Sabtu, 06 Juli 2013

Snort adalah sebuah program yang memiliki tiga fungsi atau tiga modus operasi. Snort dapat dipakai
dalam packet sniffer mode sehingga bekerja sebagai sniffer sama seperti Wireshark. Sama seperti
Wireshark, Snort juga dapat menyimpan setiap packet yang di-capture ke dalam media penyimpan di
modus packet logger mode. Akan tetapi berbeda dengan Wireshark, Snort dapat dipakai sebagai
komponen NIDS dengan menjalankannya pada Network Intrusion Detection System (NIDS) mode. Pada
modus yang terakhir ini, Snort akan menganalisa packet berdasarkan rule yang ada untuk mengenali
adanya upaya serangan hacker.

● Install Snort
# apt-get install snort snort-rules-default

● Konfigurasi Snort
Jika muncul seperti ini masukkan network address dari alamat jaringan lokal yang ingin dilindungi.


Setelah instalasi selesai, lakukan konfigurasi pada file snort.conf. Ketikkan perintah berikut :
# nano /etc/snort/snort.conf

Tekan CTRL + W lalu cari kata kunci HOME_NET any. Setelah ketemu baris var HOME_NET any, edit menjadi seperti ini :
var HOME_NET 172.16.100.0/24

Kemudian edit juga baris :
# Set up the external network addresses as well. A good start may be "any"

var EXTERNAL_NET any
#var EXTERNAL_NET !$HOME_NET

Menjadi seperti ini :
# Set up the external network addresses as well. A good start may be "any"
#var EXTERNAL_NET any
var EXTERNAL_NET !$HOME_NET
Jika sudah simpan dan tutup file tersebut.

● Restart Service
# service snort restar

Testing
Sekarang kita coba salah satu mode snort yaitu mode sniffer dengan perintah berikut :
# snort -v -c /etc/snort/snort.conf

Dari situ akan terlihat seluruh aktifitas jaringan yang keluar masuk dari dan melalui interface eth0 si Server. Lalu
darimana kita tahu akan adanya serangan atau tidak? Kita bisa mengeceknya dari file log snort itu sendiri.
# tail -f /var/log/snort/alert

Sekarang kita coba untuk melakukan port scanning terhadap Server dengan perintah berikut :
# nmap -v -PN 192.168.5.241
Maka ini adalah contoh peringatan yang muncul :
[**] [122:1:0] (portscan) TCP Portscan [**]
[Priority: 3]
02/08-23:21:37.987098 192.168.10.4 -> 192.168.10.1
PROTO:255 TTL:0 TOS:0x0 ID:0 IpLen:20 DgmLen:160 DF

Selain itu kita juga dapat membuat policy sesuai keinginan kita masing-masing dengan memasukkannya kedalam file /etc/snort/rules/local.rules.
# nano /etc/snort/rules/local.rules

Didalamnya coba isikan dengan script berikut :
alert icmp any any -> any any (msg:"ada orang yang lagi nyoba
ngeping";sid:10000001;rev:0;)
alert tcp any any -> any 21 (msg:"FTP server lagi di akses";sid:10000002;rev:1;)

Bingung? Sebenarnya rumus dari script diatas adalah seperti ini :

jenis_perintah protokol network_sumber port_sumber -> network_tujuan port_tujuan
(msg:”isi pesan error yang muncul apa”;sid:dimulai dari angka 10000001;rev:dimulai dari
angka 0;)

Simpanlah file konfigurasi tadi lalu jalankan lagi si snort dengan perintah berikut :
# snort -v -c /etc/snort/snort.conf

Kemudian cobalah testing dengan melakukan ping ke Server ataupun cobalah akses service FTP dari si Server.
Lihatlah apa pesan peringatan yang muncul.
# tail -f /var/log/snort/alert
[**] [1:10000001:0] ada orang yang lagi nyoba ngeping [**]
[Priority: 0]
02/08-23:50:21.608491 192.168.10.1 -> 192.168.10.4
ICMP TTL:64 TOS:0x0 ID:45894 IpLen:20 DgmLen:84
Type:0 Code:0 ID:5904 Seq:6 ECHO REPLY

1 komentar: