SNORT PACKET LOGGER MODE

 PACKET LOGGER MODE 

Pengertian: 

    Aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis. Program yang dipergunakan ini biasanya disebut sebagai Intrusion Detecting System (IDS). Tujuan dari IDS adalah untuk mengidentifikasi akses tidak sah tersebut yang masuk ke dalam sistem.

IDS bekerja dengan menganalisis pola lalu lintas server dan aktivitas didalamnya. Jika ada perubahan pada pola tertentu, sistem ini akan segera memberi informasi kepada perangkat. Lalu lintas server ini dipantau secara real-time. Dengan begitu, permasalahan sekecil apa pun yang terjadi bisa segera diatasi.

Akan tetapi, sistem ini tidak bisa memblokir (filter) serangan yang terjadi. IDS hanya berperan untuk memberi peringatan kepada perangkat.

Tipe dasar IDS:

• Rule-Based-System: Berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalu lintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan.
• Adaptive-System: Mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk-bentuk penyusupan yang lain.

Fungsi Snort:

1. Sniper mode:  Berfungsi untuk melihat paket yang lewat di jaringan.
2. Packet logger mode: Berfungsi untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari.
3. Intrusion Detecting mode: Berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan IDS ini diperlukan setup dari berbagai rule atau aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.

Kelebihan IDS:

• Dapat mendeteksi "external hackers" dan serangan jaringan internal.
• Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan.
• Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama.
• Menyediakan pertahanan pada bagian dalam.
• Menyediakan layar tambahan untuk perlindungan.

Kekurangan IDS:

• Lebih bereaksi pada serangan daripada mencegahnya.
• Menghasilkan data yang besar untuk dianalisis.
• Rentan terhadap serangan yang "rendah dan lambat".
• Tidak dapat menangani trafik jaringan yang terenkripsi. 
• IDS hanya melindungi dari karakteristik yang dikenal.

Langkah-Langkah konfigurasi snort menggunakan mode logger:

1. Langkah pertama untuk melakukan percobaan snort mode logger ini kalian memerlukan PC Server (Ubuntu) dan PC Client (Kali Linux) yang saling terhubung.

2. Langkah selanjutnya yaitu kalian bisa lakukan install Ubuntu dan Kali linux terlebih dahulu, jika sudah kalian login ubuntu dan kali linux kalian kemudian kalian bisa masuk ke mode root terlebih dahulu pada kali linux dan ubuntu kalian kemudian cek IP dengan cara "ifconfig" untuk menampilkan konfigurasi jaringan, termasuk alamat IP, subnet mask, dan broadcast pada ubuntu dan kali linux kalian.

3. Langkah selanjutnya yaitu kalian lakukan ping di PC Client menggunakan IP Server. Perintah ping digunakan untuk mengukur kecepatan dan ketersediaan koneksi jaringan antara dua perangkat. Ini dapat membantu mengidentifikasi masalah koneksi dan menentukan waktu respons antara host dan tujuan yang diinginkan.

4. Langkah selanjutnya yaitu kalian jalankan paket Snort tools menggunakan perintah "snort -v" perintah ini digunakan untuk menjalankan Snort dalam mode verbose atau berbicara lebih banyak. Mode ini memberikan informasi yang lebih rinci tentang aktivitas deteksi dan pengoperasian Snort secara umum.

5. Langkah selanjutnya kalian lakukan install libpcap menggunakan perintah "apt-get -y install libpcap-dev" libpcap berfungsi untuk memungkinkan kita menangkap atau mengirim paket dari perangkat jaringan langsung atau file. Contoh kode ini akan memandu Anda menggunakan libpcap untuk menemukan perangkat jaringan, mendapatkan informasi tentang perangkat, memproses paket secara real time atau offline, mengirim paket, dan bahkan mendengarkan lalu lintas nirkabel.

6. Langkah selanjutnya yaitu kalian lakukan pengeditan pada file snortnya dengan menggunakan perintah "nano /etc/snort/snort.conf" perintah ini berfungsi untuk melakukan edit file snort setelah itu kalian edit dibagian step 1 dan step 7 nya seperti pada gambar masukkan IP Networknya jika sudah kalian simpan pencet ctrl-x kemudian y lalu tekan enter.

