SNORT PACKET LOGGER MODE

 PACKET LOGGER MODE 

Definisi IDS (Intrution Detecting System)

IDS (Intrusion Detection System) adalah sebuah sistem yang memantau lalu lintas jaringan dan perangkat untuk mendeteksi aktivitas berbahaya, mencurigakan, atau melanggar kebijakan keamanan. IDS dapat melaporkan aktivitas tersebut kepada administrator keamanan atau alat keamanan lainnya, seperti SIEM (Security Information and Event Management). IDS tidak dapat menghentikan serangan siber, tetapi dapat membantu mengidentifikasi dan merespons ancaman.

Definisi Snort IDS 

Snort IDS adalah sebuah sistem deteksi intrusi berbasis jaringan yang dapat melakukan analisis lalu lintas secara real-time dan mencatat paket-paket pada jaringan Internet Protocol (IP). Snort IDS bekerja dengan menggunakan pendeteksian berbasis tanda tangan (signature), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang.

- Secara umum, Snort dibagi menjadi empat mode operasi, yaitu :

1. Paket sniffer: mode ini memungkinkan Snort untuk menangkap dan menampilkan paket-paket jaringan secara langsung di layar atau menyimpannya dalam file.

2. Packet logger: mode ini memungkinkan Snort untuk menyimpan paket-paket jaringan dalam file log untuk analisis lebih lanjut.

3. NIDS (Network Intrusion Detection System): mode ini memungkinkan Snort untuk menganalisis paket-paket jaringan dan membandingkannya dengan aturan-aturan yang telah ditentukan untuk mendeteksi serangan atau penyusupan jaringan.

4. HIDS (Host Intrusion Detection System): mode ini memungkinkan Snort untuk menganalisis aktivitas pada host lokal dan membandingkannya dengan aturan-aturan yang telah ditentukan untuk mendeteksi serangan atau penyusupan host.

Pada kesempatan kali ini saya akan mencoba mengkonfigurasi dengan menggunakan "Packet Logger Mode".

LANGKAH - LANGKAH KONFIGURASI "SNORT PACKET LOGGER MODE"

1. Langkah pertama adalah masuk pada VirtualBox, lalu masuk pada sistem operasi Ubuntu yang bertugas sebagai PC-Server dan sistem operasi Kali Linux yang bertugas sebagai PC-Client. 

2. Selanjutnya, kita coba terlebih dahulu untuk menjalankan OS Ubuntu dan Kali Linux yang ada di VirtualBox. Lalu kita cek IP Address nya dengan perintah "ip a" (Ubuntu) serta "ifconfig" (Kali Linux) dan pastikan kita sudah mendapatkan IP Address tersebut.

3. Sebelum itu, kita perlu melakukan proses "apt update"

> apt update adalah perintah yang digunakan untuk memperbarui daftar paket yang tersedia pada sistem.

4. Langkah selanjutnya, kita bisa ketik "apt-get -y install libpcap-dev" 

> apt-get -y install libpcap-dev adalah perintah yang digunakan untuk menginstal paket pengembangan libpcap pada sistem Ubuntu.

5.  Masukkan perintah "nano /etc/snort/snort.conf"

> Perintah “nano /etc/snort/snort.conf” digunakan untuk mengedit berkas konfigurasi Snort.

6. Setelah itu, kita bisa edit dibagian step 1 dan step 7 nya seperti pada gambar dibawah ini.

Masukkan IP Networknya jika sudah simpan dengan tekan tombol ctrl-x kemudian y lalu tekan enter.

7. Langkah selanjutnya yaitu kita masukkan perintah "snort -d -l /var/log/snort.log -c /etc/snort/snort.conf -D dan kita gunakan juga perintah "snort -d -h (IP Network) -l /var/log/snort.log -c /etc/snort/snort.conf".

Perintah tersebut berfungsi untuk menjalankan Snort sebagai Network Instrusion Detecting System (NIDS).

> -d: berfungsi untuk menampilkan data paket dalam format ASCII yang mudah dibaca.

> -h (IP Network): berfungsi untuk menentukan jaringan rumah yang akan dipantau oleh Snort. Hanya paket yang berasal dari atau ditujukan ke jaringan rumah yang akan dilakukan analisis dan di catat oleh Snort.

> -l /var/log/snort.log: berfungsi untuk menentukan direktori tempat Snort akan menyimpan file log. Snort akan membuat subdirektori berdasarkan alamat IP dari host yang mengirim atau menerima paket tersebut.

> -c /etc/snort/snort.conf: berfungsi untuk menentukan file konfigurasi yang berisi aturan-aturan untuk mendeteksi pola-pola serangan pada paket. Snort akan membaca file ini dan mengkompilasi aturan-aturan menjadi struktur data internal yang digunakan untuk menganalisis paket.

> -D: berfungsi untuk menjalankan Snort sebagai daemon, yaitu proses latar belakang yang tidak memerlukan interaksi dengan pengguna.

8. Untuk masuk ke langkah berikutnya, kita perlu mengaktifkan mode ASCII. 

Mode ASCII dalam snort ids adalah mode untuk mencatat semua paket yang lewat di jaringan dalam format teks. Mode ini berguna untuk melihat isi paket secara mudah dan membaca laporan pelanggaran yang dihasilkan oleh snort.

Cara mengaktifkannya kita bisa menggunakan perintah "snort -dev -K ASCII".

9. Setelah itu kita perlu masuk ke dalam aplikasi WinSCP. Dengan masuk menggunakan 

- Host name: (IP Ubuntu)

- Port Number : 22

- Username : (Nama User di Ubuntu)

- Password : (Password Ubuntu)

- Klik "login"

10. Langkah berikutnya, kita pindahkan ke direktori "/var/log/snort/(IP Client)".

11. Setelah itu, jika kita tidak dapat membuka isi foldernya, maka kita perlu menggunakan perintah "chmod 7773 -R /var/log/snort" yang berfungsi untuk mengizinkan User lain melihat isi yang ada di dalam pada file. 

12. Pada langkah terakhir, ketika kita mencoba untuk membuka filenya kembali, maka file tersebut akan menampilkan file yang berisi catatan lalu lintas jaringan yang sudah dicatat oleh Snort mode logger. Jika sudah tertampil seperti pada gambar berarti langkah percobaan Snort mode Logger sudah berhasil.