Pengertian Snort (Sniffer mode) dan fungsinya serta konfigurasi
Contoh dan Penggunaan Sniffer
Snort adalah sebuah sistem deteksi intrusi yang populer dan kuat. Ketika digunakan dalam mode Sniffer, Snort beroperasi untuk memeriksa paket data yang lewat melalui jaringan. Berikut adalah fungsi dari perspektif OS Server dan OS Client :
Snort (Sniffer Mode) di OS Server:
- Snort memantau lalu lintas jaringan yang masuk dan keluar dari server.
- Melalui aturan yang telah ditentukan, Snort dapat mendeteksi pola-pola yang mencurigakan atau serangan yang berpotensi seperti serangan malware, percobaan penetrasi, atau aktivitas jaringan yang tidak sah lainnya.
2. Logging:- Snort mencatat aktivitas jaringan yang dicurigasi atau berpotensi berbahaya ke dalam log file.
- Log-file ini dapat dianalisis secara lebih lanjut oleh administrator untuk memahami ancaman potensial dan mengambil tindakan yang diperlukan.
3. Respons Cepat:- Dengan mendeteksi serangan secara real-time, Snort memungkinkan server untuk merespons secara cepat terhadap ancaman tersebut, seperti memblokir sumber serangan atau mengambil tindakan pencegahan lainnya.
Snort (Sniffer Mode) di OS Client:
1. Pemantauan Terhadap Serangan:- Snort membantu dalam memantau lalu lintas jaringan yang masuk dan keluar dari perangkat client.
- Ini memungkinkan pengguna untuk mengetahuui apakah ada aktivitas jaringan mencurigakan yang mungkin terjadi pada perangkat mereka.
2. Perlindungan Terhadap Serangan:- Dengan memantau lalu lintas jaringan, Snort membantu dalam mendeteksi dan mencegah serangan jaringan yang mungkin ditujukan langsung ke perangkat client, seperti serangan phising atau serangan malware.
3. Identifikasi Ancaman Potensial:- Snort membantu pengguna dalam mengidentifikasi pola serangan jaringan yang berpotensi merugikan.
- Ini memungkinkan pengguna untuk mengambil langkah-langkah pencegahan yang diperlukan, seperti memperbarui perangkat lunak atau mengkonfigurasi firewall dengan benar.
- Snort mencatat aktivitas jaringan yang dicurigasi atau berpotensi berbahaya ke dalam log file.
- Log-file ini dapat dianalisis secara lebih lanjut oleh administrator untuk memahami ancaman potensial dan mengambil tindakan yang diperlukan.
3. Respons Cepat:
- Dengan mendeteksi serangan secara real-time, Snort memungkinkan server untuk merespons secara cepat terhadap ancaman tersebut, seperti memblokir sumber serangan atau mengambil tindakan pencegahan lainnya.
Snort (Sniffer Mode) di OS Client:
1. Pemantauan Terhadap Serangan:
- Snort membantu dalam memantau lalu lintas jaringan yang masuk dan keluar dari perangkat client.
- Ini memungkinkan pengguna untuk mengetahuui apakah ada aktivitas jaringan mencurigakan yang mungkin terjadi pada perangkat mereka.
2. Perlindungan Terhadap Serangan:
- Dengan memantau lalu lintas jaringan, Snort membantu dalam mendeteksi dan mencegah serangan jaringan yang mungkin ditujukan langsung ke perangkat client, seperti serangan phising atau serangan malware.
3. Identifikasi Ancaman Potensial:
- Snort membantu pengguna dalam mengidentifikasi pola serangan jaringan yang berpotensi merugikan.
- Ini memungkinkan pengguna untuk mengambil langkah-langkah pencegahan yang diperlukan, seperti memperbarui perangkat lunak atau mengkonfigurasi firewall dengan benar.
Macam macam Parameter pada Snort
apt-get update: adalah perintah yang digunakan pada sistem operasi berbasis Debian dan turunannya, seperti Ubuntu, utnuk mengambil informasi terbaru tentang paket-paket perangkat lunak yang tersedia dalam repositori yang diatur dalam konfigurasi sistem. Proses ini tidak menginstal atau menghapus paket apa pun, tetapi hanya memperbarui indeks paket yang tersedia.
Jadi, ketika kalian menjalankan apt-get update, sistem akan memperbarui daftar paket yang tersedia dan informasi tentang versi-versi terbaru dari paket-paket tersebut dari repositori yang terdaftar di Komputer kalian. Dengan melakukan ini, kalian memastikan bahwa sistem kalian memiliki informasi terbaru tentnag perangkat lunak yang tersedia untuk diinstal, memungkinkan kalian untuk kemudian menjalankan apt-get update untuk memperbarui paket-paket tersebut ke versi terbaru.
Snort-V adalah varian dari snort yang dikembangkan dengan fokus pada penerapan teknologi deteksi intrusi yang lebih canggih. Fitur utamanya adalah kemampuan untuk memproses dan menganalisis lalu lintas jaringan dengan menggunakan teknologi pemrosesan vektor (vektor processing).