Selanjutnya kalian scroll sampai ketemu step 7 dan lakukan edit seperti pada gambar "var LOG_IP (IP Client)

alert tcp $LOG_IP any -> any any (msg: "Akses Dari Aji"; sid:1;) perintah ini berfungsi untuk mendeteksi akses TCP dengan pesan akses dari aji kemungkinan besar adalah variabel yang menyimpan alamat IP yang akan di-log.

7. Langkah selanjutnya yaitu kalian masukkan perintah "snort -d -l /var/log/snort.log -c /etc/snort/snort.conf -D dan menggunakan perintah "snort -d -h (IP Network) -l /var/log/snort.log -c /etc/snort/snort.conf perintah tersebut berfungsi untuk menjalankan Snort sebagai Network Instrusion Detecting System (NIDS). 

• -d: berfungsi untuk menampilkan data paket dalam format ASCII yang mudah dibaca.
• -h (IP Network): berfungsi untuk menentukan jaringan rumah yang akan dipantau oleh Snort. Hanya paket yang berasal dari atau ditujukan ke jaringan rumah yang akan dilakukan analisis dan di catat oleh Snort.
• -l /var/log/snort.log: berfungsi untuk menentukan direktori tempat Snort akan menyimpan file log. Snort akan membuat subdirektori berdasarkan alamat IP dari host yang mengirim atau menerima paket tersebut.
• -c /etc/snort/snort.conf: berfungsi untuk menentukan file konfigurasi yang berisi aturan-aturan untuk mendeteksi pola-pola serangan pada paket. Snort akan membaca file ini dan mengkompilasi aturan-aturan menjadi struktur data internal yang digunakan untuk menganalisis paket.
• -D: berfungsi untuk menjalankan Snort sebagai daemon, yaitu proses latar belakang yang tidak memerlukan interaksi dengan pengguna.

8. Langkah selanjutnya yaitu adalah mengaktifkan mode ASCII. Mode ASCII adalah mode yang digunakan untuk menampilkan atau menyimpan data dalam bentuk kode ASCII, yaitu sistem karakter standar yang mewakili teks dan karakter khusus dalam bentuk angka. Caranya yaitu menggunakan perintah "snort -dev -K ASCII

9. Langkah selanjutnya jika sudah kalian masuk ke dalam aplikasi WinSCP dengan cara masuk menggunakan "Host name: (IP Ubuntu), Port number:22, Username: (Nama User di ubuntu), Password: (Password Ubuntu), kemudian klik login".

10. Langkah selanjutnya adalah kalian pindah ke direktori "/var/log/snort/(IP Client). Jika pada saat kalian masuk ke folder IP Client kalian tidak bisa membuka isi foldernya akan muncul notifikasi seperti gambar dibawah ini.

Maka kalian harus memasukkan perintah "chmod 7773 -R /var/log/snort yang berfungsi untuk mengizinkan User lain untuk melihat isi dalam pada file.

chmod: Perintah ini berfungsi untuk mengubah mode file, yaitu hak akses yang dimiliki oleh pemilik,grup,dan orang lain.

7773: Angka yang berfungsi untuk menentukan mode file yang baru. Angka pertama (7) menunjukkan hak akses untuk pemilik file yaitu read,write, dan execute. Angka kedua (7) menunjukkan hak akses untuk grup file, yaitu read,write,dan execute. Angka ketiga (7) menunjukkan hak akses untuk orang lain, yaitu read,write,dan execute. Angka keempat (3) menunjukkan mode setuid dan setgid, yaitu mode khusus yang membuat file atau direktori dapat dijalankan dengan identitas pemilik atau grup.

-R: Opsi berfungsi untuk mengubah mode file secara rekursif, yaitu berlaku untuk direktori dan semua subdirektori dan file di dalamnya.

/var/log/snort : Direktori yang akan diubah mode filenya. Direktori ini biasanya digunakan untuk menyimpan file log dari Snort, yaitu sistem deteksi intrusi jaringan.

11. Dan terakhir, ketika kalian mencoba membuka filenya kembali, maka file tersebut akan menampilkan file yang berisi catatan lalu lintas jaringan yang sudah dicatat oleh Snort mode logger. Jika sudah tertampil seperti pada gambar berarti langkah percobaan Snort mode Logger sudah berhasil kalian lakukan.