Snort

442 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
442
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Snort

  1. 1. LaporanPratikum 1 PratikumKeamanan Data Intrusion Detection System MenggunakanSnort Keamananjaringanmenjadifokuspentingdalammelindungiseranganterhadapinformasiatauaset yang berhargabagisebuahorganisasi. Salah satumetodepengamanan yang baikadalahmembangunsistempendeteksipenyusupan. Intrusion Detection System berfungsimelakukanpengamatan (monitoring) kegiatan-kegiatan yang tidaklazimpadajaringan, sehinggalangkahawaldari para penyerangdapatdiketahui. Dengandemikian administrator jaringanbisamelakukantindakanpencegahandanbersiapataskemungkinan yang akanterjadikemudian. Ada beberapaalasanuntukmenggunakan IDS, diantaranyaadalah : Mendeteksiserangandanpelanggarankeamanansistemjaringan yang tidakbisadicegaholeh firewall, danjuga Mencegahresikokeamanan yang terusmeningkat agar serangantidakterulangkembali. Untukmembangun IDS tentuadabanyakhal yang perludipertimbangkanentahdenganbiaya yang mahaldenganmemanfaatkanbeberapa device yang memilikimodul IDS, adapula yang tanpabiayadenganmemanfaatkansebuah open source yang telahada. Melihatadasesuatu yang dapatdibangundengan gratis tentulahbanyaksekali orang yang memanfaatkannya, karenacukupmudahmemanfaatkan tools tersebut. Tools umum yang banyaksekalidigunakanadalah Snort IDS. Dalampengoperasiannya, Snort memiliki 3 mode yaitu: 1. Sniffer mode,untukmelihatpaket yang lewat di jaringan. 2. Packet logger mode,untukmencatatsemuapaket yang lewat di jaringanuntuk di analisa di kemudianhari. 3. Intrusion Detection mode,pada mode ini snort akanberfungsiuntukmendeteksiserangan yang dilakukanmelaluijaringankomputer. Untukmenggunakan mode IDS ini di perlukan setup dariberbagai rules / aturan yang akanmembedakansebuahpaket normal denganpaket yang membawaserangan. Snort Setup Padapembahasan kali inidigunakanMikroTikRouterBoard 1100. Padapembahasaninidigunakan 3 NIC dengan detail penggunaansebagaiberikut: eth1dengan 10.252.108.14, IP address yang berasaldari EEPIS server (dalamhalini, IP address inidianggap IP publik), didapatdari DHCP EEPIS Server . eth3dengan 192.168.1.1 private IP address, jaringanprivatdigunakanuntuk client. eth4dengan master port eth3 sehinggamenggunakan private IP address.
  2. 2. LaporanPratikum 2 PratikumKeamanan Data Berikutpenggambaranskemapadapembahasan: Setelahkonfigurasi router danclientsudahdibuat, lingkungandapatdigunakanuntukmelakukanpercobaanmenggunakan Snort. Instalasi Snort Lakukaninstalasi snort pada Client1. Padapercobaanini Client1 digunakansebagai PC server temapat Snort diinstal. # apt-get install snort Kemudianmasukkan range network yang akandianalisa. Berikuthasilpemasukan range network untukinstalasi snort:
  3. 3. LaporanPratikum 3 PratikumKeamanan Data Menjalankan Snort dalam Sniffer mode Sepertisudahdibahasdiatasbahwa Snort memiliki 3 mode pengoperasian, padapembahasaniniakandibahas mode pengoperasiantersebut. Mode yang pertamaadalah Sniffer mode. Untukmenjalankan snort pada sniffer mode tidaklahsukar, beberapacontoh parameter yang dapatdigunakan di bawahini: #snort –v Berikuthasilperintah #snort –v: Setelah startup, Snort menampilkan mode, logging directory dan interface Snort langsung me-listen pada port. Kemudian Snort mulai men-dump paket. Snort akanmeng-generate ringkasanpaket yang diambil, termasukprotokoldanstatistiklainnya, sepertifragmentasipaket. Opsi -d akanmenampikan data aplikasi. Opsiinimenyediakan output bahkanlebihrinci. Data aplikasiterlihatjelasdandapatmelihatteksbiasadalampaket.
  4. 4. LaporanPratikum 4 PratikumKeamanan Data #snort –vd Berikuthasilperintah #snort –vd: Untukmelihatlebih detail danmendapatkanhasil yang miripdengantcpdump (termasuk header lapisan data link), gunakanopsi -ejuga. Menggunakanopsi-d danopsi - eakanmenampilkanhampirsemua data di dalampaket.
