Skip to main content

Packet Logger Mode

Snort Packet Logger Mode


  • Pengertian Packet Logger Mode

  Packet logger mode adalah, yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti -h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan -b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII. 

  • Pengertian IDS

  Aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis. Program yang dipergunakan ini biasanya disebut sebagai Intrusion Detecting System (IDS).

  Sistem ini pun akan memberi peringatan kepada administrator untuk kemudian menentukan dan mengambil tindakan yang tepat.

  IDS bekerja dengan menganalisis pola lalu lintas server dan aktivitas di dalamnya. Jika ada perubahan pada pola tertentu, sistem ini akan segera memberi informasi kepada perangkat. Lalu lintas server ini dipantau secara real-time. Dengan begitu, permasalahan sekecil apa pun yang terjadi bisa segera diatasi. 

 Akan tetapi, sistem ini tidak bisa memblokir (filter) serangan yang terjadi. IDS hanya berperan untuk memberi peringatan kepada perangkat. Sistem IPS (Intrusion Prevention System)-lah yang bereaksi langsung untuk mencegah serangan tersebut.

  Sistem ini sering digunakan berbarengan dengan penetration testing (pentest) untuk mengetahui kemungkinan ancaman yang terjadi. Penetration testing bertugas mensimulasikan serangan yang umum dilakukan oleh pihak luar untuk mengetahui celah keamanan pada sistem. Dari situ, sistem akan memberi peringatan pada perangkat mengenai pusat permasalahan yang terjadi.

  • Cara Kerja IDS

  Untuk memaksimalkan pertahanan keamanan perangkat, IDS memiliki cara kerja tersendiri. Pada dasarnya, IDS bekerja seperti antivirus, mendeteksi anomali, dan memantau berkas sistem operasi. 

 Sistem ini memantau dan memonitor lalu lintas jaringan atau aktivitas pada sistem komputer. Hasil dari pemantauan tersebut kemudian dianalisis dan disamakan dengan pola yang ada pada perangkat. Apabila diketahui ada tanda-tanda serangan seperti upaya akses dari luar, sistem akan segera mengidentifikasikannya.

  Adanya serangan tersebut akan diteruskan oleh sistem melalui peringatan berupa notifikasi pada dashboard IDS. Setelah menerima peringatan, user bisa menentukan langkah yang tepat untuk mengatasi masalah tersebut. Langkah tersebut bisa berupa pemblokiran akses atau menghapus program berbahaya seperti virus dari sistem. 

  • Tipe Dasar IDS

- Rule-Based-System

Berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan

- Adaptive System

Mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk-bentuk penyusupan yang lain.

  • Keuntungan IDS

  Setelah mengetahui cara kerja dan jenis-jenis IDS, tentu Anda sebagai user akan mendapatkan berbagai manfaat dari sistem tersebut. Berikut adalah keuntungan yang bisa dirasakan oleh user atau perusahaan: 

 - Keamanan jaringan terjamin

Keuntungan pertama yang bisa didapatkan adalah adanya peningkatan keamanan jaringan sehingga menjamin kualitas perangkat. Dari pendeteksian akses ilegal atau aktivitas mencurigakan, user bisa segera mengambil keputusan yang tepat untuk m encegah serangan lebih lanjut. 

 - Serangan cepat terdeteksi

IDS dapat mengidentifikasi serangan pada tahap awal dan memberikan peringatan kepada user dengan cepat. Jadi, risiko kejahatan siber berupa pencurian data atau pembajakan bisa segera diatasi tanpa harus kehilangan terlebih dahulu. 

 - Bahan pertimbangan kebijakan

  Dari adanya peringatan serangan pada perangkat, user atau perusahaan bisa mempertimbangkan kebijakan apa yang harus diambil. Kebijakan ini berkaitan dengan perbaikan masalah pada jaringan agar dapat diatasi dengan cepat dan tepat. 

  Efisiensi administrasi jaringan juga bisa terwujud karena sistem berjalan secara otomatis dengan menyediakan pertahanan pada bagian internal jaringan. Jadi, user tidak perlu repot harus memeriksa secara mandiri mengenai pusat permasalahan karena akan ada notifikasi langsung mengenai penyebab serangan. 


  • Kelebihan dan kekurangan IDS

   - Kelebihan IDS:

- Dapat mendeteksi "external hackers" dan serangan jaringan internal.

- Dapat disesuaikan dengan mudah dalam menyediakan perlindungan untuk keseluruhan jaringan.

- Dapat dikelola secara terpusat dalam menangani serangan yang tersebar dan bersama-sama.

- Menyediakan pertahanan pada bagian dalam.

- Menyediakan layar tambahan untuk perlindungan.

  

   - Kekurangan IDS:

- Lebih bereaksi pada serangan daripada mencegahnya.

- Menghasilkan data yang besar untuk dianalisis.

- Rentan terhadap serangan yang "rendah dan lambat".

- Tidak dapat menangani trafik jaringan yang terenkripsi. 

- IDS hanya melindungi dari karakteristik yang dikenal.


  • Macam macam jenis dan fungsi snort.


 - Sniffer Mode

  Berfungsi Untuk melihat paket yang lewat di jaringan


 - Packet logger mode

  Berfungsi Untuk mencatat semua paket yang lewat di jaringan untuk

di analisa di kemudian hari


 - Intrusion Detecting mode

  Berfungsi Untuk mendeteksi serangan yang dilakukan melalui

jaringan komputer. Untuk menggunakan IDS ini diperlukan

setup dari berbagai rule/ aturan yang akan membedakan

sebuah paket normal dengan paket yang membawa.


 PACKET LOGGER MODE 

1. Langkah pertama untuk melakukan percobaan snort mode logger ini kalian memerlukan PC Server (Ubuntu) dan PC Client (Kali Linux) yang saling terhubung.


2. Langkah selanjutnya yaitu kalian bisa lakukan install Ubuntu dan Kali linux terlebih dahulu, jika sudah kalian login ubuntu dan kali linux kalian kemudian kalian bisa masuk ke mode root terlebih dahulu pada kali linux dan ubuntu kalian kemudian cek IP dengan cara "ifconfig" untuk menampilkan IP pada ubuntu dan kali linux kalian.

3. Kalian ping ip server di terminal client, dan jangan di berhentikan dengan cara ketik command ping ip server.


4. Langkah selanjutnya yaitu kalian jalankan paket Snort tools menggunakan perintah "snort -v"


5. Langkah selanjutnya kalian lakukan install libpcap menggunakan perintah "apt-get -y install libpcap-dev".


6. Langkah selanjutnya yaitu kalian lakukan pengeditan pada file snortnya dengan menggunakan perintah "nano /etc/snort/snort.conf" setelah itu kalian edit dibagian step 1 dan step 7 nya seperti pada gambar masukkan IP Networknya, ip yang dimasukan adalah yang ada di bagian wifi atau ethernet lalu kalian klik details, ipv4 yang dimasukan, 

Yang tadinya seperti ini.

Di edit menjadi seperti ini.


Selanjutnya kalian scroll sampai ketemu step 7 dan lakukan edit seperti pada gambar "var LOG_IP (IP Client)

alert tcp $LOG_IP any -> any any (msg: "Akses Dari Suryaaaa Asik"; sid:1;)

Jika sudah tutup dan save dengan cara ctrl x, y lalu enter.

7. Langkah selanjutnya yaitu kalian masukkan perintah "snort -d -l /var/log/snort.log -c /etc/snort/snort.conf -D dan menggunakan perintah "snort -d -h (IP Network) -l /var/log/snort.log -c /etc/snort/snort.conf perintah tersebut berfungsi untuk menjalankan Snort sebagai Network Instrusion Detecting System (NIDS). 

-d: berfungsi untuk menampilkan data paket dalam format ASCII yang mudah dibaca.

-h (IP Network): berfungsi untuk menentukan jaringan rumah yang akan dipantau oleh Snort. Hanya paket yang berasal dari atau ditujukan ke jaringan rumah yang akan dilakukan analisis dan di catat oleh Snort.

-l /var/log/snort.log: berfungsi untuk menentukan direktori tempat Snort akan menyimpan file log. Snort akan membuat subdirektori berdasarkan alamat IP dari host yang mengirim atau menerima paket tersebut.

-c /etc/snort/snort.conf: berfungsi untuk menentukan file konfigurasi yang berisi aturan-aturan untuk mendeteksi pola-pola serangan pada paket. Snort akan membaca file ini dan mengkompilasi aturan-aturan menjadi struktur data internal yang digunakan untuk menganalisis paket.

-D: berfungsi untuk menjalankan Snort sebagai daemon, yaitu proses latar belakang yang tidak memerlukan interaksi dengan pengguna.


8. Langkah selanjutnya yaitu adalah mengaktifkan mode ASCII. Mode ASCII adalah mode yang digunakan untuk menampilkan atau menyimpan data dalam bentuk kode ASCII, yaitu sistem karakter standar yang mewakili teks dan karakter khusus dalam bentuk angka. Caranya yaitu menggunakan perintah "snort -dev -K ASCII -l


9. Langkah selanjutnya jika sudah kalian masuk ke dalam aplikasi WinSCP dengan cara masuk menggunakan Host name: (IP Ubuntu), setelah itu klik login

11. Jika ada notif seperti dibawah ini kalian langsung saja klik yes.



12. Disini kalian diminta untuk memasukan username di u buntu.

13. Jika disini kalian diminta untuk masukan password u buntu kalian.


14. Langkah selanjutnya adalah kalian pindah ke direktori "/var/log/snort/(IP Client). Jika pada saat kalian masuk ke folder IP Client tidak bisa membuka isi foldernya akan muncul notifikasi seperti gambar dibawah ini jangan panik kalian hanya perlu kembali ke u buntu.


Dan kalian harus memasukkan perintah "chmod 7773 -R /var/log/snort yang berfungsi untuk mengizinkan User lain untuk melihat isi dalam pada file.

Chmod: Perintah ini berfungsi untuk mengubah mode file, yaitu hak akses yang dimiliki oleh pemilik,grup,dan orang lain.

7773: Angka yang berfungsi untuk menentukan mode file yang baru. Angka 7 pertama menunjukkan hak akses untuk pemilik file yaitu read,write, dan execute. Angka 7 kedua menunjukkan hak akses untuk grup file, yaitu read,write,dan execute. Angka 7 ketiga menunjukkan hak akses untuk orang lain, yaitu read,write,dan execute. Angka 3 menunjukkan mode setuid dan setgid, yaitu mode khusus yang membuat file atau direktori dapat dijalankan dengan identitas pemilik atau grup.

-R: Berfungsi untuk mengubah mode file secara rekursif, yaitu berlaku untuk direktori dan semua subdirektori dan file di dalamnya.

/var/log/snort : Direktori yang akan diubah mode filenya. Direktori ini biasanya digunakan untuk menyimpan file log dari Snort, yaitu sistem deteksi intrusi jaringan.



15. Dan terakhir, ketika kalian mencoba membuka filenya kembali, maka file tersebut akan menampilkan file yang berisi catatan lalu lintas jaringan yang sudah dicatat oleh Snort mode logger. Jika sudah tertampil seperti pada gambar berarti langkah percobaan Snort mode Logger sudah berhasil kalian lakukan.


Comments

Post a Comment

Popular posts from this blog

VPN - Virtual Private Network

 VIRTUAL PRIVATE NETWORK VPN adalah sebuah layanan koneksi yang memberikan akses ke situs web secara aman dan pribadi dengan mengubah jalur koneksi melalui server dan menyembunyikan pertukaran data yang ada. VPN adalah sebuah alat yang diciptakan dengan tujuan untuk menghubungkan jaringan antargedung perkantoran secara aman dan dapat menggunakan jaringan kantor dari rumah atau juga tempat lain. Sedangkan saat ini VPN kerap juga kita gunakan untuk mendapatkan koneksi internet secara aman, pribadi (private), dan dapat mengakses suatu jaringan secara remote. OpenVPN: Jenis ini menggunakan protokol OpenVPN untuk memungkinkan pengguna terhubung ke jaringan pribadi. Ini adalah salah satu jenis VPN yang paling aman dan dapat diinstall pada berbagai perangkat, termasuk komputer, router, dan perangkat seluler. Kelebihan VPN: - Keamanan: VPN memungkinkan pengguna untuk terhubung ke internet dengan aman dan terenkripsi, sehingga membuat sulit bagi pihak yang tidak berwenang untuk mengakses da...
Post a Comment
Read more

Jaringan Protocol

  Protokol Jaringan (Network Protocol)       Protokol adalah sebuah aturan atau standar yang mengatur atau mengijinkan terjadinya hubungan, komunikasi, dan perpindahan data antara dua atau lebih titik komputer.      Tugas yang biasanya dilakukan oleh sebuah protokol dalam sebuah jaringan diantaranya adalah:   ·         Melakukan deteksi adanya koneksi fisik atau ada tidaknya komputer / mesin lainnya. ·         Melakukan metode “jabat-tangan” (handshaking). ·         Negosiasi berbagai macam karakteristik hubungan. ·         Bagaimana mengawali dan mengakhiri suatu pesan. ·         Bagaimana format pesan yang digunakan. ·         Yang harus dilakukan saat terjadi kerusakan pesan atau pesan yang tidak sempurna. · ...
Post a Comment
Read more

Wireshark Installation

WIRESHARK Mengenal Apa itu Wireshark? Wireshark adalah penganalisis protokol jaringan, atau aplikasi yang menangkap paket dari koneksi jaringan, seperti dari komputer Anda ke kantor rumah atau internet. Paket adalah nama yang diberikan untuk unit data diskrit dalam jaringan Ethernet pada umumnya. Wireshark adalah packet sniffer yang paling sering digunakan di dunia. Seperti packet sniffer lainnya, Wireshark melakukan tiga hal: Pengambilan Paket: Wireshark mendengarkan koneksi jaringan secara real-time dan kemudian mengambil seluruh aliran lalu lintas – sangat mungkin puluhan ribu paket sekaligus. Pemfilteran: Wireshark mampu memotong dan memotong semua data langsung acak ini menggunakan filter. Dengan menerapkan filter, Anda hanya dapat memperoleh informasi yang perlu Anda lihat. Visualisasi: Wireshark, seperti packet sniffer lainnya, memungkinkan Anda menyelami bagian tengah paket jaringan. Ini juga memungkinkan Anda memvisualisasikan seluruh percakapan dan aliran jaringan. Untuk A...
Post a Comment
Read more