Anda di halaman 1dari 4

Snort: Deskripsi, Fitur, dan Penggunaan

Deskripsi Snort

Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati aktivitas
dalam suatu jaringan komputer. Snort dapat digunakan sebagai suatu Network Intrusion
Detection System (NIDS) yang berskala ringan (lightweight), dan software ini
menggunakan sistem peraturan-peraturan (rules system) yang relatif mudah dipelajari
untuk melakukan deteksi dan pencatatan (logging) terhadap berbagai macam serangan
terhadap jaringan komputer. Dengan membuat berbagai rules untuk mendeteksi ciri-ciri
khas (signature) dari berbagai macam serangan, maka Snort dapat mendeteksi dan
melakukan logging terhadap serangan-serangan tersebut. Software ini bersifat
opensource berdasarkan GNU General Public License [GNU89], sehingga boleh
digunakan dengan bebas secara gratis, dan kode sumber (source code) untuk Snort juga
bisa didapatkan dan dimodifikasi sendiri bila perlu. Snort pada awalnya dibuat untuk
sistem operasi (operating system) berdasarkan Unix, tetapi versi Windows juga sudah
dibuat sehingga sekarang ini Snort bersifat cross-platform.
Snort sendiri merupakan software yang masih berbasis command-line, sehingga cukup
merepotkan bagi pengguna yang sudah terbiasa dalam lingkungan Graphical User
Interface (GUI). Oleh karena itu, ada beberapa software pihak ketiga yang memberikan
GUI untuk Snort, misalnya IDScenter untuk Microsoft Windows, dan Acid yang
berbasis PHP sehingga bisa diakses melalui web browser.

Berbagai Fitur Snort

• Karena Snort bersifat opensource, maka penggunaannya betul-betul gratis. Oleh


karena itu, Snort merupakan pilihan yang sangat baik sebagai NIDS ringan yang
cost-effective dalam suatu organisasi yang kecil jika organisasi tersebut tidak
mampu menggunakan NIDS commercial yang harganya paling sedikit ribuan
dolar US. Dari sisi harga, jelas tidak ada NIDS lain yang mampu mengalahkan
Snort.
• Karena Snort bersifat opensource, maka penggunaannya betul-betul bebas
sehingga dapat diterapkan dalam lingkungan apa saja. Kode sumbernya pun bisa
didapatkan sehingga Snort boleh secara bebas dimodifikasi sendiri sesuai
keperluan. Selain itu, karena snort merupakan software yang bebas, maka telah
terbentuk suatu komunitas Snort yang membantu memberikan berbagai macam
dukungan untuk penggunaan, pengembangan, penyempurnaan, dan perawatan
software Snort itu.
• Snort memiliki bahasa pembuatan rules yang relatif mudah dipelajari dan
fleksibel. Ini berarti bahwa pengguna dapat dengan mudah dan cepat membuat
berbagai rules baru untuk mendeteksi tipe-tipe serangan yang baru. Selain itu,
berbagai rules khusus dapat dibuat untuk segala macam situasi.
• Snort sudah memiliki sebuah database untuk berbagai macam rules, dan
database ini secara aktif terus dikembangkan oleh komunitas Snort sehingga
tipe-tipe serangan yang baru dapat dideteksi dan dicatat.
• Jika organisasi membutuhkan dukungan teknis untuk Snort yang profesional,
maka ada beberapa pihak komersial yang menawarkan dukungan untuk Snort,
misalnya SiliconDefense.Com.
• Snort merupakan software yang ringkas dan padat, sehingga tidak memakan
banyak resources tetapi cukup canggih dan fleksibel untuk digunakan sebagai
salah satu bagian dari NIDS yang terpadu (Integrated NIDS). Selain itu, karena
Snort bersifat lightweight, maka penerapannya juga mudah dan cepat.
• Snort dapat melakukan logging langsung ke sistem database, misalnya ke
MySQL, PostGRE SQL, dan MS SQL.
• Snort sebagai NIDS dapat menyembunyikan dirinya dalam jaringan komputer
sehingga keberadaannya tidak bisa terdeteksi oleh komputer mana pun. Ini
disebut sebagai stealth mode.
• Snort memiliki 3 mode pengoperasian, yaitu:
1. Sniffer Mode: Dalam mode ini, Snort bertindak sebagai software sniffer
yang dapat melihat semua paket yang lewat dalam jaringan komputer di
mana Snort diletakkan. Fungsi snort dalam sniffer mode ini sama seperti
yang ada di software Iris. Dalam mode ini, berbagai paket hanya ditampilkan
di layar monitor secara real time.
2. Packet Logger Mode: Dalam mode ini, selain melihat semua paket yang
lewat dalam jaringan komputer, Snort juga dapat mencatat atau melakukan
logging terhadap berbagai paket tersebut ke disk. Dengan kata lain, Snort
membuat copy dari paket-paket yang lewat dan menyimpan copy tersebut di
disk sehingga pengguna Snort dapat melakukan analisis terhadap lalu lintas
jaringan atau untuk keperluan lainnya.
3. Network Intrusion Detection Mode: Dalam mode yang paling rumit dan
fleksibel ini, Snort bertindak sebagai NIDS yang dapat mendeteksi dan
melakukan logging terhadap berbagai macam serangan terhadap jaringan
komputer berdasarkan rules system yang telah ditetapkan oleh pengguna
Snort. Rules system di Snort akan mendeteksi serangan-serangan tersebut
berdasarkan ciri-ciri khas (signature) dari serangan tersebut.
Instalasi Snort di Windows 2000

