Sebelumnya telah dijelaskan di LinuxHint cara menginstal Snort Intrusion Detection System dan cara membuat aturan Snort. Snort adalah Sistem Deteksi Intrusi yang dirancang untuk mendeteksi dan memperingatkan aktivitas tidak teratur dalam jaringan. Snort diintegrasikan oleh sensor yang mengirimkan informasi ke server sesuai dengan instruksi aturan.
Dalam tutorial ini cara peringatan Snort akan dijelaskan untuk menginstruksikan Snort untuk melaporkan insiden dalam 5 cara berbeda (mengabaikan cara “tidak ada peringatan”), cepat, penuh, konsol, cmg, dan buka kunci.
Jika Anda tidak membaca artikel yang disebutkan di atas dan Anda tidak memiliki pengalaman sebelumnya dengan snort, silakan mulai dengan tutorial tentang instalasi dan useran Snort dan lanjutkan dengan artikel tentang aturan sebelum melanjutkan kuliah ini. Tutorial ini mengasumsikan Anda sudah menjalankan Snort.
Untuk status let’s Snort memiliki 6 cara alert:
Fast : dalam cara ini Snort akan melaporkan timestamp, alert message, IP source address dan port serta IP address dan port tujuan. (-A fast)
Penuh : selain peringatan cara cepat, cara lengkap mencakup: TTL, paket IP dan panjang header IP, service, jenis ICMP, dan nomor urut. (-A full)
Konsol: mencetak peringatan cepat di konsol. (-A console)
Cmg: Format ini dikembangkan oleh Snort untuk tujuan pengujian, ia mencetak peringatan penuh di konsol tanpa menyimpan laporan di log. (-A cmg)
Unsock: mengekspor laporan ke program lain melalui Unix Socket. (-A unsock)
Tidak ada: Snort tidak akan menghasilkan peringatan. (-A none)
Semua cara peringatan didahului oleh a -A yang merupakan parameter untuk peringatan. Peringatan disimpan di log/var/log/snort/alert. Aturan default snort mampu mendeteksi aktivitas tidak teratur seperti pemindaian port. Mari kita uji setiap cara peringatan:
Fast alert test:
snort -c /etc/snort/snort.conf -q -A fast
dimana :
snort = memanggil program
-c = path ke file konfigurasi, dalam hal ini yang default (/etc/snort/snort.conf)
-q = mencegah snort menampilkan informasi awal
-A = mendefinisikan cara peringatan, dalam hal ini cepat.
Sementara dari komputer yang berbeda saya memulai pemindaian nmap terhadap peringatan 1000 port teratas mulai masuk ke /var/log/snort/alert.
Full alert test:
snort -c /etc/snort/snort.conf -q -A full
dimana :
snort = memanggil program
-c = path ke file konfigurasi, dalam hal ini yang default (/etc/snort/snort.conf)
-q = mencegah snort menampilkan informasi awal
-A = mendefinisikan cara peringatan, dalam hal ini penuh.
Seperti yang Anda lihat, laporan tersebut memberikan informasi tambahan untuk laporan puasa.
Console alert test:
Dengan tes peringatan konsol, kami akan mendapatkan peringatan yang dicetak di konsol, untuk proses ini
snort -c /etc/snort/snort.conf -q -A console
dimana :
snort = memanggil program
-c = path ke file konfigurasi, dalam hal ini yang default (/etc/snort/snort.conf)
-q = mencegah snort menampilkan informasi awal
-A = mendefinisikan cara peringatan, dalam hal ini konsol.
Seperti yang Anda lihat, informasi tercetak lebih dekat ke peringatan cepat daripada peringatan penuh.
Cmg alert test:
Sekarang mari dapatkan laporan di konsol dengan informasi laporan lengkap dan banyak lagi. Mode ini dikembangkan untuk tujuan pengujian dan tidak mencatat hasil.
snort -c /etc/snort/snort.conf -q -A cmg
dimana :
snort = memanggil program
-c = path ke file konfigurasi, dalam hal ini yang default (/etc/snort/snort.conf)
-q = mencegah snort menampilkan informasi awal
-A = mendefinisikan cara peringatan, dalam hal ini cmg.
Agar peringatan buka kunci berfungsi, Anda harus mengintegrasikannya ke program atau plugin pihak ketiga.
Mode peringatan default Snort adalah cara penuh, jika Anda tidak memerlukan informasi tambahan tentang puasa, maka cara cepat akan meningkatkan kinerja.
Saya harap tutorial ini membantu untuk memahami cara peringatan Snort.
