Lewati ke isi

Overview

Snort IDS (Intrusion Detection System) adalah salah satu program open source yang berfungsi untuk mendeteksi ancaman keamanan jaringan dan mencegah serangan dalam jaringan komputer. Snort dapat digunakan untuk mengidentifikasi dan melacak aktivitas mencurigakan dalam jaringan, termasuk serangan malware, worm, trojan, dan sebagainya.

Snort berjalan pada platform Linux dan dapat diinstal pada sistem operasi lain seperti Windows. Snort dapat mengenali ancaman dengan cara menganalisis data lalu lintas jaringan melalui aturan yang sudah ditentukan. Aturan-aturan ini dikembangkan oleh komunitas Snort dan administrator jaringan dapat menambahkan aturan sendiri.

Snort menggunakan metode deteksi berbasis tanda tangan dan berbasis perilaku. Metode berbasis tanda tangan menggunakan database signature atau pola serangan yang sudah diketahui. Sedangkan metode berbasis perilaku menggunakan teknik machine learning dan artificial intelligence untuk mengidentifikasi pola yang mencurigakan dalam data lalu lintas jaringan.

Snort juga dapat diintegrasikan dengan berbagai aplikasi lain seperti log analyzer dan dashboard untuk memudahkan pengelolaan data dan visualisasi aktivitas jaringan.

Snort adalah salah satu IDS yang paling terkenal dan sering digunakan di seluruh dunia. Snort telah terbukti efektif dalam mendeteksi ancaman dan memberikan perlindungan tambahan bagi jaringan. Snort juga mendukung protokol jaringan yang banyak digunakan seperti TCP/IP, HTTP, dan DNS, sehingga dapat mendeteksi banyak jenis serangan pada banyak jenis protokol.

Siapkan Pendukung

Supaya tidak rewel, sebaiknya menggunakan akun root "jika ada masalah"

Cek repository

sudo apt update

Cek Jaringan

ifconfig

catat nama interface yang nanti akan di monitor

enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.0.169  netmask 255.255.255.0  broadcast 192.168.0.255
        inet6 fe80::a00:27ff:fe2c:cc3c  prefixlen 64  scopeid 0x20<link>
        ether 08:00:27:2c:cc:3c  txqueuelen 1000  (Ethernet)
        RX packets 34056  bytes 43367030 (43.3 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4141  bytes 337064 (337.0 KB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

maka interface yang dimonitor adalah

enp0s3

Siapkan Aplikasi Pendukung

sudo locale-gen id_ID.UTF-8

apt update
apt -y install oinkmaster snort snort-common snort-rules-default snort-doc

Akan di tanya

interface yang akan di monitor, misalnya enp0s3 range IP yang di monitor, misalnya 192.168.0.0/24

Cek Snort

snort -C

Jalankan Snort mode NIDS

snort -dev -l /var/log/snort/ -h 192.168.0.0/24 -c /etc/snort/snort.conf &

Supaya tidak rewel, sebaiknya permission /var/log/snort di jadikan

chmod 770 /var/log/snort

ini sebetulnya cara yang tidak baik.

Menjalankan Snort mode NIDS, log text

Agar log /var/log/snort bisa di baca oleh manusia, kita bisa menjalankan snort dengan perintah,

snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii -D

snort in action

  • gambar file alert anomali yang di teteksi oleh IDS snort


  • gambar folder ip anomali yang di teteksi oleh IDS snort


  • gambar file detail ip anomali yang di teteksi oleh IDS snort