Intrusion Detecting System Snort Logger - Ubuntu Server

Konfigurasi IDS Snort Logger dengan Menggunakan Linux Ubuntu dan Kali Linux

A. Pengertian

    Intrusion Detecting System atau IDS adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunaka program khusus yang otomatis. Snort sendiri adalah Open Source yang tersedia di berbagai variasi Unix dan juga Microsoft Windows.

    Tipe dasar IDS:

1. Rule Based System, berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal, jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai panyusupan.

2. Adaptive System, mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi jug membuka kemungkinan untuk mendeteksi terhadap bentuk-bentuk penyusupan yang lain.

    Secara umum Snort dapat dioperasikan dalam tiga mode yaitu:

1. Sniffer Mode, untuk melihat paket yang lewat di jaringan.

2. Packer Logger Mode, untuk mencatat semua paket yang lewat di Jaringan untuk dianalisa di kemudian hari.

3. Intrusion Detection Mode, untuk mendeteksi serangan yang dilakukan melalui jaringan komputer.

B. Studi Kasus

    Pada modul kali ini, dijabarkan beberapa langkah - langkah cara mengkonfigurasi Intrusion Detecting System dengan menggunakan sensor Snort mode Logger serta menggunakan aplikasi mesin virtual yaitu VirtualBox. 

    Alat yang diperlukan antara lain: Satu buah perangkat (PC atau Laptop), aplikasi VirtualBox yang dilengkapi dengan mesin virtual Linux Ubuntu (Server) dan Windows (klien), aplikasi WinSCP dan sebuah jaringan lokal.

C. Langkah Konfigurasi

    1. Pastikan jaringan yang Anda gunakan antara Server dengan klien dalam satu jaringan yang sama. Pada contoh digunakannya jaringan Wireless sehingga menggunakan mode Bridge Adapter.

    2. Langkah Berikutnya adalah masuk ke dalam mode Root pada mesin virtual Ubuntu. Caranya adalah dengan masukkan perintah arya@arya:~$ sudo -i , setelah itu masukkan Password milik mesin virtual Anda. Selanjutnya adalah mengupdate paket yang berada di mesin Virtual Anda. Caranya adalah dengan masukkan perintah  arya@arya:~# apt update .

    3. Langkah berikutnya adalah masukkan perintah arya@arya:~# apt install net-tools , yang berfungsi untuk menginstal paket net-tools di mesin virtual Anda. Paket tersebut berisi kumpulan alat-alat yang berhubungan dengan jaringan, seperti ifconfig, route, hostname, rarp, dan lain-lain.

    4. Langkah berikutnya adalah masukkan perintah arya@arya:~# ip a , yang berfungsi untuk melihat IP mesin virtual Anda.

    5. Langkah berikutnya adalah login ke dalam aplikasi Remote Putty. Caranya adalah buka aplikasinya, kemudian masukkan IP dari mesin virtual Anda yang sudah didapat tadi.

    6. Setelah itu masuk ke dalam mode Root di dalam Putty dengan cara yang sama seperti pada langkah nomor 2.

    7. Langkah berikutnya adalah mengunduh pake snort. Caranya adalah dengan masukkan perintah root@arya:~# apt install snort setelah itu y untuk melanjutkan.

    8. Tunggu proses instalasi hingga muncul RoundCube seperti pada contoh gambar. Masukkan interface yang digunakan untuk turhubung dengan klien, pada contoh digunakannya interface enp0s3 sebagai interface yang mengarah ke klien.

    Selanjutnya adalah menginput IP Network local yang Anda gunakan.

    Setelah itu tunggu proses instalasi selesai.

    9. Langkah berikutnya adalah uji coba pinging antara mesin virtual Ubuntu dengan klien. Caranya adalah dengan masukkan perintah C:\Users\ASUS> ipconfig yang berfungsi untuk mengetahui IP dari perangkat klien. Setelah itu C:\Users\ASUS> (IP mesin virtual) -t yang berfungsi untuk melakukan pinging terhadap mesin virtual, dengan ditambahkannya variabel -t akan membuat proses pinging terus menerus mereply. Selanjutnya lakukan hal yang sama pada mesin virtual dengan melakukan pinging terhadap perangkat klien. Caranya adalah dengan masukkan perintah root@arya:~# ping (IP klien) .

    10. Langkah berikutnya adalah menjalankan paket Snort Tools. Caranya adalah dengan masukkan perintah root@arya:~#snort -v .

    11. Langkah berikutnya adalah mengupdate terlebih dahulu paket yang ada di mesin virtual Anda. Caranya adalah dengan masukkan perintah root@arya:~# apt update . Setelah itu menginstall paket Libpcap. Caranya adalah dengan masukkan perintah root@arya:~# apt-get -y install libpcap-dev . Paket Libpcap untuk menangkap atau mengirim paket data dari sebuah perangkat jaringan atau sebuah berkas.

