Intrusion Detecting System (IDS) - Snort Packet Logger

 

Intrusion Detection System adalah sebuah metode yang dapat digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi.

Tipe Dasar IDS :

- Rule Based System - Berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan

- Adaptive System - Mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk-bentuk penyusupan yang lain

Secara umum snort dapat di operasikan dalam tiga (3) buah mode, yaitu

- Sniffer mode, untuk melihat paket yang lewat di jaringan.

- Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari.

- Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa  serangan.

Pada Blog ini saya akan mencoba menggunakan Sniffer mode.

Langkah - Langkah Percobaan :

1. Pertama-2 kita update terlebih dahulu Linux Ubuntu yang kita gunakan.

2. Setelah itu kita install paket libpcab. Libpcab (library packet capture) adalah alat yang banyak digunakan dalam Pengendus lalu lintas alamat Protokol Kontrol Transmisi/Protokol Internet , pencarian dan penganalisis konten untuk pencatatan paket, analisis lalu lintas waktu nyata, analisis protokol, dan pencocokan konten.

3. Kemudian kita pergi ke "nano /etc/snort/snort.conf". Lalu pergi kebawah cari "ipvar", dan ganti dibagian any menjadi IP Network kita.

4. Lalu kita ke bagian Step #7, dan pada # site specific rules kita isi seperti berikut.

include $RULE_PATH/local.rules

var LOG_IP (Ip Client)

alert tcp $LOG_IP any -> any any (msg: "Akses Dari Dia"; sid:1;)

5. Setelah itu kita ketikan "snort –d -l /var/log/snort.log -c /etc/snort/snort.conf -D". Yang dimana fungsi dari masing2 perintah yakni : 

-d: Opsi ini membuat snort menampilkan data paket yang ditangkap dalam format heksadesimal dan ASCII. Ini berguna untuk menganalisis isi paket secara detail.

-l <logdir>: Opsi ini menentukan direktori tempat snort menyimpan file log. File log berisi informasi tentang paket yang ditangkap, seperti alamat IP, protokol, dan payload.

-c <config_file>: Opsi ini menentukan file konfigurasi yang digunakan oleh snort. File konfigurasi berisi aturan-aturan yang menentukan bagaimana snort mengenali dan menangani serangan jaringan.

-D: Opsi ini membuat snort berjalan sebagai daemon, yaitu proses latar belakang yang tidak memerlukan interaksi dengan pengguna. Ini berguna untuk menjalankan snort secara terus-menerus tanpa mengganggu aktivitas pengguna lainnya.

6. Kemudian kita ketik "snort –d -h 192.168.62.0/24 -l /var/log/snort.log -c /etc/snort/snort.conf". Yang fungsi ini adalah untuk menjalankan snortnya. Untuk fungsi perintah2 nya ialah : 

-d: Menampilkan data paket dalam format heksadesimal dan ASCII

-h: Menentukan jaringan rumah Anda, yang merupakan jaringan yang ingin Anda lindungi dari intrusi.

-l: Menentukan direktori tempat log snort disimpan.

-c: Menentukan file konfigurasi snort yang berisi aturan-aturan untuk mendeteksi aktivitas jahat.

7. Lanjut untuk logging dengan parameter ASCII, kita gunakan perintah "snort -dev -K ASCII".

Fungsi dari masing-2 perintah yakni : 

-dev: opsi ini digunakan untuk menampilkan informasi tambahan tentang paket-paket yang dicatat, seperti alamat MAC, timestamp, dan checksum

-K: opsi ini digunakan untuk menentukan format logging yang diinginkan. Nilai ASCII berarti Snort akan mencatat paket-paket dalam format teks ASCII, bukan format biner pcap.

8. Kita cek pada aplikasi WinSCP untuk hasil lognya, dengan pergi ke "/var/log/snort". Disitu akan muncul folder IP Address Clientnya.

9. Dan jika kita buka sebenarnya tidak bisa karena belum dapat perizinan untuk membukanya. Kita ganti terlebih dahulu perizinan foldernya dengan gunakan perintah chmod. 

-7773 adalah sebuah kode oktal yang menentukan hak akses untuk pemilik, grup, dan pengguna lain. Angka pertama (7) menunjukkan hak akses untuk pemilik, angka kedua (7) menunjukkan hak akses untuk grup, dan angka ketiga (7) menunjukkan hak akses untuk pengguna lain. Angka keempat (3) menunjukkan bit setuid dan bit setgid, yang berarti file atau direktori akan dijalankan dengan hak akses pemilik atau grup, bukan hak akses pengguna yang menjalankannya.

-R adalah sebuah opsi rekursif yang berarti perintah akan berlaku untuk direktori dan semua subdirektori dan file di dalamnya. Jika opsi ini tidak digunakan, perintah hanya akan berlaku untuk direktori yang ditentukan, bukan isinya.

10. Dan hasilnya kita bisa buka dan melihat log dari hasil snort nya.