1.Pertama-tama kita download dulu ya snortnya di link.. ini...Snort saran ane sich pilih yg terupdate(terbaru) yg sekarang si 2.8.5.2
2 Kemudian download rulesnya di Rules, Jangan lupa untuk register di Situs Snortnya agar bisa mendowload rules terbaru
3.Siapkan software pendukung
# apt-get install libpcre3 libpcre3-dev libpcrecpp0
libpcap0.8 libpcap0.8-dev \
mysql-server libmysqlclient15-dev libphp-adodb
libgd2-xpm libgd2-xpm-dev php5-mysql \
php5-gd php-image-graph php-image-canvas php-pear
4. Install snort
copy kemudian ekstrak file installer snort
cp -Rf snort-2.8.5.2.tar.gz /usr/local/src/
cd /usr/local/src
tar zxvf snort-2.8.5.2.tar.gz
Masuk ke direktori snort yg sudah di ekstrakBuat user,group snort & buat direktori
cd /usr/local/src/snort-2.8.5.2
./configure --with-mysql
make
make install
groupadd snort
useradd -g snort snort
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
Copy file rules yang sudah di download
cp snortrules-snapshot-CURRENT.tar.gz /etc/snort/
cd /etc/snort
tar zxvf snortrules-snapshot-CURRENT.tar.gz
Siapkan Konfigurasi Snortnya
cp /usr/local/src/snort-2.8.5.2/etc/* /etc/snort
cd /etc/snort/
mkdir /etc/snort/preproc_rules
Edit snort.conf
#vi atau nano atau gedit /etc/snort/snort.conf
Cari baris berikut dan ganti valuenya menjadi:
“var RULE_PATH ../rules” -> “var RULE_PATH /etc/snort/rules”
"var PREPROC_RULE_PATH ../preproc_rules" ->
"var PREPROC_RULE_PATH /etc/snort/preproc_rules"
hilangkan tanda comment "#"
output database: log, mysql, user=snort password=snort
dbname=snort host=localhost
(sesuaikan dengan setingan username pasword dan db anda)
5.Ujicoba jalankan snort karena snort rules yang digunakan
biasanya masih banyak bug / error dan harus
dibuang supaya hanya rules yang baik
yang digunakan
# /usr/local/bin/snort -dev -c /etc/snort/snort.conf
Contoh Error:
Initializing rule chains...
ERROR: (/etc/snort/rules/web-misc.rules)98 =>
Cannot use 'rawbytes' and 'http_uri' as
modifiers for the same "content" nor use 'rawbytes'
with "uricontent".
Fatal Error, Quitting..
solusinya cukup dengan mengcomment
baris yg error :D
misalnya seperti di atas file web-misc.rules line 98 jadi kita
edit file tersebut,,
go to line 98 dan beri tanda # d awal line 98
jika sudah cek apakah snortnya jalan atau tidak
ps -ax | grep snort dan keluarannya
snort 22009 1 62 Jan14 ? 1-09:49:27 /usr/sbin/snort -A fast -b -d -D -i
eth2 -u snort -g snort -c /etc/snort/snort.conf -l /var/log/snort
root 28517 28490 0 11:10 pts/0 00:00:00 grep snort
maka snort sudah berjalan
Tidak ada komentar:
Posting Komentar