Mata-mata dalam jaringan (Snort)





Semakin hari semakin banyak orang yang mengakses internet, ada yang hanya untuk membantu mengerjakan tugas dari kampus atau kantor dengan mencari jawaban atau artikel yang mendukung di internet, ada yang hanya untuk  berkomunikasi dengan keluarga, sahabat ataupun kenalan di dunia maya (internet) dan ada pula yang memanfaatkan internet untuk bermain game online, maklumlah sekarang game sudah semakin menjarah dunia online (internet) tidak seperti dahulu kala yang masih primitive (offline). Internet itu bagaikan “toserba”, anda tanya apa saja pasti tersedia, dengan harga yang bervariatif mulai dari gratis sampai berjuta-juta. Dengan semakin berkembangnya internet, maka bertambah pula ilmu yang terdapat disana, maniak-maniak internet sudah semakin “merajalela”. Mereka sudah menganggap internet sebagai kebutuhan primer, mereka tidak bisa hidup tanpa internet, tiada hari tanpa internet itu sama saja tidak makan apapun dalam sehari, internetpun sekarang sudah dapat “dikonsumsi” dimanapun dan kapanpun oleh siapapun di dunia sehingga mudah diakses.
Artikel-artikel mengenai teknologi dan pemanfaatannya sudah sangat banyak, dan tersebar luas dengan mudah, termasuk artikel mengenai pemanfaatan jaringan untuk hal-hal yang diluar hukum, seperti hacking bahkan cracking sekalipun. Didukung dengan software-software pedukungnya yang sudah banyak tersedia di “pasar” internet. Sehingga tak jarang hacker/cracker “karbitan” yang mengikuti tutorial di internet dengan memanfaatkan software-software yang ada guna melancarkan aksinya. Software-software itu seperti wireshark, snort, keylogger, radmin, nessus dan lain sebagainya sampai ada yang menggunakan virus sebagai medianya.
Dari sekian banyak software pencipta hacker/cracker “karbitan” tersebut, salah satunya adalah snort. Snort sendiri merupakan suatu program yang berbasis open source dan merupakan termasuk dalam NIPS(Network Intrusion Prevention System). Snort banyak digunakan oleh para developer yang bergerak dalam bidang keamanan jaringan. Snort dapat mendeteksi/menganalisis real-time traffic di jaringan dan packet logging pada IP jaringan. Karena snort ini sangat istimewa sampai menjadi “man of the match” dalam dunia gelap jaringan internet maka untuk lebih jelasnya penulis akan menjelaskan dengan membaginya dalam beberapa bagian, check it out!!!


SEJARAH SNORT
            Pada tahun 1998 didirikan sebuah  aplikasi oleh Sourcefire Martin Roesch yang berasis open source.  Aplikasi ini bertujuan untuk mendeteksi lalulintas pada sebuah jaringan, aplikasi ini ampuh dalam sistem pencegahan dan mampu melakukan real-time analisis lalu lintas serta paket logging pada jaringan IP. Snort telah berkembang menjadi sebuah teknologi, seperti fitur IPS yang telah menjadi standar de facto di perintah pendeteksi dan pencegahan. Dengan lebih dari 4 juta download dan hampir 400.000 pengguna, maka snort dianggap paling ampuh dalam masalah pendeteksian lalulintas jaringan.
Awal dari  pengembangan Snort itu dari gerakan open source, gerakan yang dipelopori oleh Richard Stallman di MIT selama tahun 1980-an. Ide di balik open source adalah bahwa semua perangkat lunak harus memiliki kode sumber yang tersedia dan dikembangkan oleh komunitas pengembang yang tertarik. Ini ideologi dan kekuatan yang membebaskan untuk mengembangkan perangkat lunak superior selanjutnya dijelaskan dan disorot dalam apa yang dianggap sebagai risalah utama pada pengembangan open source, "The Cathedral dan Bazaar" oleh Eric S. Raymond. Dalam "The Cathedral dan Bazaar," menguraikan Raymond bagaimana metodologi pengembangan open source dapat dimanfaatkan untuk membuat perangkat lunak unggul dibandingkan dengan metode tradisional proprietary. Proyek Snort bergantung pada ideologi ini berat dan dampaknya menunjukkan. Dalam uji setelah pengujian, Snort telah keluar di atau dekat bagian atas tumpukan bila dibandingkan head-to-head dengan deteksi intrusi lain dan teknologi pencegahan.
            Snort merupakan program khusus dalam Deteksi Penyusupan (Intrusion Detection). Deteksi penyusupan adalah aktifitas untuk mendeteksi penyusupan secar cepat  dengan menggunakan program khusus yang otomatis. Program yang di gunakan biasanya disebut sebagai Intrusion Detection System(IDS).
Tipe dasar dari IDS adalah:

