Overview
Snort IDS (Intrusion Detection System) adalah salah satu program open source yang berfungsi untuk mendeteksi ancaman keamanan jaringan dan mencegah serangan dalam jaringan komputer. Snort dapat digunakan untuk mengidentifikasi dan melacak aktivitas mencurigakan dalam jaringan, termasuk serangan malware, worm, trojan, dan sebagainya.
Snort berjalan pada platform Linux dan dapat diinstal pada sistem operasi lain seperti Windows. Snort dapat mengenali ancaman dengan cara menganalisis data lalu lintas jaringan melalui aturan yang sudah ditentukan. Aturan-aturan ini dikembangkan oleh komunitas Snort dan administrator jaringan dapat menambahkan aturan sendiri.
Snort menggunakan metode deteksi berbasis tanda tangan dan berbasis perilaku. Metode berbasis tanda tangan menggunakan database signature atau pola serangan yang sudah diketahui. Sedangkan metode berbasis perilaku menggunakan teknik machine learning dan artificial intelligence untuk mengidentifikasi pola yang mencurigakan dalam data lalu lintas jaringan.
Snort juga dapat diintegrasikan dengan berbagai aplikasi lain seperti log analyzer dan dashboard untuk memudahkan pengelolaan data dan visualisasi aktivitas jaringan.
Snort adalah salah satu IDS yang paling terkenal dan sering digunakan di seluruh dunia. Snort telah terbukti efektif dalam mendeteksi ancaman dan memberikan perlindungan tambahan bagi jaringan. Snort juga mendukung protokol jaringan yang banyak digunakan seperti TCP/IP, HTTP, dan DNS, sehingga dapat mendeteksi banyak jenis serangan pada banyak jenis protokol.
Siapkan Pendukung
Supaya tidak rewel, sebaiknya menggunakan akun root "jika ada masalah"
Cek repository
sudo apt update
Cek Jaringan
ifconfig
catat nama interface yang nanti akan di monitor
enp0s3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 192.168.0.169 netmask 255.255.255.0 broadcast 192.168.0.255
inet6 fe80::a00:27ff:fe2c:cc3c prefixlen 64 scopeid 0x20<link>
ether 08:00:27:2c:cc:3c txqueuelen 1000 (Ethernet)
RX packets 34056 bytes 43367030 (43.3 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 4141 bytes 337064 (337.0 KB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
maka interface yang dimonitor adalah
enp0s3
Siapkan Aplikasi Pendukung
sudo locale-gen id_ID.UTF-8
apt update
apt -y install oinkmaster snort snort-common snort-rules-default snort-doc
Akan di tanya
interface yang akan di monitor, misalnya enp0s3 range IP yang di monitor, misalnya 192.168.0.0/24
Cek Snort
snort -C
Jalankan Snort mode NIDS
snort -dev -l /var/log/snort/ -h 192.168.0.0/24 -c /etc/snort/snort.conf &
Supaya tidak rewel, sebaiknya permission /var/log/snort di jadikan
chmod 770 /var/log/snort
ini sebetulnya cara yang tidak baik.
Menjalankan Snort mode NIDS, log text
Agar log /var/log/snort bisa di baca oleh manusia, kita bisa menjalankan snort dengan perintah,
snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii -D
snort in action
gambar file alert anomali yang di teteksi oleh IDS snort
gambar folder ip anomali yang di teteksi oleh IDS snort
gambar file detail ip anomali yang di teteksi oleh IDS snort