    12. Langkah berikutnya adalah mengedit file Snort dengan perintah root@arya:~# nano /etc/snort/snort.conf setelah itu masukkan IP Network dengan lokasi yang sama seperti pada gambar.

    Selanjutnya adalah scroll terus sampai step 7, dan edit file dengan perintah sama seperti pada gambar.

var LOG_IP (IP Client)

alert tcp $LOG_IP any -> any any (msg: "Akses Dari Beliau"; sid:1;)

    13. Langkah berikutnya adalah masukkan perintah root@arya:~# snort -d -l /var/log/snort.log -c /etc/snort/snort.conf -D dan perintah root@arya:~# snort -d -h (IP Netowrk)-l /var/log/snort.log -c /etc/snort/snort.conf yang berfungsi untuk menjalankan Snort sebagai Network Intrusion Detecting System(NIDS). Dengan penjerlasan sebagai berikut

-d : Menampilkan data paket dalam format ASCII yang mudah dibaca.

-h (IP Network) : Menentukan jaringan rumah yang akan dipantau oleh Snort. Hanya paket yang berasal dari atau ditujukan ke jaringan rumah yang akan dianalisis dan dicatat oleh Snort.

-l /var/log/snort.log : Menentukan direktori tempat Snort akan menyimpan file log. Snort akan membuat subdirektori berdasarkan alamat IP dari host yang mengirim atau menerima paket.

-c /etc/snort/snort.conf : Menentukan file konfigurasi yang berisi aturan-aturan untuk mendeteksi pola-pola serangan pada paket. Snort akan membaca file ini dan mengkompilasi aturan-aturan menjadi struktur data internal yang digunakan untuk analisis paket.

-D : Menjalankan Snort sebagai daemon, yaitu proses latar belakang yang tidak memerlukan interaksi dengan pengguna.

    14. Langkah berikutnya adalah mengaktifkan mode ASCII. Mode ASCII adalah mode yang digunakan untuk menampilkan atau menyimpan data dalam bentuk kode ASCII, yaitu sistem karakter standar yang mewakili teks dan karakter khusus dalam bentuk angka. Caranya adalah dengan masukkan perintah root@arya:~# snort -dev -K ASCII .

    15. Langkah berikutnya adalah masuk ke dalam aplikasi WinSCP. Cara masuknya adalah dengan Host name: (IP Ubuntu), Port number: 22, User name: (Nama User), Password: (Password Ubuntu), Login. Aplikasi WinSCP adalah sebuah aplikasi yang dapat digunakan untuk mentransfer file antara komputer lokal dan komputer remote melalui protokol jaringan seperti SFTP, SCP, FTP, WebDAV, atau Amazon S3.

    16. Langkah berikutnya adalah pindah ke direktori /var/log/snort/(IP Client). Jika ketika Anda membuka file didalam IP klien lalu muncul notifikasi seperti ini. Tujuan pindah direktori adalah untuk melihat file traffic yang sudah dicatat.

    Maka Anda harus memasukkan perintah root@arya:~# chmod 7773 -R /var/log/snort yang berfungsi untuk mengizinkan User lain untuk melihat isi dalam file.

chmod : Perintah untuk mengubah mode file, yaitu hak akses yang dimiliki oleh pemilik, grup, dan orang lain.

7773 : Angka yang menentukan mode file yang baru. Angka pertama (7) menunjukkan hak akses untuk pemilik file, yaitu read, write, dan execute. Angka kedua (7) menunjukkan hak akses untuk grup file, yaitu read, write, dan execute. Angka ketiga (7) menunjukkan hak akses untuk orang lain, yaitu read, write, dan execute. Angka keempat (3) menunjukkan mode setuid dan setgid, yaitu mode khusus yang membuat file atau direktori dapat dijalankan dengan identitas pemilik atau grup.

-R : Opsi untuk mengubah mode file secara rekursif, yaitu berlaku untuk direktori dan semua subdirektori dan file di dalamnya.

/var/log/snort : Direktori yang akan diubah mode filenya. Direktori ini biasanya digunakan untuk menyimpan file log dari Snort, yaitu sistem deteksi intrusi jaringan.

    17. Selanjutnya, ketika Anda mencoba membuka filenya lagi, maka akan tertampil file yang berisi catatan lalu lintas jaringan yang sudah dicatat oleh Snort mode Logger. Jika isi file tertampil seperti pada gambar, maka uji coba Snort mode Logger dapat dinyatakan berhasil.