1.      Rule-based systems - berdasarkan atas database dari tanda penyusupan atau serangan
yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang
ada, maka langsung dikategorikan sebagai penyusupan.
2.      Adaptive systems - mempergunakan metode yang lebih canggih. Tidak hanya
berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi
terhadap bentuk bentuk penyusupan yang baru.


Bentuk yang sering dipergunakan untuk komputer secara umum adalah rule-based system. Pendekatan yang di gunakan dalam rule-based system ada dua, yaknipendekatan pencegahan (preemptory)dan pendekata raeaksi (reactionary). Perbedaannya adalah masalah waktu saja. Pendekatan pencegahan, program pendeteksian penyusup akan memperhatikan semua lalu lintas jaringan. Jika di temukan sebuah paket yang mencurigakan, maka program akan melakukan tindakan. Pendekatan reaksi, program pendeteksi penyusupan hanya mengamati file log. Jika ditemukan paket yang mencurigakan maka program juga akan melakukan tindakan.
Snort dapat melakukan analisis protokol dan isi pencarian / pencocokan. Hal ini dapat digunakan untuk mendeteksi berbagai serangan dan probe, seperti buffer overflows, port scan siluman, serangan CGI, probe SMB, upaya fingerprinting OS, dan banyak lagi.
Tiga buah mode, yaitu:
1. Sniffer mode, untuk melihat paket yang lewat di jaringan.
2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di
analisa di kemudian hari.
3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi
serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.


Snort Architecture

 
Instalasi Snort di Windows
          Karena saat ini penulis menggunakan Windows 8 Profesional maka penulis akan menjelaskan bagaimana cara mengistall snort di varian windows terbaru ini.
           
Alat dan Bahan
1. OS Windows 8 Profesional.
2. Master Snort yang dapat anda download di www.snort.org
3. Snort Rule yang juga dapat di download di www.snort.org
4. Wincap yang dapat anda download di http://www.wincap.org

Sedangkan untuk cara mengistallnya dapat mengikuti langkah kerja berikut
1. Berdoa terlebih dahulu.. J
2. Install Wincap pada komputer anda

a. Setelah mendapatkan installernya tinggal double klik ikon tersebut
b. Maka akan muncul langkah instalasi, dan anda cukup mengikuti langkah-langkah instalasinya

dengan klik next dan jika ada pertanyaan mengenai license tinggal tekan I Agree.

c. Untuk menyelesaikannya proses instalasinya tinggal ketik Finish.
3. Install Master Snort pada Windows 8 Profesional anda
a. Setelah membaca license Agreement tekan tombol I Agree. Instalasi option                          akan memberikan pilihan database yang akan digunakan tergantung database                  yang akan dipakai.
b. Proses selanjutnya adalah memilih komponen-komponen apa saja yang akan di install. tekan Next.
c. Tunggu proses instalasi.

