INSTALASI IDS (Intrusion Detection System) dan Snort pada WINDOWS7

A. PENDAHULUAN Jaringan komputer terus mengalami perkembangan, baik dari skalabilitas, jumlah node, dan teknologi yang digunakan. Oleh karena itu, sangat diperlukan dalam pengelolaan jaringan. Tugas pengelolaan jaringan yang dilakukan administrator jaringan memiliki banyak permasalahan, diantaranya yang berkaitan dengan keamanan jaringan komputer. Tujuan utama dari keamanan sistem adalah memberikan jalur yang aman antara entitas yang saling bertukar informasi dan untuk menyediakan perlindungan data. Insiden keamanan jaringan komputer adalah suatu aktivitas yang berkaitan dengan jaringan komputer, dimana aktivitas tersebut memberikan implikasi terhadap keamanan. Penyusupan (intrusion) adalah seseorang yang berusaha merusak atau menyalahgunakan sistem, atau setiap usaha yang melakukan compromise integritas, kepercayaan atau ketersediaan suatu sumberdaya komputer. Definisi ini tidak bergantung pada sukses atau gagalnya aksi tersebut, sehingga berkaitan dengan suatu serangan pada sistem komputer. Intrusion detection (ID) adalah usaha mengidentifikasi adanya penyusup yang memasuki sistem tanpa otorisasi (misal cracker) atau seorang user yang sah tetapi menyalahgunakan (abuse) sumberdaya sistem. Intrusion Detection System (IDS) atau Sistem Deteksi Penyusupan adalah sistem komputer (bisa merupakan kombinasi software dan hardware) yang berusaha melakukan deteksi penyusupan. IDS akan melakukan pemberitahuan

saat mendeteksi sesuatu yang dianggap sebagai mencurigakan atau tindakan ilegal. IDS tidak melakukan pencegahan terjadinya penyusupan. Namun, IDS mampu melakukan pengamatan untuk melakukan pemberitahuan apabila adanya sebuah penyusupan.

B. TUJUAN IDS IDS merupakan software atau hardware yang melakukan otomatisasi proses monitoring kejadian yang muncul di sistem komputer atau jaringan, menganalisanya untuk menemukan permasalahan keamanan. IDS adalah pemberi sinyal pertama jika seorang penyusup mencoba membobol sistem keamanan komputer kita. Secara umum penyusupan bisa berarti serangan atau ancaman terhadap keamanan dan integritas data, serta tindakan atau percobaan untuk melewati sebuah sistem keamanan yang dilakukan oleh seseorang dari internet maupun dari dalam sistem. IDS tidak dibuat untuk menggantikan fungsi firewall karena kegunaanya berbeda. Sebuah sistem firewall tidak bisa mengetahui apakah sebuah serangan sedang terjadi atau tidak. Namun, IDS dapat mengetahuinya. diperlukan pada infrastruktur keamanan di kebanyakan organisasi. C. ARSITEKTUR IDS Banyak model IDS bisa dinyatakan dalam tiga komponen mendasar: 1. Sumber Informasi : network, host, application. 2. Analisis:
Misuse detection : mengamati aktivitas yang memilki pola sesuai dengan suatu teknik penyusupan yang sudah diketahui (signature) atau vulnerabilitas sistem. Anomaly : mengamati aktivitas yang berbeda dari perilaku user atau sistem

Dengan

meningkatnya jumlah serangan pada jaringan, IDS merupakan sesuatu yang

yang normal.

3. Response : Apakah melakukan aksi saat mendeteksi penyusupan (active/passive). Komponen fungsional di dalam IDS pengaturannya satu sama lain bisa dilakukan secara:
1. Host Target Co Location : IDS berjalan pada sistem yang dilindunginya. Mengurangi beaya tetapi rentan. 2. Host Target Separation : IDS terpisah untuk kontrol dan analisa sistem. Ini meningkatkan keamanan karena menyembunyikan keberadaan IDS dari penyusup.

IDS umumnya berdasar pada arsitektur multi-tier dari: 1. Teknologi deteksi, yang bergantung pada:
Sensor : biasanya disebut engine/probe, merupakan teknologi yang memungkinkan IDS untuk memantau sejumlah besar traffic. Agents : Software yang di install pada suatu PC untuk memantau file atau fungsi tertentu. Dan melakukan pelaporan jika terjadi sesuatu. Collector : seperti agent, tetapi lebih kecil, dan tidak membuat keputusan, tetapi hanya menyampaikan ke manager pusat.

