1. Home
  2. Pendidikan

MODUS KERJA SNORT IDS

Gambar 2.1 Komponen Snort

2.3.2 MODUS KERJA

Secara umum snort dapat dioperasikan dalam tiga buah modus, yaitu

2.3.2.1 Sniffer mode

Modus ini digunakan untuk mengamati paket yang masuk ke dalam jaringan yang sedang diamati. Untuk menjalankan snort pada sniffer mode contoh perintahnya terdapat di bawah ini :  snort –v  snort –vd  snort –vde  snort –v –d –e Dengan menambahkan beberapa switch - v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu :  -v , untuk melihat header TCPIP paket yang lewat.  -d , untuk melihat isi paket.  -e , untuk melihat header link layer paket seperti ethernet header. Universitas Sumatera Utara

2.3.2.2 Packet logger mode

Pada modus ini, snort mencatat semua paket yang masuk ke dalam jaringan untuk di analisa kemudian. Beberapa perintah yang dapat digunakan untuk mencatat paket yang ada adalah :  snort –dev –l .log  snort –dev –l .log –h 192.168.0.024  snort –dev –l .log –b Perintah yang paling penting untuk me-log paket yang lewat adalah :  -l .log Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.024 yang menunjukan bahwa yang dicatat hanya packet dari host tertentu, dan –b yang memberitahukan agar file yang dilog dalam format biner, bukan ASCII. Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah –r nama file log-nya, seperti :  snort –dv –r packet.log  snort –dvr packet.log icmp

2.3.2.3 Intrusion Detection Mode

Modus operasi snort yang paling rumit adalah sebagai pendeteksi penyusup intrusion detection. Ciri khas modus kerja untuk pendeteksi penyusup adalah dengan menambahkan perintah ke snort untuk membaca file konfigurasi –c nama-file-konfigurasi.conf . Isi file konfigurasi, sebagian besar telah di atur secara baik dalam contoh snort.conf yang dibawa oleh source snort. Universitas Sumatera Utara Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti :  snort –dev –l .log –h 192.168.0.024 –c snort.conf  snort –d –h 192.168.0.024 –l .wlog –c snort.conf Untuk melakukan deteksi penyusup snort harus melakukan logging paket yang lewat dapat menggunakan perintah –l nama-file-logging , atau membiarkan snort menggunakan default file logging-nya di directory varlogsnort . Kemudian menganalisa catatan logging paket yang ada sesuai dengan isi perintah snort.conf . Ada beberapa perintah tambahan yang akan membuat proses deteksi menjadi lebih efisien, mekanisme pemberitahuan alert di Linux dapat di atur dengan perintah –A sebagai berikut :  -A fast , mode alert yang cepat berisi waktu, berita, IP port tujuan.  -A full , mode alert dengan informasi lengkap.  -A unsock , mode alert ke unix socket.  -A none , mematikan mode alert. Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s , seperti tampak pada beberapa contoh di bawah ini.  snort –c snort.conf –l .log –s –h 192.168.0.024  snort –c snort.conf –s –h 192.168.0.024 Untuk mengirimkan alert biner ke workstation Windows, dapat digunakan perintah di bawah ini :  snort –c snort.conf –b –M WORKSTATIONS Universitas Sumatera Utara Agar snort beroperasi secara langsung setiap kali workstation atau server diboot, kita dapat menambahkan ke file etcrc.drc.local perintah di bawah ini :  usrlocalbinsnort –d –h 192.168.0.024 –c rootsnortsnort.conf –A full –s –D atau  usrlocalbinsnort –d –c rootsnortsnort.conf –A full –s –D dimana –D adalah switch yang mengatur agar snort bekerja sebagai daemon.

