TUGAS KEAMANAN JARINGAN KOMPUTER
SNORT
Disusun Oleh:
Dhody
Firmawan L200100114
Wahyu
Trianggoro Mulyono L200100120
FAKULTAS KOMUNIKASI DAN INFORMATIKA
JURUSAN TEKNIK INFORMATIKA
UNIVERSITAS
MUHAMMADIYAH SURAKARTA
2012/2013
A. Pendahuluan
Network Sniffing adalah suatu aktifitas menyadap yang
di lakukan dalam jaringan yang sangat sulit untuk di cegah, walaupun telah
menginstall berbagai macam software untuk mencegah serangan dalam jaringan. ini
adalah permasalahan dari komunikasi atau protokol jaringan dan tidak ada
hubungannya dengan sistem
operasi,seperti pada judul,aplikasi bernama snort mepermudah.,admin dalam mengawasi dan memantau sistem dari serangan
luar,aplikasi yang berbasis cli ini dapat memberi informasi setiap kegiatan
yang dilakukan komputer dengan pihak luar sesuai protocol,dan interface yang
digunakan
B.
Fungsi/kegunaan
Snort Berguna sebagai alat untuk
mendeteksi secara dini akan adanya penyusup / penyaerang , karena
memberikan info,dari sebuah koneksi ,
kemana saja da di protokol apa saja, meski hanya ping Snort
memiliki Tiga (3) buah mode, yaitu
1. Sniffer mode, untuk
melihat paket yang lewat di jaringan.
2. Packet logger mode,
untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian
hari.
3. Intrusion Detection
mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang
dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan
setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal
dengan paket yang membawa serangan.
C.
Cara kerja
Sniffer Mode Untuk menjalankan snort pada sniffer
mode tidaklah sulit, beberapa contoh perintah-nya terdapat di bawah ini,
#snort -v
#snort -vd
#snort -vde
#snort -v -d -e
dengan
menambahkan beberapa switch –v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu :
-v, untuk
melihat header TCP/IP paket yang lewat.
-d, untuk
melihat isi paket.
-e, untuk
melihat header link layer paket seperti ethernet header.
Packet Logger Mode
Tentunya cukup melelahkan untuk
melihat paket yang lewat sedemikian cepat di layar terutama jika menggunakan ethernet
berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali susah
untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini
adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian,
sambil santai. Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket
yang ada adalah
./snort
-dev -l ./log
./snort
-dev -l ./log -h 192.168.0.0/24
./snort
-dev -l ./log -b
snort -dev
-i eth1 -L /var/log/snort/snort.log
perintah
yang paling penting untuk me-log paket yang lewat adalah
-l ./log
yang menentukan bahwa paket yang
lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan
seperti –h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host
mana saja, dan –b yang memberitahukan agar file yang di log dalam format binary,
bukan ASCII.
Untuk
membaca file log dapat dilakukan dengan menjalankan aplikasi Wireshark dan membuka file tersebut :
masuk ke
direktori log
root@Anggoro-Satellite-L645:~$
cd /var/log/snort/
lalu lihat file
log yang ada dengan cek “dir” lalu buka dengan wireshark
Intrusion Detection Mode
Mode operasi snort yang paling rumit
adalah sebagai pendeteksi penyusup (intrusion detection) di jaringan yang gunakan.
Ciri khas mode operasi untuk pendeteksi penyusup adalah dengan menambahkan
perintah ke snort untuk membaca file konfigurasi –c nama-file-konfigurasi.conf. Isi
file konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam
contoh snort.conf yang dibawa oleh source snort.
Beberapa
contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti
./snort
-dev -l ./log -h 192.168.0.0/24 -c snort.conf
./snort -d
-h 192.168.0.0/24 -l ./log -c snort.conf
Untuk melakukan deteksi penyusup
secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan
perintah –l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya
di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada
sesuai dengan isi perintah snort.conf.
Ada beberapa tambahan perintah yang
akan membuat proses deteksi menjadi lebih effisien, mekanisme pemberitahuan
alert di Linux dapat di set dengan perintah –A sebagai berikut,
-A fast,
mode alert yang cepat berisi waktu, berita, IP & port tujuan.
-A full,
mode alert dengan informasi lengkap.
-A unsock,
mode alert ke unix socket.
-A none,
mematikan mode alert.
Agar snort
beroperasi secara langsung setiap kali workstation / server di boot, dapat menambahkan ke file
/etc/rc.d/rc.local perintah di bawah ini
/usr/local/bin/snort
-d -h 192.168.0.0/24 -c /root/snort/snort.conf –A full -s -D
atau
/usr/local/bin/snort
-d -c /root/snort/snort.conf -A full -s -D
dimana –D
adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).
D.
Percobaan
1.
Metode
Dari Komputer
penyerang (virtualbox) malakukan serangan pakai nmap ip_tujuan
lalu melakukan
ping
2. Hasil
Pada
komputer yang diberi aplikasi snort
menjalankan perintah
“snort -dev -i eth1” disini -dev adalah perintah gabungan dari
-v, untuk
melihat header TCP/IP paket yang lewat.
-d, untuk
melihat isi paket.
-e, untuk
melihat header link layer paket seperti ethernet header. eth1 adalah interface
yang dimonitoring dapat diganti sesuai keinginan dan hasil ketika diserang
dengan nmap
Saat penyerang malakukan Ping
Perintah
untuk menjalankan snort dan di simpan langsung ke log “snort -dev -i eth1 -L
/var/log/snort/snort.log”
maka
diterminal hanya terlihat proses
dikarenakan
monitoring
langsung disimpan ke log,jadi tidak ditampilkan di terminal dan untuk membuka dapat menjalankan nautilus
sebagai super user dan masuk ke direktori
/var/log/snort/
dapt juga dibuka dengan perintah snort -r namafile.log.angka
setiap
dijalankan perintah
“snort -dev -i eth1 -L /var/log/snort/snort.log” maka akan membuat file
seperti gambar diatas, untuk dapat lebih
jelas melihat paket dapat menggunakan aplikasi Wireshark,terlihat paket
protocol dsb
3. Analisa
dalam pembacaan paket
disetiap laporan dibatasi dengan tanda +=+=+=+ ini menendakan telah berbeda
packet,dalam akhir baris biasanya juga terdapat definisi port / paket apa yang
berjalan / digunakan
E.
Kesimpulan
Snort merupakan sebuah
aplikasi yang sangat bermanfaat bagi keamanan suatu jaringan yang memberi
laporan secara detail , dan up to date sehingga segala kegiatan penyerangan
dapat dideteksi / diketahui secara dini, dan yang lebih lagi program ini gratis,namun
dalam pengoperasian cukup rumit butuh kejelian dan kecepatan pembacaan packet
dan untuk lebih jelasnya dibawah ini ada video,ppt serta makalah tentang snort
download