Apa itu Snort?
You can call me Rusadi. I'm 19 years old and currently I am a student. I was very interested in technological developments. Thank You! ✌️
Snort adalah sebuah software yang berguna untuk mengamati aktivitas dalam suatu jaringan komputer. Snort mampu menganalisis paket yang melintasi jaringan secara real time dan file logging ke dalam database. Snort merupakan salah satu contoh jenis IDS yang termasuk kategori Network-based Intrusion Detection System (NIDS), yaitu sebuah program sistem yang dapat mendeteksi suatu penyusupan (intrusion) di dalam sistem jaringan komputer, dan software ini menggunakan sistem peraturanperaturan (rules system) yang relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging) terhadap berbagai macam serangan terhadap jaringan komputer.
Snort dapat digunakan sebagai tools untuk pendeteksi dan juga untuk mencegah apabila terindikasi sebuah paket data yang terdapat pada traffic jaringan teridentifikasi sebagai threats atau terdeteksi sebagai ancaman. Software ini bersifat open source, sehingga boleh digunakan dengan bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa didapatkan dan dimodifikasi sendiri bila perlu.
SNORT Mode
Snort dapat dikonfigurasi menggunakan tiga mode utama: sniffer, packet logger, dan network intrusion detection.
- Mode Sniffer : pada mode ini, snort bertugas untuk menangkap paket-paket pada lalu lintas jaringan serta menampilkannya ke layar dalam bentuk aliran yang bersifat continuous pada sebuah layar
- Mode Logger : pada mode ini, snort akan mencatat log dari paket-paket pada lalu lintas jaringan dan menyimpannya ke dalam disk.
- Mode Intrusion Detection : snort akan memonitor semua traffic yang lewat dan membandingkan dengan rule yang di definisikan oleh user. Snort IDS mirip dengan tcpdump/wireshark, tetapi memiliki outputyang lebih bersih dan bahasa aturan yang lebih fleksibel. Sama seperti tcpdump / wireshark, snort akan mendengarkan antarmuka tertentu, atau membaca jejak paket dari sebuah file.
SNORT Rules
Snort menggunakan aturan yang sederhana dan menggunakan bahasa yang fleksibel dan kuat. Kebanyakan aturan snort dituliskan secara single line, akan tetapi aturan snort juga bisa dituliskan secara multiple line dengan menambahkan backslash () pada akhir baris.
Aturan snort terbagi menjadi 2 sesi, yaitu rule header dan rule options. Rules header memuat aksi, protokol, asal serta tujuan IP dan netmask, dan asal serta tujuan port, sedangkan rule options memuat pesan peringatan dan informasi pada bagian tertentu dari bagian paket yang harus di inspeksi untuk menentukan apakah rule action harus dilakukan atau tidak. Aturan penulisan untuk sebuah aturan snort adalah sebagai berikut :
action protocol source_ip source_port direction destination_ip
destination_port (option)
Arti dari aturan penulisan rules tersebut adalah sebagai berikut :
- Action : alert, log, pass, activate, dynamic, (drop, reject, sdrop).
- Protocol : tcp, udp, icmp, dan ip.
- Source_ip : IP asal.
- Destination_ip : IP tujuan.
- Source_port & : port yang akan dipantau (contoh : port 80 destination port untuk HTTP, port 25 untuk SMTP, dll) .
- Direction : arah darimana traffic datang.
- Option : berisi tentang apa yang akan diinformasikan oleh IDS jika ada kegiatan yang sesuai dengan rules.
Contoh Penulisan Snort Rules
alert tcp any any -> 192.168.0.100 23 (msg: "Ada paket telnet yang masuk
ke system!"; sid:1000001;)
Penjelasan dari Penulisan Rules tersebut :
Jika mengaktifkan snort rules di atas, maka apabila ada yang mencoba melakukan telnet (port 23) dari IP berapapun ke mesin, akan muncul peringatan/alert dengan string yang dapat dibaca oleh seorang administrator dengan menampilkan informasi “Ada paket telnet yang masuk ke sistem!” pada layar monitor.