d. Instalasi Snort selesai.
4. Ekstrak Snort Rules yang sudah anda download sebelumnya.
5. Copy snort rules dari /snortrules-snapshot-2900/rules ke folder /snort/etc/rules
6. Copy snort.conf dari /snortrules-snapshot-2900/etc ke /snort/etc/
7. Lakukan setting konfigurasi snort pada file c:/snort/etc/snort.conf seperti berikut
a. Network Setting
Untuk memonitor aktivitas jaringan yang lebih spesifik ubahlah var HOME_NET any menjadi var HOME_NET 192.168.1.1/24, untuk var EXTERNAL_NET any biarkan saja karena akan memonitor IP luar yang masuk ke jaringan kita.
b. Beri IP pada DNS Server dan Telnet Server (sifatnya opsional sehingga anda terserah untuk membuka protocol yang mana).
                        #List of DNS servers on your network
                         ipvar DNS_SERVERS 192.168.1.1
                        #List of SMTP servers on your network
                        ipvar SMTP_SERVERS $HOME_NET
                        #List of web servers on your network
                        ipvar HTTP_SERVERS $HOME_NET
                        #List of sql servers on your network
                        ipvar SQL_SERVERS $HOME_NET
                        #List of telnet servers on your network
                        ipvar TELNET_SEVERS 192.168.1.1
c. Edit Var Rule path sesuai letak konfigurasi rule di snort yaitu c:/snort/rules
                        #Path to your rules files
                        #Note for Windows users: You are advised to make this an absolute path,
                        such as: c:/snort/rules
                        var RULE_PATH c:/snort/rules
d. Edit  path dynamic rules dan path dynamic prepocessor sesuai dengan letak di      konfigurasi snort.
                        #path to dyamic prepocessor libraries
                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_dce2.dll
                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_sdf.dll
                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_ssl.dll
                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_dns.dll
                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_smtp.dll
                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_ftptelnet.dll
                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_ssh.dll
                        # path to base prepocessor engine
                        dynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll
e. Edit include classification.config dan include reference.config dengan memberi tambahan c:\snort\etc\
                        #metadata reference data. Do not modify these lines
                        Include C:\Snort\etc\classification.config
                        Include C:\Snort\etc\reference.config
            f. Buat file alerts.ids di folder c:\snort\log
            g. Buat konfigurasi log pada snort.conf dengan perintah output alert_fast
                        #output log_tcpdump:tcpdump.log
                        output alert_fast:alerts.ids
8. Mengecek Keberhasilan konfigurasi Snort
a. Buka cmd lalu masukan /snort/bin untuk melihat konektifitas jaringan PC dengan perintah:
   c:\Snort\bin>snort -dev -i 1
            dibawah ini adalah perintah jika PC tidak melakukan aktivitas jaringan

b. Buka tab cmd baru, lalu buat perintah agar nanti log dapat dilihat di file /snort/log/alerts.ids
                        c:\Snort\bin>snort -c c:\Snort\etc\snort.conf -l c:\Snort\log -i 1
c. Lakukan pengecekan dengan cara PING dari pc lainnya setelah dilakukan PING(aktivitas jaringan) maka CMD yang di Snort -dev -i 1 akan memunculkan log
d. Log akan tertulis di file /Snort/log/alerts.ids dan snort siap untuk digunakan.






Instalasi Snort di Linux

          Diatas penulis sudah menjelaskan mengenai bagaimana caranya untuk mengistall snort di windows. Berhubung penulis juga adalah pengguna linux dengan variasi Ubuntu, dan Ubuntu yang digunakan penulis adalah Ubuntu 12.10 (Quantal Quetzal).

  1. Pertama yang dilakukan adalah mengupdate Ubuntu dengan perintah
#sudo apt-get update
  1. Setelah itu, maka langkah selanjunya adalah menginstall Packages yang dibutuhkan:
#sudo apt-get install nmap
#sudo apt-get install nbtscan
#sudo apt-get install apache2
#sudo apt-get install php5
#sudo apt-get install php5-mysql
#sudo apt-get install php5-gd
#sudo apt-get install libpcap0.8-dev
#sudo apt-get install libpcre3-dev
#sudo apt-get install g++
#sudo apt-get install bison
#sudo apt-get install flex
#sudo apt-get install libpcap-ruby

Anda akan diminta untuk menulis sebuah password yang aman untuk user root MySQL ketika Anda menginstal paket berikutnya.
# sudo apt-get install mysql-server
# sudo apt-get install libmysqlclient16-dev

Download dan Install JpGraph :
# sudo wget http://hem.bredband.net/jpgraph/jpgraph-1.27.1.tar.gz
# sudo mkdir /var/www/jpgraph
# sudo tar zxvf jpgraph-1.27.1.tar.gz
# sudo cp –r jpgraph-1.27.1/src /var/www/jpgraph/

Download dan Setting Snort Report :
Download file Snort Report di http://www.symmetrixtech.com, lalu ekstrak dengan perintah berikut ini :
# sudo tar zxvf snortreport-1.3.2.tar.gz -C /var/www/
Sekarang kita perlu memodifikasi file konfigurasi Snort Report. Edit file srconf.php dengan perintah berikut:
# sudo gedit /var/www/snortreport-1.3.2/srconf.php
Cari Baris Berikut Ini :
$pass = "YOURPASS";
Lalu Ganti Dengan Yang Dibawah Ini :
$pass = "snort"; (password yang saya pakai)
Save Lalu Exit

Download dan Install Data Acquisition API :
daq-0.6.1.tar.gz dapat di download disni http://www.snort.org/downloads/1098. Lalu ekstrak dengan perintah berikut ini:
# sudo tar zxvf daq-0.6.1.tar.gz
# sudo cd daq-0.6.1
# sudo ./configure
# sudo make
# sudo make install
# sudo ldconfig

Download dan Install Libdnet :
Ada paket Ubuntu untuk libdnet, tapi ini adalah metode yang lebih mudah dari instalasi. Download file berikut disini http://libdnet.googlecode.com/files/libdnet-1.12.tgz dan menginstalnya dengan perintah-perintah dari direktori download Anda:
# sudo tar zxvf libdnet-1.12.tgz
# sudo cd libdnet-1.12/
# sudo ./configure
# sudo make
# sudo make install
# sudo ln -s /usr/local/lib/libdnet.1.0.1 /usr/lib/libdnet.1

Download dan Install Snort :
Buka http://www.snort.org/snort-downloads dan download versi terbaru yaitu versi 2.9.1. Langkah berikutnya install Snort ke direktori /usr/local/snort, tetapi Anda dapat mengubah ini ke direktori yang Anda sukai. Buka command prompt dan jalankan perintah berikut dari direktori tempat anda mendownload Snort:
# sudo tar zxvf snort-2.9.1.tar.gz
# sudo cd snort-2.9.1
# sudo ./configure --prefix=/usr/local/snort
# sudo make
# sudo make install
# sudo mkdir /var/log/snort
# sudo mkdir /var/snort
# sudo groupadd snort
# sudo useradd -g snort snort
# sudo chown snort:snort /var/log/snort
Anda harus memasukkan password MySQL yang Anda pilih sebelumnya dalam dua langkah selanjutnya dalam rangka untuk membuat database Snort:
# echo "create database snort;" I mysql -u root –p
# mysql -u root -p -D snort < ./schemas/create_mysql
Selanjutnya kita perlu membuat user MySQL tambahan untuk Snort untuk menjalankannya sebagai root. Ingat password yang anda masukkan, juga perhatikan tanda kutip tunggal di password di samping tanda kutip ganda:
# echo "grant create, insert, select, delete, update on snort.* to snort@localhost identified by 'snort'" I mysql -u root –p

Download dan Install Snort Rules :
Langkah selanjutnya adalah mendownload Snort Rules terbaru. Anda harus login ke situs Sourcefire dalam browser untuk mendapatkan file tersebut. Anda dapat mendownloadnya di sini www.snort.org/snort-rules. Buka command prompt di direktori dimana Anda mendownload file Snort Rules dan jalankan perintah berikut:
# sudo tar zxvf snortrules-snapshot-2910.tar.gz -C /usr/local/snort
# sudo mkdir /usr/local/snort/lib/snort_dynamicrules
# sudo cp /usr/local/snort/so_rules/precompiled/Ubuntu-10-4/i386/2.9.1.0/* /usr/local/snort/lib/snort_dynamicrules
# sudo touch /usr/local/snort/rules/white_list.rules
# sudo touch /usr/local/snort/rules/black_list.rules