1. Sebelum instalasi, harus dipastikan bahwa pengguna telah melakukan login ke


Windows 2000 sebagai administrator. Jika bukan sebagai administrator, maka
instalasi tidak akan bisa selesai karena masalah user privilege.
2. Sebuah driver untuk melakukan penangkapan paket (packet capture driver) harus
diinstal terlebih dahulu di Windows 2000, misalnya WinPCAP atau Packet2k.
3. Setelah itu, lakukan instalasi Snort di folder tertentu, misalnya di C:\Snort.
4. Untuk memudahkan pengkonfigurasian dan pengoperasian Snort di lingkungan
Windows, maka IDScenter diinstal juga sehingga memberikan antarmuka untuk
Snort yang berbasis GUI sehingga lebih mudah dan nyaman untuk digunakan.
5. Setelah instalasi IDScenter selesai, maka jalankan IDScenter sehingga pengguna
dapat melakukan konfigurasi terhadap Snort dan IDScenter.
6. Klik pada tray icon untuk IDScenter yang ada di sebelah clock di taskbar Windows,
dan pilih Settings untuk melakukan konfigurasi.
7. Pada tab General, di Main Configuration, tentukan letak file snort.exe sehingga
IDScenter dapat menjalankannya. Jika Snort diinstal di folder C:\Snort, maka
snort.exe akan berada di C:\Snort\bin.
8. Tentukan pula letak logfile yang dibuat oleh Snort. Jika Snort diinstal di folder
C:\Snort, maka logfilenya adalah C:\Snort\log\alert.ids.
9. Pada tab IDS Rules, di Snort config, tentukan letak file snort.conf. Jika Snort
diinstal di folder C:\Snort, maka snort.conf ada di C:\Snort\etc. Lakukan perubahan
seperlunya di file snort.conf tersebut sesuai kebutuhan.
10. Di Rules/Signatures, tentukan letak file classification.config. Jika Snort diinstal di
folder C:\Snort, maka file tersebut ada di C:\Snort\etc.
11. Pilihlah rules-rules yang akan digunakan oleh Snort dalam melakukan deteksi dan
logging terhadap berbagai macam serangan terhadap jaringan komputer. Rules-rules
tersebut juga dapat diedit di Ruleset Editor yang disediakan oleh IDScenter.
12. Pada tab Log settings, tentukan apa saja yang ingin dicatat atau dilog oleh Snort ke
dalam file log alert.ids. Berbagai fitur dan option dapat dipilih dari sini.
13. Pada tab Alerts, tentukan metode mana yang akan digunakan oleh IDScenter untuk
memberitahu pengguna bahwa telah terjadi serangan terhadap jaringan komputer.
Ada dua cara:
• Melalui logfile alert.ids
• Melalui database
Jika ingin menggunakan suara untuk memberitahu pengguna, maka itu pun dapat
ditentukan di tab ini. Selain itu, IDScenter mendukung berbagai plugin untuk
melakukan berbagai macam tindakan jika terjadi serangan, misalnya untuk
melakukan blocking/shunning secara otomatis, atau menjalankan suatu program
untuk menanggulangi serangan, dan seterusnya. IDScenter juga dapat mengirimkan
suatu pesan email kepada pengguna untuk memberitahu bahwa telah terjadi
serangan terhadap jaringan komputer.
14. Setelah semua konfigurasi selesai, klik pada Apply. Jika ada error pada konfigurasi,
maka akan muncul pesan error. Jika tidak, berarti konfigurasi telah berhasil.
15. Klik pada Test settings untuk menguji apakah Snort dapat berjalan dengan baik
berdasarkan konfigurasi yang telah ditetapkan sebelumnya. Jika Test settings
menunjukkan bahwa Snort dapat berjalan dengan baik tanpa error, maka konfigurasi
selesai dan Snort bisa diaktifkan sebagai NIDS.
16. Aktifkan Snort melalui IDScenter dengan cara mengklik pada Start Snort. Jika ada
serangan yang terdeteksi oleh Snort, maka IDScenter akan memberikan alert kepada
pengguna sesuai dengan cara yang telah ditentukan pada waktu konfigurasi. Selain
itu, tray icon untuk IDScenter akan berkelip-kelip merah untuk menunjukkan bahwa
telah terjadi serangan terhadap jaringan komputer.

Contoh Pembuatan Rules di Snort

Snort menggunakan suatu bahasa deskriptif untuk menentukan rules atau peraturan-
peraturan guna pendeteksian berbagai macam serangan terhadap jaringan komputer.
Bahasa deskriptif ini relatif mudah dipelajari namun cukup fleksibel dan canggih.
Peraturan Snort dibagi menjadi 2 bagian, yaitu rule header dan rule options. Rule header
berisikan tindakan yang harus dilakukan, protokol yang dimonitor, alamat IP asal dan
tujuan, netmask, serta nomor port asal dan tujuan. Rule options berisikan pesan-pesan
yang dimunculkan, serta bagian mana dari paket yang harus diamati untuk menentukan
apakah perlu melakukan tindakan atau tidak.
Contoh peraturan di Snort adalah sebagai berikut:
alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|";
msg:"mountd access";)

Yang ada di antara ( ) merupakan rule options, sedangkan bagian sebelumnya adalah
rule header. Di rule header di atas, terlihat bahwa Snort harus memberikan alert jika ada
access menggunakan protokol tcp dari alamat IP mana saja port 24 ke alamat IP mana
saja port 111 dengan netmask 192.168.1.0. Netmask digunakan untuk menentukan
nomor jaringan. Di rule options, ditentukan bahwa Snort akan memberikan pesan
“mountd access” jika di dalam paket terdapat isi heksadesimal “00 01 86 a5”.