SNORT
Disusun oleh :
Puji syukur kita panjatkan kehadirat Allah Swt. yang telah memberikan rahmat dan
hidayah-Nya sehingga saya dapat menyelesaikan tugas ini tepat pada waktunya.
Adapun tujuan dari penulisan dari laporan ini adalah untuk memenuhi tugas pada mata
kuliah Keamanan Cyber.Selain itu, laporan ini juga bertujuan untuk menambah wawasan tentang
IDS (Intrusion Detection System) dan Snort bagi pembaca dan juga bagi penulis.
Terlebih dahulu, saya mengucapkan terima kasih kepada Bapak Beni Ari Hidayatullah,
M.Kom., selaku Dosen mata kuliah Keamanan Cyber yang telah memberikan tugas ini sehingga
dapat menambah pengetahuan dan wawasan sesuai dengan bidang studi yang saya tekuni ini.
Saya juga mengucapkan terima kasih kepada semua pihak yang tidak dapat saya sebutkan
semua, terima kasih atas bantuannya sehingga sehingga saya dapat menyelesaikan tugas ini.
Kemudian, saya menyadari bahwa tugas yang saya tulis ini masih jauh dari kata
sempurna.Oleh karena itu, kritik dan saran yang membangun kami butuhkan demi kesempurnaan
laporan ini.
Mataram, 25 Desember
2022
Penulis
ii
DAFTAR ISI
KATA PENGANTAR...........................................................................................................................ii
BAB I....................................................................................................................................................1
A. Latar Belakang..............................................................................................................................1
B. Tujuan...........................................................................................................................................1
C. Rumusan masalah.........................................................................................................................1
BAB II...................................................................................................................................................2
A. IDS (Intrusion Detection System).................................................................................................2
1. Pengertian IDS (Intrusion Detection System)........................................................................2
2. Arsitektur IDS........................................................................................................................3
3. Teknik deteksi IDS................................................................................................................4
4. Cara kerja IDS.......................................................................................................................5
5. Jenis – jenis IDS....................................................................................................................6
B. SNORT.........................................................................................................................................7
1. Pengertian..............................................................................................................................7
2. Komponen Snort...................................................................................................................7
3. Cara Kerja..............................................................................................................................8
C. Install dan Konfigurasi Snort........................................................................................................9
BAB III................................................................................................................................................14
A. Kesimpulan..............................................................................................................................14
B. Saran........................................................................................................................................14
DAFTAR PUSTAKA..........................................................................................................................15
iii
BAB I
PENDAHULUAN
BAB I PENDAHULUAN
A. Latar Belakang
Perkembangan teknologi khususnya di bidang Networking membuat
bermacam – macam fitur, teknologi dan tools berkembang secara cepat dan baik.
Komputer dan teknologi jaringan menyediakan kemudahan untuk masyarakat
khususnya internet.namun dibalik kemudahan menggunakan teknologi, ada baiknya
kita menjaga data agar tetap terjaga dari serangan lainnya yang dapat mengganggu
kerja kita.
Keamanan data merupakan masalah penting bagi setiap institusi.Setiap
institusi atau lembaga harus memiliki pencegahan terhadap keterbukaan akses dari
pihak yang tidak berhak.Peran pertahanan sistem, pada umumnya terletak pada
administrator sebagai pengelola jaringan yang memiliki akses penuh terhadap
infrastruktur jaringan yang dibangunnya.Sebuah jaringan komputer harus mampu
memberikan rasa aman terhadap akses yang dilakukan oleh seorang user, dengan
memberikan jaminan informasi atau data pribadi aman dari pengaksesan seorang
intruder (penyerang). Keamanan sebuah server akan sulit terpantau selama 24 jam.
B. Tujuan
Adapun yang menjadi tujuan dari praktikum ini adalah sebagai berikut :
C. Rumusan masalah
Berdasarkan latar belakang yang sudah dijelaskan sebelumnya, rumusan masalah
yang diperoleh sebagai berikut :
4
BAB II
PEMBAHASAN
BAB II PEMBAHASAN
A. IDS (Intrusion Detection System)
5
2. Arsitektur IDS
IDS umumnya berdasar pada arsitektur multi-tier dari:
1) Teknologi deteksi, yang bergantung pada:
a. Sensor: biasanya disebut engine/probe, merupakan teknologi yang
memungkinkan IDS untuk memantau sejumlah besar traffic.
b. Agents: Software yang di install pada suatu PC untuk memantau file atau
fungsi tertentu. Dan melakukan pelaporan jika terjadi sesuatu.
c. Collector: seperti agent, tetapi lebih kecil, dan tidak membuat keputusan,
tetapi hanya menyampaikan ke manager pusat.
2) Analisis data: Proses analisis data dan data mining sejumlah besar data dilakukan oleh
lapisan(layer), kadang diletakkan pada pusat data/server.
3) Manajemen konfigurasi/GUI : Biasa disebut juga console merupakan antarmuka
operator dengan IDS.
Sensor bertugas untuk memfilter informasi dan mendiscard data yang tidak
relevan dari sekumpulan kejadian yang terhubung dengan sistem terproteksi, misalnya
mendeteksi aktivitas-aktivitas yang mencurigakan.Analis dilakukan dengan
menggunakan database yang berisi kebijakan dalam mendeteksi.Di dalamnya terdapat
tanda tangan penyerang, deskripsi perilaku normal, dan parameter yang penting
(misal, nilai ambang batas).Database ini mengatur konfigurasi parameter IDS,
termasuk mode komunikasi dengan modul tanggap.
6
Diagram Arsitektur IDS
7
4. Cara kerja IDS
IDS melindungi sistem komputer dengan mendeteksi serangan dan
menghentikannya.Awalnya, IDS melakukan pencegahan intrusi. Untuk itu, IDS
mengidentifikasi penyebab intrusi dengan cara membandingkan antara event yang
dicurigai sebagai intrusi dengan signature yang ada. Saat sebuah intrusi telah
terdeteksi, maka IDS akan mengirim sejenis peringatan ke administrator. Langkah
selanjutnya dimulai dengan melakukan policy terhadap administrator dan IDS itu
sendiri.
Komponen yang menyusun kerja sebuah IDS bisa dilihat pada diagram
berikut:
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah
dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan
oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan
basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh
penyerang.Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap
basis data signature IDS yang bersangkutan.
Cara lainnya adalah dengan mendeteksi adanya anomali, teknik yang lainnya
adalah dengan memantau berkasberkas sistem operasi, yakni dengan cara melihat
apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya
8
berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya
melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian
yang tidak biasa.
9
B. SNORT
1. Pengertian
Snort adalah NIDS yang bekerja dengan menggunakan signature detection,
berfungsi juga sebagai sniffer dan packet logger. Snort pertama kali di buat dan
dikembangkan oleh Marti Roesh, lalu menjadi sebuah opensource project. Versi
komersial dari snort dibuat oleh Sourcefire (www.sourcefire.com).Snort memiliki
karakteristik, sebagai berikut:
a. Berukuran kecil – Source code dan rules untuk rilis 2.1.1 hanya 2256k.
b. Portable untuk banyak OS – Telah diporting ke Linux, Windows, OSX,
Solaris, BSD,dll.
c. Cepat – Snort mampu mendeteksi serangan pada network 100Mbps.
d. Mudah dikonfigurasi – Snort sangat mudah dikonfigurasi sesuai dengan
kebutuhan network kita. Bahkan kita juga dapat membuat rule sendiri untuk
mendeteksi adanya serangan baru.
e. Free – Kita tidak perlu membayar sepeser pun untuk menggunakan snort.
Snort bersifat open source dan menggunakan lisensi GPL.
2. Komponen Snort
Snort merupakan packet sniffing yang sangat ringan. Snifing interface yang
digunakan berbasis libpcap (pada Unix tersedia dengan tcpdump, www.tcpdump.org).
Pembuat snort sangat fokus pada engine yang digunakan untuk mendeteksi serangan
dan memanfaatkan tools tcpdump untuk mengambil paket network. Salah satu
keunggulan snort adalah bahwa snort memiliki plugin sistem yang sangat fleksibel
untuk dimodifikasi.
Snort memiliki beberapa komponen yang tiap komponennya mempunyai tugas
masing-masing. Pada saat ada paket network yang melewati Ethernet di tempat snort
dipasang, maka ada beberapa hal yang dilalui:
1) Packet capture library (libpcap).
Packet capture library – akan memisahkan paket data yang melalui ethernet card
untuk selanjutnya digunakan oleh snort.
2) Packet decoder.
Packet decoder – mengambil data di layer 2 yang dikirim dari packet capture
library(proses 1). Pertama ia akan memisahkan Data link (seperti ethernet,
TokenRing, 802.11) kemudian protokol IP, dan selanjutnya paket TCP dan UDP.
10
Setelah pemisahan data selesai, snort telah mempunyai informasi protokol yang
dapat diproses lebih lanjut.
3) Preprocessor.
Selanjutnya dilakukan analisis (preprocessor) atau manipulasi terhadap paket
sebelum dikirim ke detection engine.Manipulasi paket dapat berupa ditandai,
dikelompokan atau malah dihentikan.
4) Detection Engine.
Inilah jantung dari snort. Paket yang datang dari packet decoder akan ditest dan
dibandingkan dengan rule yang telah ditetapkan sebelumnya. Rule berisi tanda-
tanda (signature) yang termasuk serangan.
5) Output.
Output yang dihasilkan berupa report dan alert. Ada banyak variasi output yang
dihasilkan snort, seperti teks (ASCII), XML, syslog, tcpdump, binary format, atau
Database (MySQL, MsSQL, PostgreSQL, dsb).
3. Cara Kerja
Salah satu aplikasi Linux yang dapat dipakai untuk meningkatkan keamanan
komputer adalah Snort. Secara garis besar, Snort adalah sebuah program yang
memiliki tiga fungsi atau tiga modus operasi. Snort dapat dipakai dalam packet
sniffer mode sehingga bekerja sebagai sniffer sama seperti Wireshark. Sama seperti
Wireshark, Snort juga dapat menyimpan setiap packet yang di-capture ke dalam
media penyimpan di moduspacket logger mode. Akan tetapi berbeda dengan
Wireshark, Snort dapat dipakai sebagai komponen NIDS dengan menjalankannya
pada Network Intrusion Detection System (NIDS) mode. Pada modus yang
terakhir ini, Snort akan menganalisa packet berdasarkan rule yang ada untuk
mengenali adanya upaya serangan hacker.
Untuk memulai menggunakan Snort, download requirement serta source
Snort, kemudian build & install. Bagi yang memakai distro Ubuntu, libdnet di distro
tersebut adalah library yang berbeda dengan yang dibutuhkan Snort. Di
Ubuntu, libdnet adalah DECNet libraries, sementara yang dibutuhkan oleh Snort
diganti namanya menjadi libdumpnet. Sebaiknya download source dari Google
Code, kemudian install ke lokasi /usr, bukan/usr/local. Caranya adalah dengan
menambahkan argumen – -prefix=/usr pada saat memanggil scriptconfigure.
11
C. Install dan konfigurasi snort
1.Pertama buka terminal pada ubuntu, kemudian ketik sudo su dan login susai dengan
password ubuntu.
12
3. Lakukan meilhat interface pada ubuntu dan melihat alamat ip yang sedang digunakan
melalui perintah ifconfig.
13
5. Melakukan install snort dengan perintah apt-get install snort dan otomatis masuk pada
langkah konfigurasi lalu isi dengan interface yang digunakan.
14
7. Jalankan perintah nano/etc/snort/rules/local.rules
8. Selanjutnya jalankan, alert icmp any any -> any any (msg:”Ada aktivitas
ping”;sid:10000001;rev:0;)
15
10. Masukkan alamat ip pada network ubuntu sebagai server
11. Lakukan tes ping untuk snort pada cmd ke alamat ip ubuntu tadi maka akan tampil pesan
aktivitas ping yang telah dilakukan pada cmd
BAB III
PENUTUP
16
BAB III PENUTUP
A. Kesimpulan
IDS (Intrusion Detection System) adalah sebuah aplikasi perangkat lunak atau
perangkat keras yang dapat mendeteksi aktivitas yang mencurigakan dalam sebuah
sistem atau jaringan.IDS digunakan untuk mendeteksi aktivitas yang mencurigakan
dalam sebuah sistem atau jaringan.
Jenis – jenis IDS dapat dikategorikan sebagai berikut:
a. Network-based Intrusion Detection System (NIDS)
Memantau Anomali di Jaringan dan mampu mendeteksi seluruh host yang
berada dalam satu jaringan. Semua lalu lintas yang mengalir ke sebuah jaringan
akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke
dalam sistem jaringan. Contoh: melihat adanya network scanning.
b. Host-based Intrusion Detection System (HIDS)
Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah
percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya
diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server,
atau server yang terkoneksi ke Internet. Contoh: memonitor logfile, process dan
file ownership.
DAFTAR PUSTAKA
17
https://alfredoeblog.wordpress.com/2012/11/22/pengeertian-dan-cara-kerja-software-snort/
https://www.stftiskijne.ac.id/images/jurnal/39-75-1-PB_2.pdf
https://www.dewaweb.com/blog/ids-adalah/
18