June 2013 - Komputer & Pengetahuan Umum
Loading...
Gadget by Powered By Moel.

Hot

Photobucket

Post Top Ad

Thursday, 6 June 2013

Snort

6:38:00 pm 0
TUGAS KEAMANAN JARINGAN KOMPUTER
SNORT




Disusun Oleh:
Dhody Firmawan                   L200100114
Wahyu Trianggoro Mulyono L200100120


FAKULTAS KOMUNIKASI DAN INFORMATIKA
JURUSAN TEKNIK INFORMATIKA
UNIVERSITAS MUHAMMADIYAH SURAKARTA
2012/2013
A.    Pendahuluan
Network Sniffing adalah suatu aktifitas menyadap yang di lakukan dalam jaringan yang sangat sulit untuk di cegah, walaupun telah menginstall berbagai macam software untuk mencegah serangan dalam jaringan. ini adalah permasalahan dari komunikasi atau protokol jaringan dan tidak ada hubungannya dengan sistem operasi,seperti pada judul,aplikasi bernama snort mepermudah.,admin dalam mengawasi dan memantau sistem dari serangan luar,aplikasi yang berbasis cli ini dapat memberi informasi setiap kegiatan yang dilakukan komputer dengan pihak luar sesuai protocol,dan interface yang digunakan


B.     Fungsi/kegunaan
            Snort Berguna sebagai alat untuk mendeteksi secara dini akan adanya penyusup / penyaerang , karena memberikan  info,dari sebuah koneksi , kemana saja da di protokol apa saja, meski hanya ping Snort memiliki  Tiga (3) buah mode, yaitu
1. Sniffer mode, untuk melihat paket yang lewat di jaringan.
2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari.
3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.







C.    Cara kerja
            Sniffer Mode Untuk menjalankan snort pada sniffer mode tidaklah sulit, beberapa contoh perintah-nya terdapat di bawah ini,
#snort -v
#snort -vd
#snort -vde
#snort -v -d -e

dengan menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu :
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket.
-e, untuk melihat header link layer paket seperti ethernet header.


Packet Logger Mode
            Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama jika menggunakan ethernet berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian, sambil santai. Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah
./snort -dev -l ./log
./snort -dev -l ./log -h 192.168.0.0/24
./snort -dev -l ./log -b
snort -dev -i eth1 -L /var/log/snort/snort.log
perintah yang paling penting untuk me-log paket yang lewat adalah
-l ./log
            yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti –h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan –b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII.
Untuk membaca file log dapat dilakukan dengan menjalankan aplikasi Wireshark  dan membuka file tersebut :
masuk ke direktori log
root@Anggoro-Satellite-L645:~$ cd /var/log/snort/

lalu lihat file log yang ada dengan cek “dir” lalu buka dengan wireshark




Intrusion Detection Mode
            Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) di jaringan yang gunakan. Ciri khas mode operasi untuk pendeteksi penyusup adalah dengan menambahkan perintah ke snort untuk membaca file konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh snort.conf yang dibawa oleh source snort.
Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti
./snort -dev -l ./log -h 192.168.0.0/24 -c snort.conf
./snort -d -h 192.168.0.0/24 -l ./log -c snort.conf
            Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan perintah –l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi perintah snort.conf.
            Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien, mekanisme pemberitahuan alert di Linux dapat di set dengan perintah –A sebagai berikut,
-A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full, mode alert dengan informasi lengkap.
-A unsock, mode alert ke unix socket.
-A none, mematikan mode alert.


Agar snort beroperasi secara langsung setiap kali workstation / server di boot,  dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort -d -h 192.168.0.0/24 -c /root/snort/snort.conf –A full -s -D
atau
/usr/local/bin/snort -d -c /root/snort/snort.conf -A full -s -D
dimana –D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).



D.    Percobaan
1.      Metode
Dari Komputer penyerang (virtualbox) malakukan serangan pakai nmap ip_tujuan






lalu melakukan ping



 






2.      Hasil

Pada komputer yang diberi aplikasi snort  menjalankan perintah
snort -dev -i eth1”  disini -dev adalah perintah gabungan dari 
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket.
-e, untuk melihat header link layer paket seperti ethernet header. eth1 adalah interface yang dimonitoring dapat diganti sesuai keinginan dan hasil ketika diserang dengan nmap



 









Saat penyerang malakukan Ping



 





Perintah untuk menjalankan snort dan di simpan langsung ke log   “snort -dev -i eth1 -L /var/log/snort/snort.log”
maka diterminal hanya terlihat proses


dikarenakan
monitoring langsung disimpan ke log,jadi tidak ditampilkan di terminal  dan untuk membuka dapat menjalankan nautilus sebagai super user dan masuk ke direktori  /var/log/snort/





 



dapt juga dibuka dengan perintah snort -r namafile.log.angka

 

setiap dijalankan perintah
snort -dev -i eth1 -L /var/log/snort/snort.log”  maka akan membuat file seperti gambar diatas, untuk dapat lebih  jelas melihat paket dapat menggunakan aplikasi Wireshark,terlihat paket protocol dsb











3.      Analisa
dalam pembacaan paket disetiap laporan dibatasi dengan tanda +=+=+=+ ini menendakan telah berbeda packet,dalam akhir baris biasanya juga terdapat definisi port / paket apa yang berjalan / digunakan
E.     Kesimpulan
Snort merupakan sebuah aplikasi yang sangat bermanfaat bagi keamanan suatu jaringan yang memberi laporan secara detail , dan up to date sehingga segala kegiatan penyerangan dapat dideteksi / diketahui secara dini, dan yang lebih lagi program ini gratis,namun dalam pengoperasian cukup rumit butuh kejelian dan kecepatan pembacaan packet


dan untuk lebih jelasnya dibawah ini ada video,ppt serta makalah tentang snort

download














Read More

Post Top Ad