SNORT (PACKET LOGGER MODE)

 

SNORT PACKET LOGGER MODE

Pengertian :

Snort packet logger mode adalah mode untuk merekam paket data yang lewat di jaringan komputer dan menyimpannya dalam format pcap library. Format ini dapat dibaca oleh aplikasi penyadapan seperti wireshark. Mode ini berguna untuk melakukan analisis lalu lintas atau forensik jaringan.

Snort packet logger mode memiliki beberapa kelebihan dan kekurangan, yaitu:

Kelebihan:

• Dapat merekam paket data yang lewat di jaringan komputer dan menyimpannya dalam format pcap library, yang dapat dibaca oleh aplikasi penyadapan seperti wireshark.
• Dapat melakukan analisis lalu lintas atau forensik jaringan dengan mudah.
• Dapat menghemat ruang disk karena format biner lebih kompak daripada format ASCII.

Kekurangan:

• Dapat menghabiskan banyak sumber daya sistem karena harus menangkap dan menyimpan semua paket yang lewat.
• Dapat menyebabkan masalah privasi karena merekam paket tanpa membedakan mana yang sensitif dan mana yang tidak.
• Dapat sulit untuk memfilter paket yang relevan dari paket yang tidak relevan.

Tipe-Tipe Snort :

1. Sniffer Mode

Untuk melihat paket yang lewat di jaringan

2. Packet logger mode

Untuk mencatat semua paket yang lewat di jaringan untuk

di analisa di kemudian hari

3. Intrusion Detecting mode

Untuk mendeteksi serangan yang dilakukan melalui

jaringan komputer. Untuk menggunakan IDS ini diperlukan

setup dari berbagai rule/ aturan yang akan membedakan

sebuah paket normal dengan paket yang membawa

serangan

Langkah-langkah konfigurasi Snort (Packet Logger Mode)

1. Langkah pertama yaitu anda masuk ke server Ubuntu yang telah anda buat di virtual box.

2. Lalu langkah kedua yaitu anda juga masuk ke dalam client yaitu Kali Linux.

3. Selanjutnya anda lakukan tes ip di kedua nya dengan cara ketik "ip a" atau dengan "ifconfig"

• Fungsi ifconfig adalah perintah yang digunakan untuk mengkonfigurasi dan melihat status antarmuka jaringan di sistem operasi Linux. Perintah ini dapat digunakan untuk menetapkan alamat IP, mengaktifkan atau menonaktifkan antarmuka, mengelola cache ARP, rute, dan banyak lagi. Ketika kalian menjalankan program ifconfig, program ini akan menampilkan status interface jaringan yang sedang aktif, menampilkan informasi konfigurasi jaringan yang sedang aktif, mengatur alamat IP, mengatur alamat netmask atau broadcast, dan masih banyak lainnya.

4. Berikutnya lakukan tes ping ip di keduanya, (ip server tes ke client) dan (ip client tes ke server). Pastikan wireless jaringan mereka sama.

• Fungsi Ping adalah Perintah yang digunakan untuk menguji konektivitas antara dua komputer di jaringan. Perintah ini mengirimkan pesan ICMP (Internet Control Message Protocol) ke alamat IP yang ditentukan dan kemudian menerima pesan ICMP balasan sesuai dengan kondisi jaringan. Tujuan dari penggunaan ping adalah untuk memeriksa apakah host atau server dalam keaadan aktif atau tidak.

5. Jika sudah tes ping, Selanjutnya yaitu apt update

• Fungsi apt update pada ubuntu adalah untuk memperbarui daftar paket yang tersedia dari repositori ubuntu. Perintah ini tidak menginstal atau menghapus paket apa pun, tetapi hanya mengunduh informasi terbaru tentang paket dan dependensinya. Perintah ini berguna untuk memastikan bahwa sistem ubuntu dapat menginstal paket-paket yang diperlukan atau mendapatkan pembaruan keamanan atau perbaikan bug yang mungkin ada.

6. Berikutnya install libpcap pada server. Caranya ketik "apt-get -y install libpcap-dev". Tunggu hingga selesai, dan pastikan jaringan anda stabil agar mempercepat penginstallan.

• Fungsi penginstallan libpcap yaitu memungkinkan snort menangkap dan menyimpan paket data yang lewat di jaringan komputer dalam format pcap library. 

7.  Ini adalah tampilan ketika anda sudah menginstall libpcap nya

8. Setelah itu kalian lakukan pengeditan pada file snortnya dengan menggunakan perintah "nano /etc/snort/snort.conf".

• nano /etc/snort/snort.conf adalah perintah yang digunakan untuk membuka file konfigurasi Snort pada sistem operasi Linux. File konfigurasi ini berisi aturan dan pengaturan yang digunakan oleh Snort untuk mendeteksi serangan jaringan.perintah ini berfungsi untuk melakukan edit file snort setelah itu kalian edit dibagian step 1 dan step 7 nya seperti pada gambar masukkan IP Networknya jika sudah kalian simpan pencet ctrl-x kemudian y lalu tekan enter.

9. Selanjutnya kalian scroll sampai ketemu step 7 dan lakukan edit seperti pada gambar "var LOG_IP (IP Client)

alert tcp $LOG_IP any -> any any (msg: "Akses Dari Dia"; sid:1;)"

10. selanjutnya yaitu kalian masukkan perintah "snort -d -l /var/log/snort.log -c /etc/snort/snort.conf -D" dan menggunakan perintah "snort -d -h (IP Network) -l /var/log/snort.log -c /etc/snort/snort.conf" perintah tersebut berfungsi untuk menjalankan Snort sebagai Network Instrusion Detecting System (NIDS). 

• -d: berfungsi untuk menampilkan data paket dalam format ASCII yang mudah dibaca.
• -h (IP Network): berfungsi untuk menentukan jaringan rumah yang akan dipantau oleh Snort. Hanya paket yang berasal dari atau ditujukan ke jaringan rumah yang akan dilakukan analisis dan di catat oleh Snort.
• -l /var/log/snort.log: berfungsi untuk menentukan direktori tempat Snort akan menyimpan file log. Snort akan membuat subdirektori berdasarkan alamat IP dari host yang mengirim atau menerima paket tersebut.
• -c /etc/snort/snort.conf: berfungsi untuk menentukan file konfigurasi yang berisi aturan-aturan untuk mendeteksi pola-pola serangan pada paket. Snort akan membaca file ini dan mengkompilasi aturan-aturan menjadi struktur data internal yang digunakan untuk menganalisis paket.
• -D: berfungsi untuk menjalankan Snort sebagai daemon, yaitu proses latar belakang yang tidak memerlukan interaksi dengan pengguna.

11. Selanjutnya yaitu adalah mengaktifkan mode ASCII. Mode ASCII adalah mode yang digunakan untuk menampilkan atau menyimpan data dalam bentuk kode ASCII, yaitu sistem karakter standar yang mewakili teks dan karakter khusus dalam bentuk angka. Caranya yaitu menggunakan perintah "snort -dev -K ASCII"

12. Langkah selanjutnya jika sudah kalian masuk ke dalam aplikasi WinSCP dengan cara masuk menggunakan "Host name: (IP Ubuntu), Port number:22, Username: (Nama User di ubuntu), Password: (Password Ubuntu), kemudian klik login".

13. Dan terakhir, ketika kalian mencoba membuka filenya kembali, maka file tersebut akan menampilkan file yang berisi catatan lalu lintas jaringan yang sudah dicatat oleh Snort mode logger. Jika sudah tertampil seperti pada gambar berarti langkah percobaan Snort mode Logger sudah berhasil kalian lakukan.