Iklan 728x90

Cara Install dan Konfigurasi Snort di Debian 8



Snort merupakan sebuah software yang digunakan untuk mengamati aktivitas lalu lintas dalam suatu jaringan komputer bisa server ataupun router yang berbasis linux. Snort ini disebut juga sebagai NIDS yang berskala ringan (lightweight). Snort pertama kali dikenalkan pada tahun 1998 oleh Marty Roesch. Saat ini snort juga bisa dijalankan pada komputer yang berbasis windows, namun pembahasan kali ini saya menggunakan linux debian 8 untuk installasi dan konfigurasinya

Untuk topologinya eth0 dhcp eth1 192.168.100.1/24, anda bisa menggunakan putty agar lebih mudah untuk copy paste

Langsung saja berikut ini langkah instalasi dan konfigurasinya
1. Siapkan sofware pendukung anda bisa cari dan download di internet
    a. daq-2.0.6.tar.gz
    b. nghttp2-1.17.0.tar.gz
    c. snort-2.9.14.1.tar.gz

2. Tambahkan alamat repository debian 8
#pico /etc/apt/sources.list
deb http://kambing.ui.ac.id/debian/ jessie main contrib non-free
deb http://kambing.ui.ac.id/debian/ jessie-updates main contrib non-free
deb http://kambing.ui.ac.id/debian-security/ jessie/updates main contrib non-free
#apt-get update
Jika debian 8 tidak mau di update baca disini
  3. Install paket software pendukung
apt-get install build-essential libpcap-dev libpcre3-dev libdumbnet-dev bison flex zlib1g-dev liblzma-dev
apt-get install checkinstall libnet1-dev libnetfilter-queue-dev iptables-dev
apt-get install libluajit-5.1-dev pkg-config openssl libssl-dev libnghttp2-dev

4. Pindah direktory  /home
#cd /home

5. Upload file (daq-2.0.6.tar.gz) (nghttp2-1.17.0.tar.gz) (snort-2.9.14.1.tar.gz) pada direktory /home

6. Pindah ke direktory root
#cd ~/
7. Membuat direktory snort_src di dalam direktory root (~/)
#mkdir snort_src
8. Pindah ke direktory /home untuk mengcopy file yang telah di upload tadi ke dalam direktory snort_src
#cd /home
9. lihat isi direktory dengan perintah ls
#ls
#cp daq-2.0.6.tar.gz ~/snort_src
#cp nghttp2-1.17.0.tar.gz ~/snort_src
#cp snort-2.9.14.1.tar.gz ~/snort_src
10. Pindah direktory snort_src
#cd ~/snort_src
11. Melihat isi direktory snort_src
#ls
Pastikan ke 3 file yang kita copy tadi sudah masuk ke direktory snort_src, biasanya paket sofware pendukung langkah no3 apabila belum terinstall akan ada pesan eror saat proses compile file daq, nghttp2, dan snort. Pastikan semua sofware tersebut sudah terinstall sempurna

12. Ekstrak file daq-2.0.6.tar.gz
#tar -xvzf daq-2.0.6.tar.gz
#cd daq-2.0.6
# ./configure
#make
# make install
13. Pindah direktory snort_src
#cd ~/snort_src
14. Ekstrak file nghttp2-1.17.0.tar.gz
#tar -xzvf nghttp2-1.17.0.tar.gz
#cd nghttp2-1.17.0
# ./configure --enable-lib-only
#make
#make install
15. Pindah direktory snort_src
#cd ~/snort_src
16. Ekstrak file snort-2.9.14.1.tar.gz
#tar -xvzf snort-2.9.14.1.tar.gz
#cd snort-2.9.14.1
# ./configure --enable-sourcefire --enable-open-appid
#make
#make install
17. Cek konfigurasi snort
#ldconfig
#ln -s /usr/local/bin/snort /usr/sbin/snort
18. Membuat direktory
#mkdir /etc/snort
#mkdir /etc/snort/rules
#mkdir /etc/snort/rules/iplists
#mkdir /etc/snort/preproc_rules
#mkdir /usr/local/lib/snort_dynamicrules
#mkdir /etc/snort/so_rules
20. Membuat file kosong dengan touch
#touch /etc/snort/rules/iplists/black_list.rules
#touch /etc/snort/rules/iplists/white_list.rules
#touch /etc/snort/rules/local.rules
#touch /etc/snort/sid-msg.map
21. Membuat folder log
#mkdir /var/log/snort
#mkdir /var/log/snort/archived_logs
22. Mengatur hak akses
#chmod -R 5775 /etc/snort
#chmod -R 5775 /var/log/snort
#chmod -R 5775 /var/log/snort/archived_logs
#chmod -R 5775 /etc/snort/so_rules
#chmod -R 5775 /usr/local/lib/snort_dynamicrules
23. Pindah directory
#cd ~/snort_src/snort-2.9.14.1/etc/
24. copy file ke direktory /etc/snort
#cp *.conf* /etc/snort
#cp *.map /etc/snort
#cp *.dtd /etc/snort
25. Pindah direktory
#cd ~/snort_src/snort-2.9.14.1/src/dynamic-preprocessors/build/usr/local/lib/snort_dynamicpreprocessor/
26. Copy file
#cp * /usr/local/lib/snort_dynamicpreprocessor/
#sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf
27. Konfigurasi file snort.conf seperti di bawah ini
#pico /etc/snort/snort.conf
ipvar HOME_NET 192.168.100.0/24
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rules
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules/iplists
var BLACK_LIST_PATH /etc/snort/rules/iplists
include $RULE_PATH/local.rules
Setelah selesai simpan hasil konfigurasi

28. Cek konfigurasi dengan perintah di bawah ini
#snort -T -i eth1 -c /etc/snort/snort.conf
#snort --version

Membuat alert ping,ssh,telnet,ftp,http,https
Pastikan untuk telnet,ssh,ftp sudah terinstall di komputer

29. Pindah direktory
#cd /etc/snort/rules
#pico local.rules
alert icmp any any <> 192.168.100.0/24 any (msg:"Ada yang ECHO PING"; icode:0; itype:8; sid: 1000002; )
alert icmp any any <> 192.168.100.0/24 any (msg:"Ada yang ECHO REPLY PING"; icode:0; itype:0; sid: 1000003; )
alert tcp any any <> 192.168.100.0/24 any (msg:"Ada SSH Masuk"; flow:stateless; flags:S+; sid:100006927; rev:1;)
alert tcp any any <> 192.168.100.0/24 23 (msg: "Ada yang telnet ke server!"; sid:1000020;)
alert tcp any any <> 192.168.100.0/24 21 (msg:”Ada koneksi FTP”; sid:1000004; rev:1;)
alert tcp any any <> 192.168.100.0/24 any (content:"https"; msg:”Ada yang mengakses Web”; sid:1000001;rev:1;)
alert tcp any any <> 192.168.100.0/24 any (content:"http"; msg:”Ada yang mengakses Web”; sid:1000001;rev:1;)
Pastikan sid kode tidak boleh ada yang sama, jika ada kesamaan maka pendeteksian kurang bisa berjalan secara maksimal.

30. Melihat alert agar di tampilkan di layar monitor
#snort -A console -q -c /etc/snort/snort.conf -i eth1
Dari perintah diatas silahkan anda lakukan ping,telnet,ssh,ftp, web http/https dari komputer client. Trafik tersebut akan di deteksi oleh snort dan di tampilkan di layar monitor. Semoga berguna tutorial ini bagi anda yang sedang mempelajari snort.

Post a Comment

1 Comments