Berikut beberapa hal yang perlu diketahui tentang Snort-V:
1. Vector Processing:
- Snort-V menggunakan teknologi pemrosesan vektor untuk meningkatkan kinerja dan efisiensi deteksi intrusi.
- Dengan memanfaatkan kemampuan pemrosesan vektor pada perangkat keras modern, Snort-V dapat menangani lalu lintas jaringan dengan lebih efisien daripada versi asli Snort..
2. Performa yang Ditingkatkan:- Dengan memanfaatkan pemrosesan vektor, Snort-V dapat meningkatkan performan deteksi intrusi pada lalu lintas jaringan yang dapat dan kompleks.
- Hal ini membuatnya lebih cocok untuk digunakan dalam lingkungan jaringan yang memmerlukan pemantauan yang intensif dan respons yang cepat terhadap ancaman.
3. Kemampuan Deteksi Lebih Lanjut:- Snort-V terus dikembangkan dengan menambahkan fitur-fitur deteksi intrusi yang lebih canggih.
- Ini termasuk pengembangan aturan deteksi yang lebih kompleks dan pemrosesan yang lebih cerdas untuk mengidentifikasi ancaman jaringan yang berkembang.
4. Kompatibilitas dengan Snort:- Meskipun merupakan varian yang ditingkatkan, Snort-V tetap mempertahankan kompatibilitas dengan aturan Snort yang ada.
- Ini memungkinkan pengguna untuk dengan mudah berlaih dari implementasi Snort tradisional ke Snort-V tanpa mengubah banyak konfigurasi atau aturan deteksi intrusi yang sudah ada.
Dengan demikian, Snort-V adalah evolusi dari Snort yang menyediakan kemampuan deteksi intrusi yang lebih canggih dna performa yang ditingkatkan, terutam dalam menghadapi lalu lintas jaringan yang dapat dan kompleks.
- Snort-V terus dikembangkan dengan menambahkan fitur-fitur deteksi intrusi yang lebih canggih.
- Ini termasuk pengembangan aturan deteksi yang lebih kompleks dan pemrosesan yang lebih cerdas untuk mengidentifikasi ancaman jaringan yang berkembang.
4. Kompatibilitas dengan Snort:
- Meskipun merupakan varian yang ditingkatkan, Snort-V tetap mempertahankan kompatibilitas dengan aturan Snort yang ada.
- Ini memungkinkan pengguna untuk dengan mudah berlaih dari implementasi Snort tradisional ke Snort-V tanpa mengubah banyak konfigurasi atau aturan deteksi intrusi yang sudah ada.
Dengan demikian, Snort-V adalah evolusi dari Snort yang menyediakan kemampuan deteksi intrusi yang lebih canggih dna performa yang ditingkatkan, terutam dalam menghadapi lalu lintas jaringan yang dapat dan kompleks.
apt install snort adalah perintah yang digunakan pada sistem operasi Linux berbasis Debian (seperti Ubuntu) untuk menginstal perangkat lunak Snort menggunakan manajer paket APT (Advanced Package Tool).
Perintah ini akan memerintahkan APT untuk mengunduh, meginstal, dan mengonfigurasi paket perangkat lunak Snort beserta dependensinya dari repositori paket yang telah dionfigurasi pada sistem. Setelah instalasi selesai, Snort akan siap digunakan untuk mendeteksi dan melindungi sistem kalian dari ancaman jaringan potensial.
Konfigurasi
1. Pada command #snort -v Jika Anda hanya ingin mengprint header paket TCP/IP ke layar
maka akan memunculkan informasi paket header.
2. #snort -vd Perintah ini akan menjalankan Snort dan hanya menampilkan header IP dan TCP/UDP/ICMP, tidak ada yang lain.
3. #snort -vde Ini menginstruksikan Snort untuk menampilkan data paket serta headernya. Jika ingin tampilan yang lebih deskriptif, tampilkan header lapisan data link, lakukan - vde.
4. #snort -v -d -e Selain itu, perhatikan bahwa command baris perintah dapat dicantumkan secara terpisah atau dalam bentuk gabungan. Perintah terakhir juga bisa diketik sebagai:
./snort -d -v -e
5. Untuk membaca file snort kalian pakai command #snort -dev -r /var/log/snort/
6. Kalian bisa menguji-coba scannning pada Komputer Client kepada komputer yang menggunakan snort dengan command nmap. Sebelum itu kalian jalankan dulu dengan menggunakan mode NIDS. Command untuk scanning:
#snort -d -h 192.168.1.0/24 host -l /var/log/snort –c /etc/snort/snort.conf
#nmap -sS -v
7. Jika scanning terlihat pada snort, selanjutnya copy-kan hasil snort yang terdapat pada SYN. Untuk melihatnya gunakan command:
#snort –dev –r | more.
8. Kemudian kalian membuat rule baru dengan altcp.rules dan letakkan file tersebut di directory /etc/snort/rules.
9. Langkah terakhir kalian melakukan command #etc/init.d/snort restart untuk merestart Komputer dan mengsave semua perubahan konfigurasi yang dilakukan.
0 Response to "Pengertian Snort (Sniffer mode) dan fungsinya serta konfigurasi"
Posting Komentar