1.      Berukuran kecil – Source code dan rules untuk rilis 2.1.1 hanya 2256k.

2.      Portable untuk banyak OS – Telah diporting ke Linux, Windows, OSX, Solaris, BSD,dll.

3.      Cepat – Snort mampu mendeteksi serangan pada network 100Mbps.

4.      Mudah dikonfigurasi – Snort sangat mudah dikonfigurasi sesuai dengan kebutuhan network kita. Bahkan kita juga dapat membuat rule sendiri untuk mendeteksi adanya serangan baru.

5.      Free – Kita tidak perlu membayar sepeser pun untuk menggunakan snort. Snort bersifat open source dan menggunakan lisensi GPL.

A. Komponen Snort.

Snort merupakan packet sniffing yang sangat ringan. Snifing interface yang digunakan berbasis libpcap (pada Unix tersedia dengan tcpdump, www.tcpdump.org). Pembuat snort sangat fokus pada engine yang digunakan untuk mendeteksi serangan dan memanfaatkan tools tcpdump untuk mengambil paket network. Salah satu keunggulan snort adalah bahwa snort memiliki plugin sistem yang sangat fleksibel untuk dimodifikasi.

Snort memiliki beberapa komponen yang tiap komponennya mempunyai tugas masing-masing. Pada saat ada paket network yang melewati Ethernet di tempat snort dipasang, maka ada beberapa hal yang dilalui:

Packet capture library (libpcap).

Packet capture library – akan memisahkan paket data yang melalui ethernet card untuk selanjutnya digunakan oleh snort.

Packet decoder.

Packet decoder – mengambil data di layer 2 yang dikirim dari packet capture library (proses 1). Pertama ia akan memisahkan Data link (seperti ethernet, TokenRing, 802.11) kemudian protokol IP, dan selanjutnya paket TCP dan UDP. Setelah pemisahan data selesai, snort telah mempunyai informasi protokol yang dapat diproses lebih lanjut.

Preprocessor.

Selanjutnya dilakukan analisis (preprocessor) atau manipulasi terhadap paket sebelum dikirim ke detection engine. Manipulasi paket dapat berupa ditandai, dikelompokan atau malah dihentikan.

Detection Engine.

Inilah jantung dari snort. Paket yang datang dari packet decoder akan ditest dan dibandingkan dengan rule yang telah ditetapkan sebelumnya. Rule berisi tanda-tanda (signature) yang termasuk serangan.

Output.

Output yang dihasilkan berupa report dan alert. Ada banyak variasi output yang dihasilkan snort, seperti teks (ASCII), XML, syslog, tcpdump, binary format, atau Database (MySQL, MsSQL, PostgreSQL, dsb).

B. Memilih lokasi Snort.

Hal terakhir yang harus kita ketahui, sekaligus menjadi faktor yang menentukan keefektifan dari snort adalah ‘lokasi’. Ini sangat penting terlebih jika jaringan yang kita kelola berukuran besar. Oleh karena itu, sebelum memulai menginstal snort, tentukan terlebih dahulu apa yang akan kita lindungi, apakah:

1.      Single server

2.      Sekelompok server

3.      Semua subnet

Setelah kita selesai menentukan apa yang akan dimonitor, maka kita bisa leluasa menentukan dimana akan meletakan snort. Jadi untuk menempatkan snort tergantung kepada apa yang akan kita monitor.

Network biasanya menggunakan firewall untuk memisahkan server publik ke dalam De-Militarized Zone (DMZ) dan jaringan lokal ke dalam internal NAT network. Hal-hal yang penting untuk diketahui, adalah:

1.      DMZ – adalah daerah untuk menempatkan server publik yang sering diakses melalui internat. Server seperti email, web, atau ftp bisa kita letakan di sini secara berkelompok. Biasanya zone di daerah ini banyak mengalami lalu lintas data dari internet.

2.      NAT (Network Address Translation) adalah cara untuk menyembunyikan beberapa komputer yang menggunakan IP private di belakang IP publik. Dengan menggunakan NAT, komputer internal di jaringan tetap bisa menggunakan internet meskipun menggunakan IP private. Tetapi sebaliknya, pengguna internet tidak bisa mengenali workstation yang ada di dalam NAT.

Mengapa kita perlu memisahkan kedua jaringan ini? Jika di suatu perusahaan hanya menggunakan internet untuk jaringan komunikasi internal seperti mengirim email atau browsing mungkin tidak menjadi masalah. Tetapi jika perusahaan juga membutuhkan server web atau email sendiri untuk menjalankan bisnisnya, maka berhati-hatilah, karena kita telah mempublikasikan kepada dunia tentang web site perusahaan kita. Artinya semua orang di dunia juga bisa bermain-main dan mengerjai server kita.

Oleh karena itu, jika server yang terletak di DMZ misalnya berhasil ditembus oleh cracker, maka kerusakan dapat diminimalkan karena mereka tidak dapat keluar dari DMZ ke jaringan internal.

Jadi setiap kita menempatkan server publik, di situ juga harus dipasang snort. Jika jaringan kita menggunakan DMZ, maka setidaknyadilakukan hal-hal sebagai berikut:

1.      Buat satu port di switch DMZ sebagai monitoring port.

2.      Tambahkan perintah di file konfigurasi snort (snort.conf) untuk memonitor subnet tersebut.

IDS akan memantau sistem kita tanpa mengenal lelah dan kita bisa mendapatkan laporan lengkap setiap saat. IDS bertugas melakukan identifikasi akses oleh siapa saja yang menggunakan sistem komputer tanpa hak. Termasuk didalamnya adalah percobaan untuk masuk secara paksa (cracking).