2. Analisis data : Proses analisis data dan data mining sejumlah besar data dilakukan oleh lapisan, kadang diletakan pada pusat data/server. 3. Manajemen konfigurasi/GUI : Biasa disebut juga console merupakan

antarmuka operator dengan IDS.

D. JENIS-JENIS IDS 1. NIDS (Network Intrusion Detection System) IDS jenis ini ditempatkan disebuah tempat/titik yang strategis atau sebuah titik

di dalam sebuah jaringan untuk melakukan pengawasan terhadap traffic yang menuju dan berasal dari semua alat-alat (devices) dalam jaringan. Idealnya semua traffic yang berasal dari luar dan dalam jaringan di lakukan di scan, namun cara ini dapat menyebabkan bottleneck yang mengganggu kecepatan akses di seluruh jaringan. Sebuah NIDS akan memperhatikan seluruh segmen jaringan dimana dia berada. Secara sederhana, sebuah NIDS akan mendeteksi semua serangan yang dapat melalui jaringan komputer (internet maupun intranet) ke jaringan/komputer yang kita miliki. 2. HIDS (Host Intrution Detection System) IDS jenis ini berjalan pada host yang berdiri sendiri atau perlengkapan dalam sebuah jaringan. Sebuah HIDS melakukan pengawasan terhadap paket-paket yang berasal dari dalam maupun dari luar hanya pada satu alat saja dan kemudian memberi peringatan kepada user atau administrator sistem jaringan akan adanya kegiatan-kegiatan yang mencurigakan yang terdeteksi oleh HIDS. HIDS berperan dalam memperhatikan sebuah mesin dimana software host based IDS tersebut di pasang. 3. Signature Based IDS yang berbasis pada signature akan melakukan pengawasan terhadap paketpaket dalam jaringan dan melakukan pembandingan terhadap paket-paket tersebut dengan basis data signature yang dimiliki oleh sistem IDS ini atau atribut yang dimilikI oleh percobaan serangan yang pernah diketahui. Cara ini hampir sama dengan cara kerja aplikasi antivirus dalam melakukan deteksi terhadap malware. Intinya adalah akan terjadi keterlambatan antara terdeteksinya sebuah serangan di internet dengan signature yang digunakan untuk melakukan deteksi yang diimplementasikan di dalam basis data IDS yang digunakan. Jadi bisa saja basis data signature yang digunakan dalam sistem IDS ini tidak mampu mendeteksi adanya sebuah percobaan serangan

terhadap jaringan karena informasi jenis serangan ini tidak terdapat dalam basis data signature sistem IDS ini. Selama waktu keterlambatan tersebut sistem IDS tidak dapat mendeteksi adanya jenis serangan baru. 4. Anomaly Based IDS jenis ini akan mengawasi traffic dalam jaringan dan melakukan perbandingan traffic yang terjadi dengan rata-rata traffic yang ada (stabil). Sistem akan melakukan identifikasi apa yang dimaksud dengan jaringan normal dalam jaringan tersebut, berapa banyak bandwidth yang biasanya digunakan di jaringan tersebut, protokol apa yang digunakan, port-port dan alat-alat apa saja yang biasanya saling berhubungan satu sama lain di dalam jaringan tersebut, dan memberi peringatan kepada administrator ketika dideteksi ada yang tidak normal, atau secara signifikan berbeda dari kebiasaan yang ada. 5. Passive IDS IDS jenis ini hanya berfungsi sebagai pendeteksi dan pemberi peringatan. Ketika traffic yang mencurigakan atau membahayakan terdeteksi oleh IDS maka IDS akan membangkitkan sistem pemberi peringatan yang dimiliki dan dikirimkan ke administrator atau user dan selanjutnya terserah kepada administrator apa tindakan yang akan dilakukan terhadap hasil laporan IDS. 6. Reactive IDS IDS jenis ini tidak hanya melakukan deteksi terhadap traffic yang mencurigakan dan membahayakan kemudian memberi peringatan kepada administrator tetapi juga mengambil tindakan proaktif untuk merespon terhadap serangan yang ada. Biasanya dengan melakukan pemblokiran terhadap traffic jaringan selanjutnya dari alamat IP sumber atau user jika alamat IP sumber atau user tersebut mencoba untuk melakukan serangan lagi terhadap sistem jaringan di waktu selanjutnya.

E. CARA KERJA IDS Dilihat dari cara kerja IDS dalam menganalisa apakah paket data dianggap sebagai penyusupan atau bukan, IDS dibagi menjadi dua, yaitu: 1. Knowledge-based atau misuse detection Knowledge-based IDS dapat mengenali adanya penyusupan dengan cara menyadap paket data kemudian membandingkannya dengan database rule IDS (berisi signature-signature paket serangan). Jika paket data mempunyai pola yang sama dengan (setidaknya) salah satu pola di database rule IDS, maka paket tersebut dianggap sebagai serangan, dan demikian juga sebaliknya, jika paket data tersebut sama sekali tidak mempunyai pola yang sama dengan pola di database rule IDS, maka paket data tersebut dianggap bukan serangan. 2. Behavior-based atau anomaly based IDS jenis ini dapat mendeteksi adanya penyusupan dengan mengamati adanya kejanggalan-kejanggalan pada sistem, atau adanya penyimpanganpenyimpangan dari kondisi normal, sebagai contoh ada penggunaan memori yang melonjak secara terus menerus atau ada koneksi parallel dari 1 buah IP dalam jumlah banyak dan dalam waktu yang bersamaan. Kondisi-kondisi di atas dianggap kejanggalan yang kemudian oleh IDS jenis anomaly based dianggap sebagai serangan. Sedangkan dilihat dari kemampuan mendeteksi penyusupan pada jaringan, IDS dibagi menjadi 2 yakni: 1. Host based intrusion detection system Host based mampu mendeteksi hanya pada host tempat implementasi IDS. 2. Network based intrusion detection system

Network based IDS mampu mendeteksi seluruh host yang berada satu jaringan dengan host implementasi IDS tersebut. Kebanyakan produk IDS merupakan sistem yang bersifat pasif, mengingat tugasnya hanyalah mendeteksi intrusi yang terjadi dan memberikan peringatan kepada administrator jaringan bahwa mungkin ada serangan atau gangguan terhadap jaringan. Akhir-akhir ini, beberapa vendor juga mengembangkan IDS yang bersifat aktif yang dapat melakukan beberapa tugas untuk melindungi host atau jaringan dari serangan ketika terdeteksi, seperti halnya menutup beberapa port atau memblokir beberapa alamat IP. Produk seperti ini umumnya disebut sebagai Intrusion Prevention System (IPS). Beberapa produk IDS juga menggabungkan kemampuan yang dimiliki oleh HIDS dan NIDS, yang kemudian disebut sebagai sistem hibrid (hybrid intrusion detection system).

Cara Kerja IDS Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini

membutuhkan bersangkutan.

pembaruan

terhadap

basis

data signature

IDS

yang

Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signaturebased IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul. Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.

F. LANGKAH INSTALASI IDS Untuk membangun sistem intrusion detection diperlukan beberapa komponen yang perlu diintegrasikan menjadi satu kesatuan sistem. Komponen-komponen tersebut meliputi : 1. Snort Download versi terbaru snort untuk sistem operasi windows7 penulis gunakan versi Snort 2.8.6. dapat didownload di situs http://www.snort.org.

Snort merupakan suatu perangkat lunak untuk mendeteksi penyusup dan mampu menganalisa paket yang melintasi jaringan secara langsung dan melakukan pencatatan ke dalam penyimpanan data serta mampu mendeteksi berbagai serangan yang berasal dari luar jaringan. Snort merupakan sebuah produk terbuka yang dikembangkan oleh Marty Roesch dan tersedia gratis di www.snort.org. Snort bisa digunakan pada sistem operasi Linux, Windows, BSD, Solaris, dan sistem operasi lainnya. Snort merupakan IDS berbasis jaringan yang menggunakan metode deteksi rule based, menganalisis paket data apakah sesuai dengan jenis serangan yang sudah diketahui olehnya. Snort digunakan karena memiliki beberapa kelebihan berikut:
1. Mudah dalam konfigurasi dan penambahan aturan-aturan 2. Gratis 3. Dapat berjalan pada sistem operasi yang berbeda-beda 4. Pembaharuan pola serangan secara berkala

Snort

memanfaatkan

perangkat

tcpdump

untuk

mengambil

dan

menganalisa paket data terhadap sekumpulan jenis serangan yang sudah terdefinisi. Snort dapat berjalan dalam tiga mode antara lain: a) Paket Sniffer, melihat paket yang lewat di jaringan. b) Paket Logger, mencatat semua paket yang lewat di jaringan untuk dianalisis. c) Intrusion Detection Mode, mendeteksi serangan yang dilakukan melalui jaringan komputer dengan konfigurasi dari berbagai aturan yang akan membedakan sebuah paket normal dengan paket serangan. 2. Winpcap Saya menggunakan winpcap version 4.1.1., untuk mendownloadnya kunjungi situs http://www.winpcap.org.

3. Oinkmaster Seperti antivirus yang memerlukan update, rules snort juga perlu di update. Update dilakukan untuk memperoleh rule terbaru sehingga nantinya dapat diperoleh sebah rule yang mampu mengetahui jenis-jenis serangan baru. Oinkmaster dapat didownload di http://www.oinkmaster.com. 4. Active Perl Untuk menjalankan oinkmaster diperlukan bahasa pemrograman perl, karena oinkmaster dikembangkan dengan menggunakan bahasa pemograman perl. Active perl dapat didownload gratis di situs http://www.perl.com. 5. MySQL Database yang digunakan adalah MySQL yang diinstall pada sistem berbasis Windows atau sistem operasi lain yang mendukung database MySQL. Alert IDS akan disimpan pada database MySQL. Alasan pemilihan MySQL sebagai program database yang digunakan antara lain:
1. Sifatnya yang open source dan murah. 2. Cukup stabil pada hardware dengan spesifikasi yang relatif rendah.

MySQL

dapat

didownload

pada

situs

http://www.mysql.com.

Untuk

administrasi dan maintenance sistem database dibuat suatu interface berbasis web yang dibuat dengan bahasa pemrograman PHP. Fungsi utama dari interface ini adalah untuk mengedit atau mengupdate entry database yang dijadikan input bagi sistem yang lain. 6. ACID (Analysis Console for Intrusion Databases) ACID (Analysis Console for Intrusion Databases) merupakan PHP-based analysis engine yang berfungsi untuk mencari dan mengolah database dari keamanan alert network yang dibangkitkan oleh IDS. Dapat diimplementasikan pada sistem yang mendukung PHP seperti linux, BSD, Solaris dan OS lainnya.

ACID adalah perangkat lunak yang open-source dan didistribusikan dibawah lisensi GPL. Penulis kali ini menggunakan ACID-0.9.6b23. ACID dapat didownload pada situs http://www.andrew.cmu.edu/~rdanyliw/snort/snortacid.html. 7. PHP (Personal Home Page) PHP merupakan bahasa pemrograman berbasis web. Bahasa ini mempunyai kelebihan yaitu kompabilitasnya dengan berbagai macam jenis database, dukungan dengan berbagai macam jenis sistem operasi. PHP lebih cocok dan umum digunakan jika di gabungkan dengan database mysql. Mysql dengan PHP seakan-akan dua hal yang tidak dapat dipisahkan. PHP nantinya akan digunakan untuk menampilkan alert yang dihasilkan oleh snort. Alert tersebut nantinya akan ditampilkan dengan menggunakan ACID. PHP dapat didownload pada situs http://www.php.net. 8. Web server Apache Web server yang akan digunakan adalah web server apache. Web server tersebut nantinya akan diintegrasikan bersama-sama dengan PHP. Web server apache dapat didownload di situs http://www.apache.net. 9. ADODB ADODB, sebuah library abstraksi untuk menggabungkan PHP ke berbagai database seperti MySQL dan Postgre SQL. ADODB dapat didwonload di http://adodb.sourceforge.net. 10. Phplot dan Jpgraph Merupakan library untuk membuat grafik yang baik di PHP. Library ini nantinya akan digunakan bersama-sama dengan komponen yang lainnya. Phplot dapat di download pada situs http://www.phplot.com, dan Jpgraph dapat didownload di http://www.aditus.nu/jpgraph/.

G. PROSES INSTALASI IDS 1. SNORT 2.9.0.3 Tempatkan semua file instalasi pada satu direktori untuk mempermudah instalasi, misalnya C:\ a. Setelah mendapatkan installer untuk snort, kita lakukan proses instalasi dengan menduobleklik ikon dibawah ini. b. Setelah membaca license Agreement tekan tombol I Agree.

c. Instalasi option akan memberikan pilihan database yang akan digunakan tergantung database yang akan dipakai. Penulis memilih pilihan paling atas. Tekan Next.

d. Proses selanjutnya adalah memilih komponen-komponen apa saja yang akan di install. Tekan tombol Next.

e. Tempatkan instalasi pada direktori yang telah kita buat yaitu C:\Snort.

Tekan tombol Next.

f. Setelah menekan tombol Next akan terlihat proses instalasinya. Setelah selesai tekan Close.

g. Akan muncul peringatan bahwa winpcap sudah terinstall dan konfigurasi pada snort.conf yang akan kita konfigurasi pada proses selanjutnya. Tekan OK.

2. WINPCAP 4.1.1 a. Setelah mendapatkan installernya tinggal double klik ikon tersebut. b. Akan muncul langkah instalasi sebagai berikut, tekan tombol Next.

c. Muncul proses instalasi berikutnya tekan Next.

d. Setelah membaca lisence agreement tekan I Agree.

e. Selesai sudah proses instalasi winpcap tekan Finish.

3. MYSQL 4.1 Dalam pembangunan intrusion detection system ini database yang digunakan adalah database mysql instalasinya adalah sebagai berikut : a. Setelah mendapatkan installernya tinggal double klik ikon tersebut. b. Kemudian klik tombol Next. c. Pada Windows Setup Type pilihlah Custom, karena akan diatur folder instalasi ke C:\.Snort Click Next. d. Tampilan windows berikutnya adalah Custom Setup. Pada windows ini anda harus mengganti setting install to. Click Change. Seperti pada gambar di bawah ini.

e. Pada windows Change Current Destination Folder, gantilah folder name menjadi C:\Snort\MySQL. Click OK.

f. Kemudian lanjutkan instalasi hingga selesai. Kemudian pilihlah Skip SignUp dan click Next. g. Konfigurasi MySQL server tersimpan dalam file my.ini yang akan digunakan ketika menjalankan service MySQL. Pengaturan konfigurasi MySQL server dapat dilakukan menggunakan Configuration Wizard yang akan membantu proses pengaturan konfigurasi server secara otomatis. Confguration Wizard akan menanyakan pertanyaan secara berurutan dan kemudian akan

membuat file my.ini dan diimplementasikan pada konfigurasi server. Mari kita mulai pengaturan konfigurasi menggunakan Configuration Wizard. Pastikan Check box Configure dalam keadaan aktif. Kemudian click Finish untuk melanjutkan ke Configuration Wizard. h. Selanjutnya, bukalah MySQL Server Instance Config Wizard pada menu windows, kemudian kilk Next.

i. Lalu pilih Detailed Configuration, lalu klik Next. j. Developer Machine, lalu klik Next. k. Multifunctional Database, lalu klik Next. l. InnoDB Tablespace Setting pilih C:\Installation Path, lalu klik Next. m. Decision Support (DSS)/OLAP, lalu klik Next. n. Enable TCP/IP Networking pilih Port Number: 3306, lalu klik Next. o. Standar Character Set, lalu klik Next. p. Install AS Windows Service, lalu klik Next. q. Setting password untuk root yang tampil pada windows Security. Isikan

password untuk root pada windows ini misalnya 1234. Click Next.

r. Kemudian klik Next, dan penginstallan MySQL 4.1 telah selai dan muncul gambar di bawah ini, lalu klik Finish. Setelah selesai melakukan instalasi database MySQL langkah selanjutnya adalah membuat database yang akan digunakan snort untuk menyimpan alert, database yang akan kita buat kita beri nama snortdb dan archive. Prosesnya adalah sebagai berikut : a) b) Buka command prompt. Lalu ketikkan beberapa perintah sebagai berikut untuk bisa masuk ke

mysql serta membuat dua database yaitu snortdb dan archive.

c)

Setelah berhasil membuat database langkah selanjutnya adalah membuat

tabel pada kedua database tersebut, snort sudah menyediakan beberapa schema database untuk berbagai tipe platform database seperti MySQL, MSSQL, POSTGRESQL, ORACLE, terletak pada direktori C:\@@IDS\Snort\schemas. Dari schema tersebut dapat langsung kita compile dengan menggunakan perintah sebagai berikut :

d)

Untuk mengecek apakah kompilasi telah berhasil gunakan perintah

berikut untuk melihat hasilnya :

Database snortdb

Database archieve

Snort dapat dioperasikan dalam beberapa metode yaitu : 1. Sniffer mode, untuk melihat paket yang lewat di jaringan. Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh perintah-nya terdapat di bawah ini, buka comand prompt ketikkan perintah sebagai berikut : cd c:\@@IDS\Snort\bin snort vd i2 snort vde i2 snort v d e i2 Untuk menghentikan proses sniffer tersebut gunakan perintah Ctrl + c , maka akan didapat analisa beberapa paket yang berhasil diperoleh. Dengan menambahkan beberapa switch v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu
-v, untuk melihat header TCP/IP paket yang lewat.

-d, untuk melihat isi paket. -e, untuk melihat header link layer paket seperti ethernet header. -i2, merupakan sensor yang digunakan dapat digunakan perintah seperti gambar berikut.

2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari. Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama jika kita menggunakan Ethernet berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian. Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah dengan mengetikkan perintah pada command prompt: cd c:\@@IDS\Snort\bin snort dev l c:\@@IDS\Snort\log i2 snort dev l c:\@@IDS\Snort\log i2 h 192.168.0.0/24 snort dev l c:\@@IDS\Snort\log b perintah yang paling penting untuk me-log paket yang lewat adalah -l c:\ids\snort\log yang menentukan bahwa paket yang lewat akan di log atau di catat ke file c:\@@IDS\Snort\log. Beberapa perintah tambahan dapat digunakan seperti h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII. 3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk

mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan. Langkah-langkah membuat intrusion detection mode adalah sebagai berikut : a. Download snort rules terlebih dahulu dengan melakukan register ke http://www.snort.org, setelah berhasil login maka anda akan mendapatkan oinkmaster code untuk mendownload snort rules.

b. Kemudian untuk mendownload rules snort ketikkan pada browser url dengan aturan sebagai berikut:
http://www.snort.org/pub-bin/oinkmaster.cgi/<oinkcode here>/<filename>

Karena penulis menggunakan Snort 2.8.6, maka untuk mendownload rules snort dengan aturan sebagai berikut: http://www.snort.org/pubbin/oinkmaster.cgi/12e8c1881a1a58a3735f4a9bd1a1457151893862/snortrul es-snapshot-2860.tar.gz c. Setelah Snort Rules Snapshot 2860 berhasil didownload, selanjutnya double klik pada icon di bawah ini.

d. Pilih Extract To pada semua folder yang ada dan pilih Extraction and path di C:\@@IDS\Snort.

e. Pilih OK dan tunggu beberapa saat untuk proses extract-nya. Apabila extract telah berhasil, maka pada folder C:\@@IDS\Snort akan terlihat seperti gambar di bawah ini.

Langkah selanjutnya adalah melakukan konfigurasi snort, editlah snort.conf dengan menggunakan text editor semacam wordpad atau notepade. Snort.conf terletak pada direktori C:\IDS\snort\etc. Edit beberapa baris sebagai berikut: 1. Network Setting Untuk memonitor aktivitas jaringan yang lebih spesifik ubahlah var

HOME_NET any misalnya menjadi var HOME_NET 192.168.1.0/24, untuk var EXTERNAL_NET any biarkan saja karena akan memonitor ip luar yang masuk ke jaringan kita.

2. Arahkan direktori rule berada.

3. Logging database ke database MySQL

4. Arahkan direktori classification dan reference sebagai berikut:

5. Arahkan direktori threshold sebagai berikut:

Setelah melakukan konfigurasi seperti diatas, service harus diaktifkan terlebih dahulu dengan perintah di bawah ini. Namun, belum bisa berhasil untuk menginstall seluruh SNORT SERVICE. Oleh karena itu, SNORT tidak bisa diinstall secara sempurna dan menyebabkan konfigurasi dan proses instalasi setelahnya tidak dapat dilanjutkan. Berikut adalah command prompt dari proses instalasi SNORT SERVICE yang error.