Configure Snort :
Sekarang kita perlu mengedit file konfigurasi snort.conf:
# sudo gedit /usr/local/snort/etc/snort.conf
Ubah baris dari ini:
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
Menjadi seperti di bawah ini :
var WHITE_LIST_PATH /usr/local/snort/rules
var BLACK_LIST_PATH /usr/local/snort/rules
Ubah baris dari ini:
dynamicpreprocessor directory /usr/local/lib/snort_dynamicpreprocessor/
dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so
dynamicdetection directory /usr/local/lib/snort_dynamicrules
Menjadi seperti di bawah ini :
dynamicpreprocessor directory /usr/local/snort/lib/snort_dynamicpreprocessor
dynamicengine /usr/local/snort/lib/snort_dynamicengine/libsf_engine.so
dynamicdetection directory /usr/local/snort/lib/snort_dynamicrules
Ubah baris dibawah ini :
#output unified2: filename merged.log, limit 128, nostamp, mpls_event_types, vlan_event_types
Menjadi seperti di bawah ini :
output unified2: filename snort.u2, limit 128
Simpan file tersebut dan keluar kembali ke command prompt.

Download dan Install Barnyard2 :
Versi saat ini dari Barnyard2 adalah 1.8 yang dapat anda download di sini http://www.securixlive.com/download/barnyard2/barnyard2-1.8.tar.gz. Unpack dan install Barnyard2 dengan perintah berikut :
# sudo tar zxvf barnyard2-1.8.tar.gz cd barnyard2-1.8
# sudo ./configure --with-mysql
# sudo make
# sudo make install
# sudo cp etc/barnyard2.conf /usr/local/snort/etc
# sudo mkdir /var/log/barnyard2
# sudo chmod 666 /var/log/barnyard2
# sudo touch /var/log/snort/barnyard2.waldo
# sudo chown snort.snort /var/log/snort/barnyard2.waldo
Edit file konfigurasi Barnyard2 dengan perintah berikut :
# sudo gedit /usr/local/snort/etc/barnyard2.conf
Ubah perintah pada baris berikut:
config reference_ file: /etc/snort/reference.config
config classification_file: /etc/snort/classification.config
config gen_file: /etc/snort/gen-msg.map
config sid_file: /etc/snort/sid-msg.map
#config hostname: thor
#config interface: eth0
#output database: log, mysql, user=root password=test dbname=db host=localhost
Ganti menjadi berikut ini :
config reference_ file: /usr/local/snort/etc/reference.config
config classification_file: /usr/local/snort/etc/classification.config
config gen_file: /usr/local/snort/etc/gen-msg.map
config sid_file: /usr/local/snort/etc/sid-msg.map
config hostname: localhost
config interface: eth1
output database: log, mysql, user=snort password=snort dbname=snort host=localhost
Simpan Lalu Exit

Menyiapkan Settingan Untuk Jaringan :
Sekarang kita memiliki semua perangkat lunak yang diperlukan telah terinstal dan siap untuk digunakan, kita dapat mengkonfigurasi kabel jaringan, alamat IP, Snort dan Snort report. Setting Network dengan perintah berikut ini :
# sudo gedit /etc/network/interfaces
Ubah baris berikut dari ini :
auto eth0
iface eth0 inet dhcp
Menjadi berikut ini :
auto eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1
Sekarang tambahkan baris berikut di akhir :
auto eth1
address 172.19.12.1
netmask 255.255.255.0
network 172.19.12.0
broadcast 172.19.12.255
gateway 172.19.12.1
Simpan dan keluarlah dari file gedit dan reboot network dengan perintah ini:
# sudo /etc/init.d/networking restart
Lalu kita cek network dengan perintah berikut:
# ifconfig
Lihat apakah IP yang kita masukkan tadi muncul di eth0 dan eth1.