  5. 5. LaporanPratikum 5 PratikumKeamanan Data #snort –vde Berikuthasilperintah #snort –vde: Kebanyakanjaringanakanmenghasilkanload off trafficdan output sniffer Snort kelayarakanbergulirdengansangatcepat. Jadilebihbaikuntukmengarahkan output kesebuah file log gantinya.
  6. 6. LaporanPratikum 6 PratikumKeamanan Data #snort –v –d –e Berikuthasilperintah#snort –v –d –e: denganmenambahkanbeberapa switch –v, -d, -e akanmenghasilkanbeberapakeluaran yang berbeda, yaitu: -v, untukmelihat header TCP/IP paket yang lewat. -d, untukmelihatisipaket. -e, untukmelihat header link layer paketsepertiEthernet header.
  7. 7. LaporanPratikum 7 PratikumKeamanan Data Menjalankan Snort dalam Packet Logger mode Karenaoutput sniffer Snort kelayarakanbergulirdengansangatcepat, untukmempermudahpembacaanmasukkanhasil snort kedalam file, jalankanperintahberikut: #snort –dev –i eth0 –L /var/log/snort/snort.log Berikuthasil me-log-kanhasil snort pada snort.log Akan menghasilkansebuah file di folder /var/log/snort. Berikuthasilperintah # lsdari folder /var/log/snort: Untukmembaca file snort (misal: snort.log.1234) berikan option –r pada snort # snort -dev -r /var/log/snort/snort.log.1234 Berikuthasil read dari snort.log yang sudahdigenerate Log yang di-generate oleh Snort adalah log yang dienkripsi.
  8. 8. LaporanPratikum 8 PratikumKeamanan Data Menjalankan Snort dalamNIDS (Network Intrusion Detection System) mode Mode operasi snort yang paling rumitadalahsebagaipendeteksipenyusup (intrusion detection) di jaringan yang kitagunakan. Cirikhas mode operasiuntukpendeteksipenyusupadaahdenganmenambahkanperintahke snort untukmembaca file konfigurasi –c nama-file-konfigurasi.conf. Isi file konfigurasiinilumayanbanyak, tapisebagianbesartelah di set secarabaikdalamcontohsnort.conf yang dibawaoleh source snort. Untukmenjalankansnort dengan mode NIDS, opsi e dihilangkankarenakitatidakperlumengetahui link layer MAC. Opsi v dihilangkanjuga, jalankanmenggunakan option sebagaiberikut: #snort -d -h 192.168.1.0/24 -l /var/log/snort -c /etc/snort/snort.conf Berikuthasileksekusiperintahdari snort running In IDS mode: Untukmengetahuikerja Snort dalam NIDS mode, jalankan scanning darikomputer lain (PC Client) dengannmapmenujukomputer yang andapasangi snort (PC Server). Terlebihdulujalankan snort dengan mode NIDS, kemudianlakukan scanning denganperintah: #snort -d -h 192.168.1.0/24 host <no_ip_snort> -l /var/log/snort –c /etc/snort/snort.conf Berikutmerupakanhasilnmapdari client2 ke client 1:
  9. 9. LaporanPratikum 9 PratikumKeamanan Data Setelah di scan menggunakannmap. Untukmelihatapa yang dicatatoleh snort, dapat dihasil log snort, atauuntukmempermudahnya, dapatdilihat di alert log snort. Berikuthasil yang di tangkapoleh alert log snortpada port 53. [**] [1:257:9] DNS named version attempt [**] [Classification: Attempted Information Leak] [Priority: 2] 04/08-03:31:08.565026 192.168.1.253:62292 -> 192.168.1.252:53 TCP TTL:128 TOS:0x0 ID:22366 IpLen:20 DgmLen:72 DF ***AP*** Seq: 0x55293CD9 Ack: 0x190DE26D Win: 0x100 TcpLen: 20 [Xref => http://cgi.nessus.org/plugins/dump.php3?id=10028][Xref =>http://www.whitehats.com/info/IDS278] Untukpercobaanberikutyaadalahpercobaanmembuat rule baru. rulebarusimpan di /etc/snort/rules. Rule yang dibuatkuranglebihadalahsepertiberikut: alert tcp any any -> any any (content:”10.252.108.99”; msg:”Someone is visiting Webfig”;sid:1000001;rev:1;) alerttcp any any -> any any (msg:"TCP Traffic";sid:1000002;rev:0;) Rule diatasbermaksuduntukmemberikan alert ketikaadatransaksidat TCP dariIpberapasajadan port berapasajakemudiake IP berapasajake port berapasajadengankonten10.252.108.99akanmemberikanpesansepertidiatas. Kemudiantambahkaninclude $RULE_PATH/alltcp.rulespada/etc/snort/snort.conf. kemudian restart sevice snort. Hasilnyaadalah

×