2.3.2.4 Rules dan Alert

 Rules Snort Rules Snort merupakan basis data yang berisi pola-pola serangan. Rules Snort IDS sebaiknya diperbaharui secara rutin agar mengenali jenis serangan yang baru dan snort terhindar dari false negatives. Snort IDS yang berbasiskan signature menggunakan rules untuk membandingkan paket-paket data yang masuk. Rules dapat menganalisa banyak hal, diantaranya FTP, serangan web, serangan denial of service yang terdistribusi, usaha penyerangan pada SMB dan serangan RPC. Setiap Rules memiliki identitas, Sensor ID SID yang identik sehingga mudah untuk dibedakan dengan rules yang lain. Berikut contoh rules : alert tcp EXTERNAL_NET any - HTTP_SERVERS HTTP_PORTS \ msg:WEB-MISC Transfer-Encoding\: chunked;\ flow:to_server,established; content:Transfer-Encoding\:; nocase; \ content:chunked;nocase; classtype:web-application-attack;\ Universitas Sumatera Utara reference:bugtraq,4474;\ reference:cve,CAN-2002-0079; reference:bugtraq,5033;\ reference:cve,CAN-2002-0392; sid:1807; rev:1;  Alert Alert merupakan catatan serangan pada sistem deteksi penyusup. Jika snort engine mendeteksi paket data yang datang sebagai serangan, maka snort engine akan mengirimkan alert berupa file log. Untuk kebutuhan analisa, alert dapat disimpan di dalam database, sebagai contoh ACID Analysis Console for Intrusion Databases sebagai modul tambahan pada snort. Contoh alert sebagai berikut : [] [1:499:3] ICMP Large ICMP Packet [] [Classification: Potentially Bad Traffic] [Priority: 2] 0509-20:15:14. 895348 10.1.4.113 - 10.1.3.126 ICMP TTL:128 TOS:0x0 ID:6316 IpLen:20 DgmLen:65528 Type:8 Code:0 ID:512 Seq:3072 ECHO [Xref = http:www.whitehats.cominfoIDS246 ] Contoh alert di atas merupakan alert ketika terdapat paket data dalam ukuran besar dari IP Address 10.1.4.113 ke 10.1.3.126 yang dianggap sebagai serangan oleh snort karena pola paket data tersebut terdapat dalam rules snort. Universitas Sumatera Utara

2.4 IPTables Firewall

IPTables terbagi menjadi dua bagian, perangkat user dan modul kernel. Modul kernel disebarkan dengan kernel utama dan di compile seperti modul lainnya, seperti driver suara, sebuah file sistem atau yang mendukung USB. Modul utama IPTables seperti modul khusus pada NAT, logging, connection tracking dan sebagainya. Modul ini melakukan fungsi tertentu terhadap paket yang dikirimkan oleh netfilter, tergantung pada rules yang terdapat pada daftar rules atau rantai. Kode perangkat pengguna pada IPTables berbentuk biner, yang disebarkan terpisah dari tree kernel utama dan digunakan untuk menambahkan, memindahkan atau mengubah modul. 2.4.1 KONSEP IPTables Firewall 2.4.1.1 Fungsi dasar Firewall Hal-hal yang dapat dilakukan firewall umumnya adalah :  Firewall berfungsi sebagai dinding penghambat yang tidak mengizinkan pengguna yang tidak punya hak mengakses jaringan. Hal ini dapat berguna untuk melindungi jaringan dari hal-hal yang tidak diinginkan, seperti : IP spoofing, serangan terhadap router.  Firewall berfungsi sebagai monitor kejadian-kejadian yang berhubungan dengan sistem keamanan, yang akan memberikan keterangan ke sistem, seperti : file log, alarm yang bisa diimplementasikan oleh sistem firewall.  Firewall juga berfungsi sebagai platform dari fungsi internet yang Universitas Sumatera Utara

Dokumen yang terkait

Implementasi intrusion detection system untuk filtering paket data : studi kasus Yayasan Pembinaan Pendidikan Nusantara

3 10 139

Penerapan easy intrusion detction system (easyids) sebagai pemberi peringatan dini kepada administrator sistem Jaringan : studi kasus PT. PLN Persero Distribusi Jakarta Raya dan Tangerang

1 11 194

Implementasi Intrusion Detection System Menggunakan Snort, Barnyard2 Dan Base Pada Sistem Operasi Linux

1 20 1

Implementasi Intrusion Detection System Menggunakan Snort, Barnyard2 Dan Base Pada Sistem Operasi Linux

0 4 1

Intrusion Preventing System Pada Jaringan Wireless STIKOM Surabaya Menggunakan SNORT dan IPTables.

1 4 12

PERANCANGAN DAN ANALISIS SISTEM PENDETEKSI INTRUSI BERBASIS NETWORK INTRUSION DETECTION SYSTEM (NIDS) PADA SISTEM KEAMANAN JARINGAN KOMPUTER

0 0 16

RANCANGAN WIRELESS INTRUSION DETECTION SYSTEM MENGGUNAKAN SNORT

0 0 9

Pemanfaatan IPTables Sebagai Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) Pada Linux Server

0 1 5

Pemanfaatan Iptables Sebagai Intrusion Detection System (IDS) pada Linux Server

1 1 6

Institutional Repository | Satya Wacana Christian University: Analisis Integrasi Intrusion Detection System Snort dengan Firewall Mikrotik sebagai Sistem Keamanan Jaringan

1 1 20