Testing Snort :
Anda dapat menguji untuk melihat apakah Snort akan berjalan dengan menggunakan perintah ini:
# sudo /usr/local/snort/bin/snort -u snort -g snort –c /usr/local/snort/etc/snort.conf -i eth1
Untuk mengatur Snort secara otomatis maka edit file rc.local dengan perintah berikut:
# sudo gedit /etc/rc.local
Kemudian paste konten berikut dalam file (sebelum baris "exit 0"):
ifconfig eth1 up
/usr/local/snort/bin/snort -D -u snort -g snort \
-c /usr/local/snort/etc/snort.conf -i eth1
/usr/local/bin/barnyard2 -c /usr/local/snort/etc/barnyard2.conf \
-G /usr/local/snort/etc/gen-msg.map \
-S /usr/local/snort/etc/sid-msg.map \
-d /var/log/snort \
-f snort.u2 \
–w /var/log/snort/barnyard2.waldo
-D
Simpan file dan keluar. Kemudian reboot atau menggunakan perintah berikut untuk memulai Snort:
# sudo / etc / init.d / rc.local start

Monitoring Your System :
Untuk monitoring dapat membuka alert.php lewat browser ke alamat berikut http://192.168.1.1/snortreport-1.3.2/alerts.php


Beberapa Perintah di SNORT

~ Sniffer Mode
Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh perintah-nya
terdapat di bawah ini,
#snort -v
#snort -vd
#snort -vde
#snort -v -d -e
dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran
yang berbeda, yaitu
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket.
-e, untuk melihat header link layer paket seperti ethernet header.
~ Packet Logger Mode
Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar
terutama jika kita menggunakan ethernet berkecepatan 100Mbps, layar anda akan
scrolling dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling
sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke
sebuah file untuk di lihat kemudian, sambil santai. Beberapa perintah yang mungkin
dapat digunakan untuk mencatat paket yang ada adalah
./snort -dev -l ./log
./snort -dev -l ./log -h 192.168.0.0/24
./snort -dev -l ./log -b
perintah yang paling penting untuk me-log paket yang lewat adalah
-l ./log
yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa
perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa
yang di catat hanya packet dari host mana saja, dan –b yang memberitahukan agar file
yang di log dalam format binary, bukan ASCII.
Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan
perintah –r nama file log-nya, seperti,
./snort -dv -r packet.log
./snort -dvr packet.log icmp
~ Intrusion Detection Mode
Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion
detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi
penyusup adalah dengan menambahkan perintah ke snort untuk membaca file konfigurasi
c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian
besar telah di set secara baik dalam contoh snort.conf yang dibawa oleh source snort.
Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian
penyusup, seperti
./snort -dev -l ./log -h 192.168.0.0/24 -c snort.conf
./snort -d -h 192.168.0.0/24 -l ./log -c snort.conf
Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket
yang lewat dapat menggunakan perintah –l nama-file-logging, atau membiarkan snort
menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa
catatan / logging paket yang ada sesuai dengan isi perintah snort.conf.
Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih
effisien, mekanisme pemberitahuan alert di Linux dapat di set dengan perintah –A
sebagai berikut,
-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full, mode alert dengan informasi lengkap.
-A unsock, mode alert ke unix socket.
-A none, mematikan mode alert.
Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch –s, seperti
tampak pada beberapa contoh di bawah ini.
./snort -c snort.conf -l ./log -s -h 192.168.0.0/24
./snort -c snort.conf -s -h 192.168.0.0/24
Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah di
bawah ini,
./snort -c snort.conf -b -M WORKSTATIONS
Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat
menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort -d -h 192.168.0.0/24 -c /root/snort/snort.conf -A
full -s -D
atau
/usr/local/bin/snort -d -c /root/snort/snort.conf -A full -s -D
dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja
dibelakang layar).



Referensi:
  1. http://www.snort.org/
  2. http://www.snort.org/docs/writing_rules/chap2.html
  3. http://marc.theaimgroup.com/?1=snort-users
  4. http://fidkemp.wordpress.com/2011/03/06/snort-di-windows.php
  5. http://almaipii.multiply.com/journal
  6. http://www.sans.org/security-resources/idfaq/running-snort-windows.php
  7. http://kantin-stmikbg.blogspot.com/2012/10/cara-install-snort-nids-di-ubuntu.html

0 komentar:

Poskan Komentar

Diberdayakan oleh Blogger.

Copyright © / riffStudio

Template by : Urang-kurai / powered by :blogger