IDS merupakan sistem yang lebih dinamis dari firewall, karena IDS mampu mendeteksi (mengetahui) adanya penyusup (baik yang dilakukan oleh seseorang yang ingin mendapatkan akses ilegal atau pengguna yang mempunyai akses, tetapi melampaui wewenangnya), dan dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui SMS.

Dengan demikian IDS merupakan komponen yang dapat melengkapi (membuat jadi sempurna) sistem pengamanan pada suatu jaringan. Sehingga keberadaan IDS pada sistem proteksi jaringan menjadi penting dan perlu untuk diperhatikan, hal ini didasari oleh beberapa pertimbangan sebagai berikut:

1. Jika suatu gangguan cepat terdeteksi, maka penyusup akan dapat diidentifikasi dan disingkirkan dari sistem sebelum kerusakan pada bagian tertentu terjadi, atau data tertentu di ganti atau di rusak. Dengan demikian semakin sedikit jumlah kerusakan dan pemulihan sistem yang jauh lebih cepat dapat dicapai.

2. IDS yang efektif dapat melayani seperti sebuah alat penangkis (sehingga dapat mencegah gangguan).

3. IDS mampu mengumpulkan informasi tentang teknik-teknik intrusion yang dapat digunakan untuk memperkuat fasilitas pencegahan gangguan (intrusion prevention).

A. Konsep IDS.

Dalam konsep keamanan jaringan kita mengenal istilah false positif dan false negatif.

1. False positif – adalah peringatan yang dihasilkan oleh IDS karena telah mendeteksi adanya serangan yang valid terhadap sistem yang kita monitor, tetapi serangan itu sendiri tidak valid. Atau dengan kata lain, kita mendapat laporan serangan, padahal itu bukan serangan. Ini adalah masalah bagi kita karena banyaknya peringatan yang dibuat oleh IDS padahal serangan yang sebenarnya tidak terjadi. False positif bisa saja terjadi karena adanya serangan pada sistem yang tidak di monitor.

2. False negatif – adalah serangan yang benar-benar terjadi tetapi tidak terdeteksi oleh IDS. IDS bisa melewatkan serangan karena menganggap serangan yang dilakukan tidak sesuai dengan aturan yang ada (rule), atau karena terlalu banyak serangan, atau bisa juga karena penyerang berhasil melumpuhkan IDS. Dampak dari false negatif ini artinya penyerang berhasil melewati IDS, sama artinya dengan ada yang menyerang kita, tapi kita tidak menyadarinya!

Bagaimana IDS bisa mendeteksi bahwa telah terjadi serangan? Setidaknya ada dua cara IDS bisa mendeteksi serangan:

1. Signature detection – IDS yang bekerja menggunakan signature (rule/peraturan) akan mendeteksi serangan jika ada traffic network yang masuk ke dalam daftar serangan. Signature – lah yang menentukan paket yang masuk ke network tersebut merupakan serangan atau biasa disebut “bad traffic”. Kekurangan dari metode ini adalah bahwa IDS hanya bisa mendeteksi suatu serangan yang telah terdaftar sebelumnya di dalam signature. Oleh karena itu, metode ini akan kesulitan menghadapi daftar serangan jenis baru. Bila kita menggunakan signature detection mungkin akan berdampak sedikitnya peringatan false positif tetapi banyak false negatif.

2. Anomaly detection – IDS yang menggunakan anomaly detection bekerja menggunakan cara yang berbeda. IDS akan mengenal traffic “normal” jaringan kita dan akan mulai mengingatkan kita bila ternyata ada traffic yang “abnormal”. Masalahnya adalah, sesuatu yang baru atau berbeda juga bisa dianggap abnormal. Jadi jika kita menggunakan metode ini IDS akan memberikan sedikit false negatif tetapi banyak false positif.

Beberapa IDS ada yang menggunakan signature detection, tapi ada juga yang menggunakan anomaly detection, dan ada juga yang menggunakan keduanya.

B. Network Based IDS (NIDS) dan Host Based IDS (HIDS).

Berdasarkan penggunaannya, ternyata IDS masih dapat dibagi menjadi dua jenis, yaitu: NIDS dan HIDS. Penjelasannya sebagai berikut:

1. NIDS – Merupakan jenis IDS yang bekerja dengan cara menganalisa paket data yang dianggap serangan yang melintas melewati network. NIDS sendiri melakukan beberapa tugas berikut:

• NIDS menganalisa serangan pada traffic network menggunakan signature atau anomaly detection (atau keduanya). Network interface card tidak memilih-milih paket yang ada, artinya ia akan meng-capture semua lalu lintas jaringan yang melewati NIC, tidak hanya traffic yang diperuntukan bagi sistem IDS saja.

• Membuat peringatan secara real time untuk memberitahukan kita akan datangnya serangan.

• Membuat log secara rinci saat terjadi serangan, ini berguna untuk menganalisa penyerang setelah terjadinya serangan.

• NIDS dapat didesain sesuai dengan infrastruktur jaringan kita.

2. HIDS – Jika NIDS memonitor lalu lintas di jaringan, maka HIDS hanya memonitor serangan di satu komputer (host) saja. Jika kita memasang HIDS, maka selanjutnya ia akan melakukan beberapa tugas sebagai berikut:

• HIDS mencari serangan dari paket network yang masuk, menggunakan signature atau anomaly detection. Biasanya, NIC di sistem yang menjalankan HIDS tidak berjalan di promiscuous mode.

• HIDS memeriksa log di sistem untuk mencari serangan yang terjadi.

• HIDS mengecek integritas file di sistem. Cara ini dilakukan dengan membandingkan file yang telah dimodifikasikan dalam sistem. Selain itu kita juga bisa mengetahui file-file yang telah dibuat atau dihapus. Ini berguna untuk mendeteksi apakah program backdoor atau trojan telah terinstall di dalam sistem.