@debian squeeze
Kali ini saya akan mecoba lagi untuk mengkonfigurasi snort IDS di debian squeeze. Semoga tidak
lupa :D
Kali ini saya membuat skema jaringan dengan menggunakan 1 adapter. adapter ini akan
menghubungkan dari server debian ke client windows 7
nano /etc/network/interfaces
nano /etc/apt/sources.list
Kalau sudah berhasil akan tampil seperti dibawah ini. Ganti ganti server sampai bisa -_-
Kemudian masuk ke tahap penginstalan
Nah saya ganti server repo lagi. Pastikan koneksi internet stabil
Nah selanjutnya akan disuruh memasukan password untuk root. Masukan saja passwordnya sesuai
keinginan. Kalau saya simpel aja sih. asdf
Kemudian kita masuk pada penginstalan paket yang tidak ada di server repo dan terpaksa harus
mendownload satu persatu. Paket yang pertama yaitu libpcap. Saya akan taruh file download di
/usr/share.
# cd /usr/share
# wget http://www.tcpdump.org/release/libpcap-1.1.1.tar.gz
# cd -
# wget http://libdnet.googlecode.com/files/libdnet-1.12.tgz
# tar -zxf libdnet-1.12.tgz && cd libdnet-1.12
# ./configure --prefix=/usr --enable-shared
# make && make install
# cd -
# wget http://www.snort.org/dl/snort-current/daq-0.5.tar.gz
# tar -zxf daq-0.5.tar.gz && cd daq-0.5
# nano os-daq-modules/daq_pcap.c
l
kalo sudah ketemu, ganti context->buffer_size = strtol(entry->key, NULL, 10); menjadi context-
>buffer_size = strtol(entry->value, NULL, 10);
# ./configure
# make && make install
# cd -
# wget http://www.snort.org/dl/snort-current/snort-2.9.0.5.tar.gz
# tar -zxf snort-2.9.0.5.tar.gz && cd snort-2.9.0.5
# ./configure --enable-dynamicplugin --enable-perfprofiling --enable-ipv6 --enable-zlib --
enable-reload
# make && make install
# nano /etc/snort/snort.conf
Edit juga baris ipvar EXTERNAL_NET any menjadi ipvar EXTERNAL_NET !$HOME_NET
Kemudian search dengan kata kunci var RULE_PATH.
Kemudian pagari semua di depan include baris yang mengandung RULE_PATH kecuali include
$RULE_PATH local.rules
# nano /etc/snort/rules/local.rules
alert icmp any any -> any any (msg:"lapor, ada yang lg ngeping nih";sid:10000001;rev:0;)
alert tcp any any -> any 21 (msg:"ada yang lagi akses ftp";sid:10000002;rev:1;)
# snort -d -c /etc/snort/rules/local.rules
Setelah snort dijalankan pasti kita sudah tidak bisa apa apa kecuali menghentikan snort.
Lalu untuk melihat log pencet tombol alt+f2 lalu login terlebih dahulu.
Kalau saya menggunakan ssh jadi saya tinggal membuat session baru tanpa meng close session
lama
Kemudian kita lihat log yang masuk
# tail -f /var/log/snort/alert
Kemudian tes dengan mencoba ping ke server, maka akan muncul peringatan dan deteksi terhadap
paket icmp tersebut
Kemudian kita coba untuk akses ftp pada port 21
Ketika ada host yang mengakses ftp maka snort mendeteksi adanya host yang mengakses port 21
pada server
Selesai.
Source : http://www.linuxku.com/2011/10/instalasi-snort-dan-beberapa-
penerapan.html?q=snort
-=EOF=-