
Universitas Sumatera Utara
Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti :
snort –dev –l .log –h 192.168.0.024 –c snort.conf
snort –d –h 192.168.0.024 –l .wlog –c snort.conf
Untuk melakukan deteksi penyusup snort harus melakukan logging paket yang lewat dapat menggunakan perintah
–l nama-file-logging
, atau membiarkan snort menggunakan default file logging-nya di directory
varlogsnort
. Kemudian menganalisa catatan logging paket yang ada sesuai dengan isi
perintah
snort.conf
. Ada beberapa perintah tambahan yang akan membuat proses deteksi
menjadi lebih efisien, mekanisme pemberitahuan alert di Linux dapat di atur dengan perintah
–A
sebagai berikut :
-A fast
, mode alert yang cepat berisi waktu, berita, IP port tujuan.
-A full
, mode alert dengan informasi lengkap.
-A unsock
, mode alert ke unix socket.
-A none
, mematikan mode alert. Untuk
mengirimkan alert ke syslog UNIX kita bisa menambahkan switch
–s
, seperti tampak pada beberapa contoh di bawah ini.
snort –c snort.conf –l .log –s –h 192.168.0.024
snort –c snort.conf –s –h 192.168.0.024
Untuk mengirimkan alert biner ke workstation Windows, dapat digunakan
perintah di bawah ini :
snort –c snort.conf –b –M WORKSTATIONS
Universitas Sumatera Utara
Agar snort beroperasi secara langsung setiap kali workstation atau server diboot, kita dapat menambahkan ke file
etcrc.drc.local
perintah di bawah ini :
usrlocalbinsnort –d –h 192.168.0.024 –c rootsnortsnort.conf –A full –s
–D
atau
usrlocalbinsnort –d –c rootsnortsnort.conf –A full –s –D
dimana
–D
adalah switch yang mengatur agar snort bekerja sebagai daemon.
2.3.2.4 Rules dan Alert
Rules Snort
Rules Snort merupakan basis data yang berisi pola-pola serangan. Rules Snort IDS sebaiknya diperbaharui secara rutin agar mengenali jenis serangan
yang baru dan snort terhindar dari false negatives. Snort IDS yang berbasiskan signature menggunakan rules untuk
membandingkan paket-paket data yang masuk. Rules dapat menganalisa banyak hal, diantaranya FTP, serangan web, serangan denial of service yang
terdistribusi, usaha penyerangan pada SMB dan serangan RPC. Setiap Rules memiliki identitas, Sensor ID SID yang identik sehingga mudah untuk
dibedakan dengan rules yang lain. Berikut contoh rules :
alert tcp EXTERNAL_NET any - HTTP_SERVERS HTTP_PORTS \ msg:WEB-MISC
Transfer-Encoding\: chunked;\ flow:to_server,established; content:Transfer-Encoding\:; nocase; \
content:chunked;nocase; classtype:web-application-attack;\
Universitas Sumatera Utara
reference:bugtraq,4474;\ reference:cve,CAN-2002-0079; reference:bugtraq,5033;\
reference:cve,CAN-2002-0392; sid:1807; rev:1;
Alert
Alert merupakan catatan serangan pada sistem deteksi penyusup. Jika snort engine mendeteksi paket data yang datang sebagai serangan, maka snort
engine akan mengirimkan alert berupa file log. Untuk kebutuhan analisa, alert dapat disimpan di dalam database, sebagai contoh ACID Analysis
Console for Intrusion Databases sebagai modul tambahan pada snort. Contoh alert sebagai berikut :
[] [1:499:3] ICMP Large ICMP Packet [] [Classification: Potentially Bad Traffic] [Priority: 2] 0509-20:15:14.
895348 10.1.4.113 - 10.1.3.126 ICMP TTL:128 TOS:0x0 ID:6316 IpLen:20 DgmLen:65528 Type:8 Code:0 ID:512
Seq:3072 ECHO [Xref = http:www.whitehats.cominfoIDS246
]
Contoh alert di atas merupakan alert ketika terdapat paket data dalam ukuran besar dari IP Address 10.1.4.113 ke 10.1.3.126 yang dianggap sebagai
serangan oleh snort karena pola paket data tersebut terdapat dalam rules snort.
Universitas Sumatera Utara
2.4 IPTables Firewall
IPTables terbagi menjadi dua bagian, perangkat user dan modul kernel. Modul kernel disebarkan dengan kernel utama dan di compile seperti modul
lainnya, seperti driver suara, sebuah file sistem atau yang mendukung USB. Modul utama IPTables seperti modul khusus pada NAT, logging, connection
tracking dan sebagainya. Modul ini melakukan fungsi tertentu terhadap paket yang dikirimkan oleh netfilter, tergantung pada rules yang terdapat pada daftar
rules atau rantai. Kode perangkat pengguna pada IPTables berbentuk biner, yang disebarkan terpisah dari tree kernel utama dan digunakan untuk menambahkan,
memindahkan atau mengubah modul.
2.4.1 KONSEP IPTables Firewall 2.4.1.1 Fungsi dasar Firewall
Hal-hal yang dapat dilakukan firewall umumnya adalah :
Firewall berfungsi sebagai dinding penghambat yang tidak mengizinkan pengguna yang tidak punya hak mengakses jaringan. Hal
ini dapat berguna untuk melindungi jaringan dari hal-hal yang tidak diinginkan, seperti : IP spoofing, serangan terhadap router.
Firewall berfungsi sebagai monitor kejadian-kejadian yang
berhubungan dengan sistem keamanan, yang akan memberikan keterangan ke sistem, seperti : file log, alarm yang bisa
diimplementasikan oleh sistem firewall.
Firewall juga berfungsi sebagai platform dari fungsi internet yang
Universitas Sumatera Utara