Snort adalah sebuah software ringkas yang sangat berguna untuk mengamati aktivitas dalam suatu jaringan komputer. Snort dapat digunakan sebagai suatu Network Intrusion Detection System (NIDS) yang berskala ringan (lightweight), dan software ini menggunakan sistem peraturan-peraturan (rules system) yang relatif mudah dipelajari untuk melakukan deteksi dan pencatatan (logging) terhadap berbagai macam serangan terhadap jaringan komputer. Dengan membuat berbagai rules untuk mendeteksi ciri-ciri khas (signature) dari berbagai macam serangan, maka Snort dapat mendeteksi dan melakukan logging terhadap serangan-serangan tersebut. Software ini bersifat opensource berdasarkan GNU General Public License [GNU89], sehingga boleh digunakan dengan bebas secara gratis, dan kode sumber (source code) untuk Snort juga bisa didapatkan dan dimodifikasi sendiri bila perlu. Snort pada awalnya dibuat untuk sistem operasi (operating system) berdasarkan Unix, tetapi versi Windows juga sudah dibuat sehingga sekarang ini Snort bersifat cross-platform.
Snort sendiri merupakan software yang masih berbasis command-line, sehingga cukup merepotkan bagi pengguna yang sudah terbiasa dalam lingkungan Graphical User Interface (GUI). Oleh karena itu, ada beberapa software pihak ketiga yang memberikan GUI untuk Snort, misalnya IDScenter untuk Microsoft Windows, dan Acid yang berbasis PHP sehingga bisa diakses melalui web browser.
Berbagai Fitur Snort
•
Karena Snort bersifat opensource, maka penggunaannya betul-betul gratis. Oleh karena itu, Snort merupakan pilihan yang sangat baik sebagai NIDS ringan yang cost-effective dalam suatu organisasi yang kecil jika organisasi tersebut tidak mampu menggunakan NIDS commercial yang harganya paling sedikit ribuan dolar US. Dari sisi harga, jelas tidak ada NIDS lain yang mampu mengalahkan Snort.
•
Karena Snort bersifat opensource, maka penggunaannya betul-betul bebas sehingga dapat diterapkan dalam lingkungan apa saja. Kode sumbernya pun bisa didapatkan sehingga Snort boleh secara bebas dimodifikasi sendiri sesuai keperluan. Selain itu, karena snort merupakan software yang bebas, maka telah terbentuk suatu komunitas Snort yang membantu memberikan berbagai macam dukungan untuk penggunaan, pengembangan, penyempurnaan, dan perawatan software Snort itu.
•
Snort memiliki bahasa pembuatan rules yang relatif mudah dipelajari dan fleksibel. Ini berarti bahwa pengguna dapat dengan mudah dan cepat membuat berbagai rules baru untuk mendeteksi tipe-tipe serangan yang baru. Selain itu, berbagai rules khusus dapat dibuat untuk segala macam situasi.
Snort sudah memiliki sebuah database untuk berbagai macam rules, dan database ini secara aktif terus dikembangkan oleh komunitas Snort sehingga tipe-tipe serangan yang baru dapat dideteksi dan dicatat.
•
Jika organisasi membutuhkan dukungan teknis untuk Snort yang profesional, maka ada beberapa pihak komersial yang menawarkan dukungan untuk Snort, misalnya SiliconDefense.Com.
•
Snort merupakan software yang ringkas dan padat, sehingga tidak memakan banyak resources tetapi cukup canggih dan fleksibel untuk digunakan sebagai salah satu bagian dari NIDS yang terpadu (Integrated NIDS). Selain itu, karena Snort bersifat lightweight, maka penerapannya juga mudah dan cepat.
•
Snort dapat melakukan logging langsung ke sistem database, misalnya ke
MySQL, PostGRE SQL, dan MS SQL.
•
Snort sebagai NIDS dapat menyembunyikan dirinya dalam jaringan komputer sehingga keberadaannya tidak bisa terdeteksi oleh komputer mana pun. Ini disebut sebagai stealth mode.
•
Snort memiliki 3 mode pengoperasian, yaitu:
1.Sniffer Mode: Dalam mode ini, Snort bertindak sebagai software sniffer yang dapat melihat semua paket yang lewat dalam jaringan komputer di mana Snort diletakkan. Fungsi snort dalam sniffer mode ini sama seperti yang ada di software Iris. Dalam mode ini, berbagai paket hanya ditampilkan di layar monitor secara real time.
2.Packet Logger Mode: Dalam mode ini, selain melihat semua paket yang lewat dalam jaringan komputer, Snort juga dapat mencatat atau melakukan logging terhadap berbagai paket tersebut ke disk. Dengan kata lain, Snort membuat copy dari paket-paket yang lewat dan menyimpan copy tersebut di disk sehingga pengguna Snort dapat melakukan analisis terhadap lalu lintas jaringan atau untuk keperluan lainnya.
3.Network Intrusion Detection Mode: Dalam mode yang paling rumit dan fleksibel ini, Snort bertindak sebagai NIDS yang dapat mendeteksi dan melakukan logging terhadap berbagai macam serangan terhadap jaringan komputer berdasarkan rules system yang telah ditetapkan oleh pengguna Snort. Rules system di Snort akan mendeteksi serangan-serangan tersebut berdasarkan ciri-ciri khas (signature) dari serangan tersebut.
