Snort adalah aplikasi untuk pendeteksi penyusup yang masuk ke jaringan komputer kita, seperti di terangkan di Instalasi SNORT Intrusion Detection System (IDS) dan di Apa itu Intrusion Detection System (IDS)?.
Salah satu fitur snort yang akan sangat bermanfaat khususnya untuk
melakukan forensik pada saat terjadi kejadian perkara / cybercrime
adalah merekam semua data yang lewat. Pada kesempatan ini kita akan
membahas lebih dalam tentang teknik melakukan perekaman paket data
menggunakan snort.
Mode untuk merekam paket pada snort
sering di sebut packet logger mode. Format rekaman paket merupakan
format libpcap. Libpcap juga digunakan oleh penyadap seperti wireshark,
tcpdump, ethereal.
Set Folder Log
Teknik merekam paket tidak berbeda jauh dengan teknik sniffer pada snort yang di terangkan di SNORT (IDS) dengan mode menyadap .
Bedanya kita hanya perlu memberitahukan folder yang digunakan sebagai
tempat untuk menyimpan data yang di rekam. Folder tersebut diberitahukan
menggunakan switch -l, sebagai berikut "snort -dev -l ./log" atau
secara lengkap "snort -dev -l /var/log/snort"
Ketika Snort berjalan dalam mode ini, ia
mengumpulkan setiap paket yang dilihatnya dan menempatkannya dalam
hirarki direktori berdasarkan alamat IP dari salah satu host di datagram
paket yang dilihat.
Jika Kita hanya menggunakan switch -l
saja, snort kadang kala menggunakan alamat remote komputer sebagai
directory di mana ia menempatkan paket dan kadang-kadang menggunakan
alamat host lokal. Agar menyimpan log relatif ke jaringan lokal, Kita
perlu memberitahukan snort mana yang home network / jaringan lokal,
misalnya menggunakan perintah berikut, "snort -dev -l /var/log/snort -h
192.168.0.0/24". Perintah ini memberitahu Snort bahwa Kita ingin
mencetak data link dan TCP/IP header serta data aplikasi ke dalam
direktori /var/log/snort, dan Kita ingin log paket relatif terhadap
jaringan kelas C 192.168.0.0. Semua paket yang masuk akan disimpan ke
subdirektori dari direktori log, dengan nama direktori yang berbasis
pada alamat remote host (non-192.168.0).
Logging Kecepatan Tinggi
Jika Kita berada di jaringan kecepatan
tinggi, seperti Gbps LAN, atau Kita ingin log berbentuk kompak untuk
analisa, sangat di sarankan untuk melakukan logging dalam mode biner.
Log paket mode biner format tcpdump ke direktori logging /var/log/snort,
dapat dilakukan menggunakan perintah "snort -l /var/log/snort -b".
Perhatikan ada perubahan perintah. Kita
tidak perlu menentukan alamat jaringan LAN lokal lagi karena mode biner
menyimpan semua ke dalam satu file. Juga, tidak perlu menggunakan switch
-d atau -e untuk mode verbose, karena seluruh paket di rekam. Jadi
cukup hanya menggunakan switch -l dan -b saja.
Replay / Memainkan kembali rekaman paket
Setelah paket telah dicatat ke file
biner, Kita dapat membaca paket kembali dari file dengan sniffer yang
mendukung format biner libpcap (seperti tcpdump, Ethereal, atau
wireshark). Snort juga dapat membaca paket kembali dengan menggunakan
switch -r, yang menempatkan ke mode playback. Jika Kita ingin
menjalankan file log biner tersebut, setup snort dalam mode sniffer
untuk menampilkan paket ke layar, perintahnya adalah "snort -dv -r
packet.log"
Logging ASCII
Bagi kita yang hanya ingin membaca
rekaman traffic dengan mudah menggunakan format text ASCII dapat
menggunakan perintah berikut "snort -A console -c /etc/snort/snort.conf
-l /var/log/snort/ -K ascii". Jika dibuang -A console, maka hasil
rekaman tidak akan di tampilkan di layar / console. Perintah yang
digunakan adalah "snort -c /etc/snort/snort.conf -l /var/log/snort/ -K
ascii".
Pada gambar di perlihatkan saat
perintah rekam ASCII di atas di jalankan. Isi folder /var/log/snort
hanya ada 2 file & 1 folder, file tersebut adalah alert dan
snort.log. Rekaman log berbentuk binary dan bisa di replay oleh
wireshark. Sementara alert berbentuk text ASCII. Rekaman paket saat
komputer yang melakukan pelanggaran di masukan ke sebuah folder, dalam
hal ini 192.168.0.106. Isinya sebuah file hasil rekaman pelanggaran
kebetulan bernama TCP:43460-23. Yang selanjutnya saya buka isi rekamanan
pelanggaran yang berbentuk text.
Berbasis data tersebut kita bisa
selanjutnya melakukan analisa forensic untuk memproses pelanggaran yang
terjadi. Semoga bisa bermanfaat.
SUMBER : c.uctalks.ucweb.com (Kang Onno)
0 Komentar
Penulisan markup di komentar