Sunday, April 12, 2015

Intrusion Detection System menggunakan Snort

Intrusion Detection System atau dalam bahasa lokal kita sebut sebagai Sistem Deteksi Intrusi merupakan sebutan atau general definition untuk tools atau perangkat lunak yang digunakan untuk mendeteksi serangan(khusus) dalam suatu jaringan ataupun host. Kenapa kita sebut jaringan ataupun host karena IDS ini juga diklasifikasikan dengan letak sistem itu akan dipasang karena terdapat NIDS (Network) dan juga HIDS(Host) dan bahkan terdapat Distributed Intrusion Detection ..


Kali ini kita akan fokus pada tools yang familiar dalam security field .. ??
Snort merupakan Network Intrusion Detection System yakni IDS yang diletakkan dalam suatu network untuk mendeteksi adanya intrusi/serangan yang melewati jaringan. Snort merupakan tools(framework) yang sangat powerful baik untuk performa, platform dan juga modularitasnya. Praktisi yang secara umum baru mengenal snort mungkin akan berfikir bahwa snort hanya sebuah tools, namun dari pengalaman pribadi penulis, dengan sistem yang sangat modular dapat saya pandang sebagai sebuah framework yang dikhusukan untuk NIDS. Mengapa demikian, karena dari Snort kita dapat melakukan customization rules, plugins(preprocessor) dan juga tools ini dapat dijalankan hampir setiap sistem operasi yang kita kenal.

Snort juga digunakan dan dijadikan sebagai bahan untuk penelitian bagi para akademisi yang tertarik dibidang network security

Oke kita lanjutkan pembahasan mengenai hal teknis yang dapat kita bahas tentang Snort. Snort mendeteksi serangan dengan mengenal pola serangan yang terdapat di basis data snort (dalam hal ini kita kenal signature). Artinya serangan/intrusi tersebut memiliki pola/pattern dan dapat dikenal dengan algoritma tertentu yang terdapat pada core engine snort.

Untuk arsitekturnya sendiri snort dapat digambarkan sebagai berikut :

Packet Stream -> Packet Decoder -> Preprocessor -> Detection Engine -> Alert -> Output Plugin 

 -> Packet Stream

Internet digunakan sebagai packet stream, dikarenakan jika tidak terkoneksi secara online snort tidak dapat dijalankan baik dalam mode packet snifffer, packet logger dan bahkan dalam mode NIDS.

-> Packet Decoder

Bagian ini yang menjalankan fungsi decoding packet data karena beberapa packet tersusun baik dalam binary form atau format lain maka harus dilakukan normalisasi terlebih dahulu

-> Preprocessor

Untuk protokol dan format paket tertentu diperlukan adanya preprocessor, preprocessor juga memiliki tugas tertentu seperti halnya paket decoder secara umum namun preprocessor digunakan pada protokol tertentu seperti http, stream, frag, smtp, pop, sfprotscan, imap, ftp, session, ssh, dns, rpc, arp, reputation_prep. Preprocessor jg dapat memberikan pre-alert mengenai paket yang lewat.

-> Detection Engine

Core dari Snort terletak pada bagian ini, tugas utama yakni memilah paket yang memang cocok dengan signature atau tidak. Modularitas dari snort itu sendiri ialah dapat dibuat suatu rules untuk keperluan tertentu dengan parameter-parameter kompleks sesuai dengan pola paket yang lewat.

-> Alert

Bagian ini merepresentasikan paket yang cocok dan menampilkan nya menjadi sebuah alert yang dapat ditampilkan secara non-visual atau pun visual.

-> Output Plugin

Bagian ini hanyalah sebuah extensions/tambahan untuk mempermudah representasi alert yang dihasilkan. Contoh dari output plugin antara lain untuk GUI : BASE ACID, Sguil, Snorby dan ada beberapa output plugin berbasis CLI.

Bagikan :   |  Facebook|  Twitter|  Google+

0 komentar:

Post a Comment