Snort merupakan suatu perangkat lunak atau aplikasi yang digunakan sebagai IDS(Intrusion Detection System). Disamping snort sebenarnya sudah banyak beredar aplikasi-aplikasi IDS.
Dalam beberapa saat yang lalu saya iseng-iseng membuat, atau lebih tepatnya ‘nginstall’ snort untuk mengetahui seberapa besar efek yang diberikan snort sebagai IDS. Setelah berhasil mengkompile dan mengkonfigurasi, akhirnya snort jalan juga di atas sistem CentOS(variant RHEL). Tetapi setelah beberapa saat mencoba, kesulitan juga melihat hasil dari ‘kerjaan’ snort ini.
Googling, adalah cara terbaik dan tercepat mencari informasi, dari googling, akhirnya menemukan aplikasi BASE
Ok langsung pada intinya, program dan file yang dibutuhkan:
- snort
- snort rules
- PCRE(Perl Compatible Regular Expressions)
- LIBPCAP
- BASE(Basic Analisys and Security Engine)
- ADOBdb
Langkah pertama kita membuat direktory temporary
#mkdir mastertemp
# cd mastertemp
Install snort beserta aplikasi yang dibutuhkan.
download paket snort, di sini saya menggunakan snort versi 2.6.0
# wget http://www.snort.org/dl/current/snort-2.6.0.tar.gz
ekstrak paket
# tar -xvzf snort-2.6.0.tar.gz
remove paket snort
# rm snort-2.6.0.tar.gz
Kemudian kita juga membutuhkan snort rules agar snort dapat kita jalankan
# wget http://www.snort.org/pub-bin/downloads.cgi/Download/vrt_pr/snortrules-pr-2.4.tar.gz
pindahkan snortrules kedalam direktory snort
# mv snortrules-pr-2.4.tar.gz /root/mastertemp/snort-2.6.0
masuk ke direktory snort
# cd snort-2.6.0
ekstrak paket snort rule
# tar -xvzf snortrules-pr-2.4.tar.gz
hapus paket snort rules
# rm snortrules-pr-2.4.tar.gz
Download paket PCRE
# cd /root/snorttemp
# wget http://surfnet.dl.sourceforge.net/sourceforge/pcre/pcre-6.3.tar.gz
ekstrak paket
# tar -xvzf pcre-6.3.tar.gz
Hapus paket
# rm pcre-6.3.tar.gz
Download paket libpcap
# wget http://www.tcpdump.org/release/libpcap-0.9.4.tar.gz
ekstrak file
# tar xzvf libpcap-0.9.4.tar.gz
remove paket libpcap
# rm snort-2.6.0.tar.gz
Download BASE
# wget http://surfnet.dl.sourceforge.net/sourceforge/secureideas/base-1.2.5.tar.gz
ekstrak file
#tar xzvf base-1.2.5.tar.gz
Download ADOBdb
#wget http://surfnet.dl.sourceforge.net/sourceforge/adodb/adodb490.tgz
ekstrak file
#tar xzvf adodb490.tgz
Remove paket
# rm adodb490.tgz
Instalasi masing-masing paket
Instalasi libpcap
# cd libpcap-0.9.4
# ./configure
# make && make install
# cd/root/mastertemp/
Install PCRE
# cd pcre-6.3
# ./configure
# make && make install
# cd /root/mastertemp
Instalasi SNORT
# cd snort-2.6.0
# ./configure –enable-dynamicplugin –with-mysql
# make
# make install
snort membutuhkan berapa direktory, kita perlu menambahkan beberapa direktory tersebut
# mkdir /etc/snort
# mkdir /etc/snort/rules
# mkdir /var/log/snort
# cd /root/mastertemp/snort-2.6.0
# cd rules
sekarang kita kopi semua file kedalam /etc/snort/rules
# cp * /etc/snort/rules
hal yang sama dengan semua file pada direktory etc
# cd ../etc
# cp * /etc/snort
konfigurasi snort.conf
# cd /etc/snort
# vi snort.conf
change “var HOME_NET any” to “var HOME_NET 192.168.0.5/32”
change “var EXTERNAL_NET any” to “var EXTERNAL_NET !$HOME_NET”
change “var RULE_PATH ../rules” to “var RULE_PATH /etc/snort/rules“
karena kita mengcompile snort menggunakan opsi ‘–with-mysql’ maka kita seting juga pada opsi database. kita cari “# output database“, dan hapus #.
dan ganti “user“, “password” and “dbname“. kemudian simpan dan keluar dari vi.
Setup database msql untuk snort
sesuaikan user, password dan dbname seperti pada snort.conf di atas.
Lalu kita test apakah snort sudah dapat berjalan sempurna
# snort -c /etc/snort/snort.conf
Instalasi ADOdb
# cd /root/snorttemp/
pindahkan direktory adodb ke direktory http
# mv adodb /var/www
selanjutnya pindahkan direktory base pada direktory http yang telah kita buat sebelumnya
# mv base-1.2.5/* /var/www/base/
pidah ke direktory base
# cd /var/www/base
Aktifkan direktory base sehingga permision ke write atau ke mode 757
# chmod 757 base
BASE setup
buka browser ketikkan http://namaweb/base/
Klik continue
1.masukkan path adodb (var/www/adodb)
klik submit query
2.sesuaikan nama database dengan yang telah kita buat pada mysql
lanjutkan dengan klik submit query
3.bagian authentifikasi
klik submit query untuk melanjutkan
4. Klik pada CREATE BASE AG
dan setelah BASE AG dibuat
5.Klik selanjutnya dan menjalankan step 5
Untuk membuat graph pada base maka tambahkan beberapa file berikut:
# pear install Image_Color
# pear install Image_Canvas-alpha
# pear install Image_Graph-alpha
# chmod 775 base
Untuk memulai snort
# /usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g root -D
hasilnya kira-kira seperti ini
links:
snort:http://www.snort.org
base:http://secureideas.sourceforge.net
Pingback: SNORT: skrip snort « Robby Ngeblog