Tutorial Pengenalan Snort

Pengujian di sini hanya untuk membantu memahami bagaimana snort tersebut bekerja mendeteksi serangan berdasarkan filter rule yang dimasukan. Dalam pengujian di sini menggunakan system operasi Backtrack yang sudah terinstal snort secara default. Dalam pengujian ini belum digunakan database dan report hanya menggunakan file log. (Dalam implementasi bisa digunakan database dan web report untuk membantu admin memonitor jaringan. Cara instalnya bisa dicari di google untuk menginstal snort yang lebih lengkap).

Untuk mengenal snort, pertama install snort. Tergantung jenis distro Linux yang dipakai. Misalnya untuk Ubuntu jalankan perinah:

#sudo apt –get install snort

Menjalankan Komputer Linux

1. Jalankan komputer Linux (misal: Backtrack). Setelah dilakukan proses instal snort.  Buka jendela Terminal.
2. Pada jendela Terminal window, ketikan perintah berikut, dan lanjutkan dengan Enter:

ping www.google.com

3. Pastikan mendapatkan reply, dan tekan Ctrl+C untuk mengakhiri ping. (Untuk memastikan networknya jalan, jika bermasalah cek kabel dan koneksi).
4. Pada jendela Terminal, masukan perintah berikut, dan kemudian tekan Enter:

ifconfig

5. Temukan interface yang terkoneksi ke internet dan catat interface dan ip address. Sebagai contoh pada gambar eth2, seperti terlihat (kemungkinan bisa eth0 atau eth1) :

A. Konfigurasi Snort untuk Mendeteksi Ping

Snort memiliki serangkaian konfigurasi default, tapi di sini kita mulai dengan konfigurasi sederhana untuk mendeteksi ping.

• Pada jendela Terminal, masukan perintah berikut, tekan Enter setelahnya:

cd /etc/snort
nano snort-test.conf

• Masukan baris berikut, seperti terlihat di gambar:

include /etc/snort/icmp-test.rules

• Simpan file dengan menekan Ctrl+X, Y, Enter.
• Pada jendela Terminal, masukan perintah berikut, tekan Enter setelah selesai tiap baris :

nano icmp-test.rules

• Masukan baris berikut, seperti terlihat pada gambar:

alert icmp any any -> any any (msg:"ICMP Packet"; sid:477; rev:3;)

• Simpan file dengan menekan Ctrl+X, Y, Enter.

Berikut merupakan struktur alert:

<Rule Actions> <Protocol> <Source IP Address> <Source Port> <Direction Operator> <Destination IP Address> <Destination > (rule options)

Tabel: Struktur Rule dan contoh

Pengujian Menjalankan Snort dengan hanya Satu Rule (untuk mendeteksi paket icmp)

• Pada jendela Terminal, masukan perintah berikut, diakhiri dengan tombol Enter :

snort -i eth2 -c /etc/snort/snort-test.conf -l /var/log/snort

catatan : huruf yang terakhir adalah L huruf kecil, bukan angka 1.Gunakan nama interface sesuai dengan komputer, yang bisa saja berbeda bukan eth2.

• Snort mulai berjalan, memperlihatkan pesan “Initialization Complete”, seperti terlihat berikut:

Jika ada pesan Fatal error berarti ada konfigurasinya yang salah.

• Buka jendela Terminal yang lain, ketikan perintah berikut diikuti Enter:

ping -c 1 8.8.8.8

• Pada jendela Terminal, masukan perintah berikut, diikuti Enter :

cat /var/log/snort/alert

Untuk melihat log dari snort

• Maka akan terlihat dua pesan, seperti terlihat di bawah ini. Baris pertama memperlihatkan outgoing ICMP type 8 ECHO request, dan baris kedua memperlihatkan incoming ICMP type 0 ECHO response.

Memberhentikan Snort

• Pada jendela Terminal yang menjalankan Snort, tekan Ctrl+C.
• Snort memperlihatkan halaman  statistik paket, seperti terlihat di bawah:

B. Menjalankan Snort dengan Default Rules

• Pada jendela Terminal, masukan perintah berikut, akhiri dengan Enter :

nano /etc/snort/snort.conf

• Pada text editor, scroll down dan cari baris yang berawalan dengan var HOME_NET.

• Set nilai ini dengan subnet address tergantung alamat ip network yang digunakan, seperti terlihat dibawah (var HOME_NET 192.168.77.0/24). Jika kurang yakin untuk melihat subnet address, buka jendela Terminal dan jalankan perintah ifconfig untuk melihatnya.

• Simpan file dengan menekan Ctrl+X, Y, Enter.

• Pada jendela Terminal, masukan perintah berikut, diikuti dengan Enter :

snort -i eth2 -l /var/log/snort -c /etc/snort/snort.conf

Catatan -l merupakan huruf L kecil, bukan angka 1.

Gunakan nama interface saudara, yang bisa saja bukan eth2 (bisa eth0 atau eth1 lihat perintah sebelumnya).

• Snort berjalan, memperlihatkan pesan “Initialization Complete”. Buka jendela Terminal lain dan masukan perintah berikut, diikuti dengan Enter key:

watch "tail /var/log/snort/alert"

Pengujian snort melalui komputer Windows (Instalasi dan Menjalankan Nmap di Windows)

• Gunakan komputer lain yang menggunakan sistem operasi windows atau juga Linux yang sblumnya terinstal nmap/nmapfe. Bisa gunakan host virtual.
• Buka browser di Windows dan download dan install nmap dari halaman berikut:  http://nmap.org/book/inst-windows.html
• Scroll down dan cari yang versi binaries (pilih versi stabil, miasalnya: nmap-6.01-setup.exe).
• Setelah download lakukan instalasi, dan jalankan nmap untuk melakukan scaning ke komputer Linux (masukan ip address Sistem yang terinstal IDS ), seperti terlihat di gambar berikut:

Monitoring Aktivitas Scanning

• Akan terlihat pada jendela Linux (Backtrack_ muncul pesan yang menampilkan snort mengirim peringatan adanya aktifitas scan.
• Ketika aktifitas scan selesai, click pada jendela Windows untuk melihat peringatan, dan tekan Ctrl+C untuk menghentikan aktifitas monitoring.
• Pada jendela Terminal, masukan perintah berikut diakhiri dengan Enter :

cat /var/log/snort/alert

Maka akan terlihat beberapa pesan yang mendeteksi nmap scans, seperti berikut: