SNORT (IDS) untuk mencatat paket yang lewat

07.36
Snort adalah aplikasi untuk pendeteksi penyusup yang masuk ke jaringan komputer kita, seperti di terangkan di Instalasi SNORT Intrusion Detection System (IDS) dan di Apa itu Intrusion Detection System (IDS)?. Salah satu fitur snort yang akan sangat bermanfaat khususnya untuk melakukan forensik pada saat terjadi kejadian perkara / cybercrime adalah merekam semua data yang lewat. Pada kesempatan ini kita akan membahas lebih dalam tentang teknik melakukan perekaman paket data menggunakan snort.
Mode untuk merekam paket pada snort sering di sebut packet logger mode. Format rekaman paket merupakan format libpcap. Libpcap juga digunakan oleh penyadap seperti wireshark, tcpdump, ethereal.

Set Folder Log

Teknik merekam paket tidak berbeda jauh dengan teknik sniffer pada snort yang di terangkan di SNORT (IDS) dengan mode menyadap . Bedanya kita hanya perlu memberitahukan folder yang digunakan sebagai tempat untuk menyimpan data yang di rekam. Folder tersebut diberitahukan menggunakan switch -l, sebagai berikut "snort -dev -l ./log" atau secara lengkap "snort -dev -l /var/log/snort"
Ketika Snort berjalan dalam mode ini, ia mengumpulkan setiap paket yang dilihatnya dan menempatkannya dalam hirarki direktori berdasarkan alamat IP dari salah satu host di datagram paket yang dilihat.
Jika Kita hanya menggunakan switch -l saja, snort kadang kala menggunakan alamat remote komputer sebagai directory di mana ia menempatkan paket dan kadang-kadang menggunakan alamat host lokal. Agar menyimpan log relatif ke jaringan lokal, Kita perlu memberitahukan snort mana yang home network / jaringan lokal, misalnya menggunakan perintah berikut, "snort -dev -l /var/log/snort -h 192.168.0.0/24". Perintah ini memberitahu Snort bahwa Kita ingin mencetak data link dan TCP/IP header serta data aplikasi ke dalam direktori /var/log/snort, dan Kita ingin log paket relatif terhadap jaringan kelas C 192.168.0.0. Semua paket yang masuk akan disimpan ke subdirektori dari direktori log, dengan nama direktori yang berbasis pada alamat remote host (non-192.168.0).

Logging Kecepatan Tinggi

Jika Kita berada di jaringan kecepatan tinggi, seperti Gbps LAN, atau Kita ingin log berbentuk kompak untuk analisa, sangat di sarankan untuk melakukan logging dalam mode biner. Log paket mode biner format tcpdump ke direktori logging /var/log/snort, dapat dilakukan menggunakan perintah "snort -l /var/log/snort -b".
Perhatikan ada perubahan perintah. Kita tidak perlu menentukan alamat jaringan LAN lokal lagi karena mode biner menyimpan semua ke dalam satu file. Juga, tidak perlu menggunakan switch -d atau -e untuk mode verbose, karena seluruh paket di rekam. Jadi cukup hanya menggunakan switch -l dan -b saja.

Replay / Memainkan kembali rekaman paket

Setelah paket telah dicatat ke file biner, Kita dapat membaca paket kembali dari file dengan sniffer yang mendukung format biner libpcap (seperti tcpdump, Ethereal, atau wireshark). Snort juga dapat membaca paket kembali dengan menggunakan switch -r, yang menempatkan ke mode playback. Jika Kita ingin menjalankan file log biner tersebut, setup snort dalam mode sniffer untuk menampilkan paket ke layar, perintahnya adalah "snort -dv -r packet.log"

Logging ASCII

Bagi kita yang hanya ingin membaca rekaman traffic dengan mudah menggunakan format text ASCII dapat menggunakan perintah berikut "snort -A console -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii". Jika dibuang -A console, maka hasil rekaman tidak akan di tampilkan di layar / console. Perintah yang digunakan adalah "snort -c /etc/snort/snort.conf -l /var/log/snort/ -K ascii".
Pada gambar di perlihatkan saat perintah rekam ASCII di atas di jalankan. Isi folder /var/log/snort hanya ada 2 file & 1 folder, file tersebut adalah alert dan snort.log. Rekaman log berbentuk binary dan bisa di replay oleh wireshark. Sementara alert berbentuk text ASCII. Rekaman paket saat komputer yang melakukan pelanggaran di masukan ke sebuah folder, dalam hal ini 192.168.0.106. Isinya sebuah file hasil rekaman pelanggaran kebetulan bernama TCP:43460-23. Yang selanjutnya saya buka isi rekamanan pelanggaran yang berbentuk text.
Berbasis data tersebut kita bisa selanjutnya melakukan analisa forensic untuk memproses pelanggaran yang terjadi. Semoga bisa bermanfaat.
 
SUMBER : c.uctalks.ucweb.com (Kang Onno)

Share this :

Previous
Next Post »
0 Komentar

Penulisan markup di komentar
  • Silakan tinggalkan komentar sesuai topik. Komentar yang menyertakan link aktif, iklan, atau sejenisnya akan dihapus.
  • Untuk menyisipkan kode gunakan <i rel="code"> kode yang akan disisipkan </i>
  • Untuk menyisipkan kode panjang gunakan <i rel="pre"> kode yang akan disisipkan </i>
  • Untuk menyisipkan quote gunakan <i rel="quote"> catatan anda </i>
  • Untuk menyisipkan gambar gunakan <i rel="image"> URL gambar </i>
  • Untuk menyisipkan video gunakan [iframe] URL embed video [/iframe]
  • Kemudian parse kode tersebut pada kotak di bawah ini
  • © 2015 Simple SEO ✔