Snort adalah sistem deteksi dan pencegahan intrusi jaringan (IDS) sumber terbuka yang terkenal. Snort sangat berguna untuk memonitor paket yang dikirim dan diterima melalui antarmuka jaringan. Anda dapat menentukan antarmuka jaringan untuk memantau arus lalu lintas. Snort bekerja berdasarkan deteksi berbasis tanda tangan. Snort menggunakan berbagai jenis aturan untuk mendeteksi intrusi jaringan seperti komunitas. Terdaftar dan aturan berlangganan. Snort yang diinstal dan dikonfigurasi dengan benar dapat sangat berguna dalam mendeteksi berbagai jenis serangan dan ancaman seperti probe SMB, infeksi malware, sistem yang disusupi, dll. Pada artikel ini, kita akan mempelajari cara menginstal dan mengkonfigurasi Snort pada sistem Ubuntu 20.04.
Aturan Snort
Snort menggunakan aturan untuk mendeteksi intrusi jaringan yang adalah sebagai berikut. Ada tiga jenis kumpulan aturan yang tersedia:
Aturan komunitas
Ini adalah aturan yang dibuat oleh komunitas pengguna snort dan tersedia gratis.
Aturan terdaftar
Ini adalah aturan yang disediakan oleh Talos dan hanya tersedia untuk pengguna terdaftar. Pendaftaran hanya membutuhkan waktu sebentar dan tidak dipungut biaya. Setelah pendaftaran, Anda akan mendapatkan kode yang diperlukan untuk dikirimkan saat mengirim permintaan unduhan
Aturan berlangganan
Aturan ini juga sama dengan aturan terdaftar tetapi diberikan kepada pengguna terdaftar sebelum rilis. Aturan ini dibayar dan biaya didasarkan pada pengguna pribadi atau pengguna bisnis.
Instalasi Snort
Instalasi snort di sistem Linux akan menjadi proses manual dan panjang. Saat ini penginstalan sangat sederhana dan mudah karena sebagian besar distribusi Linux telah menyediakan paket Snort di repositori. Paket dapat diinstal dari sumber dan juga dari repositori perangkat lunak.
Selama instalasi, Anda akan diminta untuk memberikan beberapa detail mengenai antarmuka jaringan. Jalankan perintah berikut, dan perhatikan detailnya untuk digunakan di masa mendatang.
$ ip a
Untuk menginstal alat Snort di Ubuntu, gunakan perintah berikut.
$ sudo apt install snort
Dalam contoh di atas, ens33 adalah nama antarmuka jaringan dan 192.168.218.128 adalah alamat ip. /24 menunjukkan bahwa jaringannya adalah subnet mask 255.255.255.0 . Perhatikan hal-hal ini karena kami perlu memberikan detail ini selama penginstalan.
Sekarang, tekan tab untuk menavigasi ke opsi ok dan tekan enter.
Sekarang berikan nama antarmuka jaringan, navigasikan ke opsi ok menggunakan tombol tab, dan tekan enter.
Berikan alamat jaringan dengan subnet mask. Arahkan ke opsi ok menggunakan tombol tab dan tekan enter.
Setelah penginstalan selesai, jalankan perintah di bawah verifikasi.
$ snort --version
Mengonfigurasi snort
Sebelum menggunakan Snort, ada beberapa hal yang harus dilakukan pada file konfigurasi. Snort menyimpan file konfigurasi di bawah direktori /etc/snort/ sebagai nama file snort.conf .
Edit file konfigurasi dengan editor teks apa saja dan buat perubahan berikut.
$ sudo vi /etc/snort/snort.conf
Temukan baris ipvar HOME_NET any di file konfigurasi dan ganti dengan alamat jaringan Anda.
Dalam contoh di atas, alamat jaringan 192.168.218.0 dengan subnet mask awalan 24 digunakan. Ganti dengan alamat jaringan Anda dan berikan awalan.
Simpan file dan keluar
Unduh dan Perbarui aturan Snort
Snort menggunakan aturan untuk deteksi intrusi. Ada tiga jenis aturan yang telah kami jelaskan sebelumnya di awal artikel. Dalam artikel ini, kami akan mengunduh dan memperbarui aturan komunitas.
Untuk menginstal dan memperbarui aturan, buat direktori untuk aturan.
$ mkdir /usr/local/etc/rules
Unduh aturan komunitas menggunakan perintah berikut.
$ wget https://www.snort.org/downloads/community/snort3-community-rules.tar.gz
Atau, Anda dapat menelusuri tautan di bawah ini dan mengunduh aturannya.
https://www.snort.org/downloads/#snort-3.0
Ekstrak file yang diunduh di direktori yang dibuat sebelumnya.
$ tar xzf snort3-community-rules.tar.gz -C /usr/local/etc/rules/
Aktifkan Mode Promiscuous
Kita perlu membuat antarmuka jaringan komputer Snot mendengarkan semua lalu lintas. Untuk mewujudkannya, aktifkan mode promiscuous . Jalankan perintah berikut dengan nama antarmuka.
$ sudo ip link set ens33 promisc on
Di mana ens33 adalah nama antarmuka
Menjalankan snort
Sekarang kita baik untuk memulai Snort. Ikuti sintaks di bawah ini dan ganti parameter yang sesuai.
$ sudo snort -d -l /var/log/snort/ -h 192.168.218.0/24 -A console -c /etc/snort/snort.conf
Dimana,
-d digunakan untuk memfilter paket lapisan aplikasi
-l digunakan untuk mengatur direktori logging
-h digunakan untuk menentukan jaringan rumah
-A digunakan untuk mengirim peringatan ke jendela konsol
-c digunakan untuk menentukan konfigurasi snort
Setelah Snort dijalankan, Anda akan mendapatkan output berikut di terminal.
Anda dapat memeriksa file log untuk mendapatkan informasi tentang deteksi penyusupan.
Snort bekerja berdasarkan aturan. Jadi, selalu perbarui set aturan. Anda dapat menyiapkan cronjob untuk mengunduh aturan dan memperbaruinya secara berkala.
Kesimpulan
Dalam tutorial ini, kita belajar bagaimana menggunakan snort sebagai sistem pencegahan intrusi jaringan di Linux. Juga, saya telah membahas cara menginstal dan menggunakan snort pada sistem Ubuntu dan menggunakannya untuk memantau lalu lintas waktu nyata dan melakukan deteksi ancaman.