Kamis, 25 Februari 2010

Install Snort Untuk Monitoring Jaringan dan BASE sebagai GUI nya

Aplikasi ini ane jalankan dan ane bangun di Distro Linux Ubuntu 9.10, Bertujuan untuk mendeteksi serangan penyusup atau bahasa kerennya IDS(Intruder Detection System), Mohon maaf pada Tulisan ini ane hanya membahas bagaimana menkonfigurasi setelah installasi danmembuatnya berjalan dengan baik.. untuk penggunaan mungkin akan di bahas d tulisan selanjutnya atw andaa bisa googling lagi :D..


1.Pertama-tama kita download dulu ya snortnya di link.. ini...Snort saran ane sich pilih yg terupdate(terbaru) yg sekarang si 2.8.5.2

2 Kemudian download rulesnya di Rules, Jangan lupa untuk register di Situs Snortnya agar bisa mendowload rules terbaru

3.Siapkan software pendukung 
# apt-get install libpcre3 libpcre3-dev libpcrecpp0
libpcap0.8 libpcap0.8-dev \
mysql-server libmysqlclient15-dev libphp-adodb
libgd2-xpm libgd2-xpm-dev php5-mysql \
php5-gd php-image-graph php-image-canvas php-pear

4. Install snort
copy kemudian ekstrak file installer snort
cp -Rf snort-2.8.5.2.tar.gz /usr/local/src/
cd /usr/local/src
tar zxvf snort-2.8.5.2.tar.gz
Masuk ke direktori snort yg sudah di ekstrak
cd /usr/local/src/snort-2.8.5.2
./configure --with-mysql
make
make install

Buat user,group snort & buat direktori
groupadd snort
useradd -g snort snort
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
Copy file rules yang sudah di download

cp snortrules-snapshot-CURRENT.tar.gz /etc/snort/
cd /etc/snort
tar zxvf snortrules-snapshot-CURRENT.tar.gz 

Siapkan Konfigurasi Snortnya
cp /usr/local/src/snort-2.8.5.2/etc/* /etc/snort
cd /etc/snort/
mkdir /etc/snort/preproc_rules

Edit snort.conf
#vi atau nano atau gedit /etc/snort/snort.conf
Cari baris berikut dan ganti valuenya menjadi:
“var RULE_PATH ../rules” -> “var RULE_PATH /etc/snort/rules”
"var PREPROC_RULE_PATH ../preproc_rules" ->
"var PREPROC_RULE_PATH /etc/snort/preproc_rules"
hilangkan tanda comment "#"
output database: log, mysql, user=snort password=snort
dbname=snort host=localhost
(sesuaikan dengan setingan username pasword dan db anda)

5.Ujicoba jalankan snort karena  snort rules yang digunakan
biasanya masih banyak bug / error dan harus
dibuang supaya hanya rules yang baik
yang digunakan
# /usr/local/bin/snort -dev -c /etc/snort/snort.conf

Contoh Error:
Initializing rule chains...
ERROR: (/etc/snort/rules/web-misc.rules)98 =>
Cannot use 'rawbytes' and  'http_uri' as
modifiers for the same "content" nor use 'rawbytes'
with   "uricontent".
Fatal Error, Quitting..

solusinya cukup dengan mengcomment
baris yg error :D
misalnya seperti di atas file web-misc.rules line 98 jadi kita
edit file tersebut,, 
go to line 98 dan beri tanda # d  awal line 98

jika sudah cek apakah snortnya jalan atau tidak
ps -ax | grep snort dan keluarannya
snort 22009 1 62 Jan14 ? 1-09:49:27 /usr/sbin/snort -A fast -b -d -D -i
eth2 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort
root     28517 28490  0 11:10 pts/0    00:00:00 grep snort

maka snort sudah berjalan







Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)