install dan konfigurasi snort di linux debian/ubuntu
TRANSCRIPT
1 Manaf HSB : Install dan Konfigurasi Snort
Install dan Konfigurasi Snort di Linux Debian/Ubuntu
Snort adalah sistem pendeteksi intrusi jaringan yang dapat berjalan pada Sistem Operasi
UNIX/GNU/Linux dan Microsoft Windows, aplikasi ini sangat ringan di dalam penggunaannya serta
bisa di dapatkan secara gratis.
Langkah-Langkah :
1. Download dan Ekstrak Snort
Download Snort versi gratis dari website Snort. Ekstrak Source code Snort ke dalam direktori
/usr/src dengan cara berikut :
2. Instal Snort
Sebelum menginstal snort, pastikan anda sudah memiliki paket dev dari libpcap dan libpcre.
Ikuti langkah-langkah berikut untuk menginstal snort.
3. Verifikasi Instalasi Snort
Verifikasi instalasi seperti yang ditunjukkan di bawah ini :
4. Buat direktori dan file yang diperlukan
Anda harus membuat file konfigurasi, aturan file dan direktori log
Buat direktori berikut:
1. # cd /usr/src
2. # wget -O snort-2.8.6.1.tar.gz http://www.snort.org/downloads/116
3. # tar xvzf snort-2.8.6.1.tar.gz
1. # apt-cache policy libpcap0.8-dev
2. # apt-cache policy libpcre3-dev
1. # cd snort-2.8.6.1
2. # ./configure
3. # make
4. # make install
# snort --version
,,_ -*> Snort! <*-
o" )~ Version 2.8.6.1 (Build 39)
'''' By Martin Roesch & The Snort Team: http://www.snort.org/snort/snort-team
Copyright (C) 1998-2010 Sourcefire, Inc., et al.
Using PCRE version: 7.8 2008-09-05
1. # mkdir /etc/snort
2. # mkdir /etc/snort/rules
3. # mkdir /var/log/snort
2
Buat file berikut secara manual :
Isikan dengan :
Isikan dengan :
Aturan dasar atas tidak akan memberikan pesan peringatan ketika ada sebuah paket ICMP
(ping).
Berikut ini adalah struktur dari sebuah pesan peringatan :
Tabel Struktur Aturan dan contoh
5. Menjalankan Snort
Jalankan Snort dengan perintah berikut :
Untuk memeriksa aturan ping yang telah kita buat, coba ping beberapa IP dari komputer anda,
kemudian lihat isi file /var/log/snort/alert
Berikut adalah contoh peringatan dari Snort untuk aturan ICMP.
Maka isinya adalah seperti berikut :
# cat /etc/snort/snort.conf
include /etc/snort/rules/icmp.rules
# cat /etc/snort/rules/icmp.rules
alert icmp any any -> any any (msg:"ICMP Packet"; sid:477; rev:3;)
<Rule Actions> <Protocol> <Source IP Address> <Source Port> <Direction Operator>
<Destination IP Address> <Destination Port> (rule options)
Sturuktur ContohRule Actions alert
Protocol icmp
Source IP Address any
Source Port any
Direction Operator ->
Destination IP Address any
Destination Port any
(rule options) (msg:”ICMP Packet”; sid:477; rev:3;)
# snort -c /etc/snort/snort.conf -l /var/log/snort/
# head /var/log/snort/alert
[**] [1:477:3] ICMP Packet [**][Priority: 0]
07/27-20:41:57.230345 > l/l len: 0 l/l type: 0x200 0:0:0:0:0:0
pkt type:0x4 proto: 0x800 len:0x64
209.85.231.102 -> 209.85.231.104 ICMP TTL:64 TOS:0x0 ID:0 IpLen:20 DgmLen:84 DF
Type:8 Code:0 ID:24905 Seq:1 ECHO
3
Penjelasan pesan peringatan :
Baris akan ditambahkan untuk setiap ada peringatan, yang meliputi:
1. Pesan dicetak di baris pertama.
2. Sumber IP
3. IP tujuan
4. Jenis paket, dan informasi header.
Jika Anda memiliki interface yang berbeda untuk koneksi jaringan, kemudian menggunakan -
dev opsi -i. Dalam contoh ini antarmuka jaringan saya adalah ppp0.
Menjalankan Snort sebagai Daemon
Tambahkan opsi -D untuk menjalankan Snort sebagai daemon (services)
Informasi tambahan tentang Snort
File default konfigurasi dari Snort tersedia di snort-2.8.6.1/etc/snort.conf
Aturan default dapat didownload dari: http://www.snort.org/snort-rules
Ref :
http://www.thegeekstuff.com/
# snort -dev -i ppp0 -c /etc/snort/snort.conf -l /var/log/snort/
# snort -D -c /etc/snort/snort.conf -l /var/log/snort/