Snort PDF
Snort PDF
Firewall saja terkadang tidak cukup untuk mendeteksi serbuan dari hacker
jahat atau intruder di luar system kita. Dapat di analogikan, kalau
firewall itu membatasi gerak para intruder, misalnya dengan hanya
membolehkan port 80 http saja dan memblokir port lainnya.
Sudah amankah ? belum, karena serangan tetap dapat dilakukan melalui port
80, misalnya dengan memanfaatkan unicode directory traversal
vulnerability atau serbuan virus code red yang dapat menjatuhkan server
IIS Anda. Untuk mendeteksi isi paket yang lewat, maka diperlukan
intrusion detection system atau sering disebut IDS. IDS yang gratis
adalah SNORT.
1.1 Pengenalan
Snort bukanlah software yang sulit, tapi perlu banyak latihan karena
banyaknya 'command-command' yang harus digunakan, tujuan dari pembuatan
artikel ini untuk membuat user lebih mudah untuk mengenali 'snort'.
1.2 Instalasi
download paket yang terbaru dari snort.org, saya disini menggunakan snort
2.0.0
# wget -c http://www.snort.org/dl/snort-2.0.0.tar.gz
# wget -c http://www.snort.org/dl/rules/snortrules-stable.tar.gz
untuk lebih lengkap nya silahkan baca ./configure --help secara default
snort akan terinstall di /usr/local/bin/snort
fyuh, mari coba pelajaran dasar dulu ;) jika anda ingin menampilkan
TCP/IP header ke layar ( mis. sniffer mode ), coba perintah ini:
# snort -v
command di atas akan menjalan snort dan hanya akan menampilkan IP dan
TCP/UDP/ICMP header, tapi jika anda mau melihat transit data coba dengan
command ini
# snort -vd
instruksi tersebut akan menampilkan transit data, tapi jika anda mau
lebih spesifik coba dengan
# snort -vde
# mkdir -p log
Rules ini akan menyimpan setiap data link dan TCP/IP header ke dalam
direktory 'log' dan menyimpan setiap paket dari 192.168.1.0 kelas C
network.
Sebelum ini di bahas, sebaik nya anda membaca manual dari snort.org,
http://www.snort.org/docs/writing_rules/chap2.html , disini diminta untuk
membuat rules sendiri atau anda bisa memakai rules yang di sedikan oleh
snort.org sendiri.
tapi, saya coba membuat rules sendiri, karena saya kurang suka dengan
paket dari orang lain, setelah di gunain tapi tidak tahu gunanya buat apa
;) contoh rules sederhana
# vi avudz.conf
alert tcp any any -> ipsaya/29 21 (content: "root"; \
# http://www.linuxsecurity.com/feature_stories/feature_story-144.html
# mkdir -p /var/log/snort
tetapi jika anda merasa partisi /var anda sudah minim, silahkan buat
symbolic link untuk logging, misal
# ln -s /home/avudz/snort/log /var/log/snort
# snort -d -c rules/avudz.conf
# tail -f /var/log/snort/alert
contoh :
[Priority: 0]
[Priority: 0]
Ah.. selesai sudah, tinggal tambahin beberapa rules yang dibutuhkan untuk
memantau aktivitas 'machine' anda ;) misalnya iseng mo monitor irc
server, tinggal tambahin di avudz.conf
# vi rules/avudz.conf
alert tcp ipsaya any -> any 6666:7000 (msg:"CHAT IRC ";
flow:to_server,established; content: "NICK "; offset:0; classtype:misc-
activity; sid:542; rev:8;)
alert tcp ipsaya any -> any 6666:7000 (msg:"permintaan DCC Chat ";
flow:to_server,established; content:"PRIVMSG "; nocase; offset:0;
content:" \:.DCC SEND"; nocase; classtype:misc-activity; sid:1639;
rev:3;)
Semua config dan rules nya bisa anda pelajari dari file snortrules-
stable.tar.gz yang sudah di extract, seperti msyql rules, backdoor rules,
ICMP rules, bad traffic rules dll. yang penting adalah mencoba, jangan
pernah menyerah! MERDEKA!! =)