SNORT ID System

@debian squeeze
Kali ini saya akan mecoba lagi untuk mengkonfigurasi snort IDS di debian squeeze. Semoga tidak
lupa :D

Kali ini saya membuat skema jaringan dengan menggunakan 1 adapter. adapter ini akan
menghubungkan dari server debian ke client windows 7

Mari kita setting dulu IP di debian squeeze.

nano /etc/network/interfaces

Saya menggunakan IP 192.168.137.2 pada server dan gateway 192.168.137.1

Kemudian coba untuk mengontak simbah ternyata sudah konek juga. Untuk sumber internet saya
menggunakan share ke adapter host only tadi.

Nah beginilah skemanya

Kemudian menambahkan source.list untuk update package dan mendownload paket paket nya.

nano /etc/apt/sources.list

Lalu tambahkan server repositorinya.

Nah lalu seperti biasa kita update reponya

Kalau sudah berhasil akan tampil seperti dibawah ini. Ganti ganti server sampai bisa -_-
Kemudian masuk ke tahap penginstalan

apt-get install apache2 libapache2-mod-php5 libwww-perl mysql-server mysql-common mysql-

client php5-mysql libnet1 libnet1-dev libpcre3 libpcre3-dev autoconf libcrypt-ssleay-perl php5-gd
php-pear libphp-adodb php5-cli libtool libssl-dev gcc-4.4 g++ automake gcc make flex bison
apache2-doc ca-certificates

Nah saya ganti server repo lagi. Pastikan koneksi internet stabil
Nah selanjutnya akan disuruh memasukan password untuk root. Masukan saja passwordnya sesuai
keinginan. Kalau saya simpel aja sih. asdf

Kemudian kita masuk pada penginstalan paket yang tidak ada di server repo dan terpaksa harus
mendownload satu persatu. Paket yang pertama yaitu libpcap. Saya akan taruh file download di
/usr/share.

# cd /usr/share
# wget http://www.tcpdump.org/release/libpcap-1.1.1.tar.gz

Kemudian kita exstrak file libpcapnya

# tar -zxf libpcap-1.1.1.tar.gz && cd libpcap-1.1.1

# ./configure --prefix=/usr --enable-shared
# make && make install
Lalu download paket libdnet. Tapi kita kembali dulu ke /usr/share

# cd -
# wget http://libdnet.googlecode.com/files/libdnet-1.12.tgz
# tar -zxf libdnet-1.12.tgz && cd libdnet-1.12
# ./configure --prefix=/usr --enable-shared
# make && make install

Link alternative untuk download libdnet

# wget ftp://ftp.br.debian.org/slitaz/sources/packages/l/libdnet-1.12.tgz

Kemudian download paket daq

# cd -
# wget http://www.snort.org/dl/snort-current/daq-0.5.tar.gz
# tar -zxf daq-0.5.tar.gz && cd daq-0.5

Link alternative untuk download daq

# wget https://www.procyonlabs.com/mirrors/snort/daq-0.5.tar.gz

Edit config daq

# nano os-daq-modules/daq_pcap.c

tekan ctrl+w, lalu cari kata kunci buffer_size = strtol

l
kalo sudah ketemu, ganti context->buffer_size = strtol(entry->key, NULL, 10); menjadi context-
>buffer_size = strtol(entry->value, NULL, 10);

Kemudian configure dan make

# ./configure
# make && make install

Kemudian mengupdate library path

# echo >> /etc/ld.so.conf /usr/lib && ldconfig

Tahap selanjutnya adalah menginstall snort

# cd -
# wget http://www.snort.org/dl/snort-current/snort-2.9.0.5.tar.gz
# tar -zxf snort-2.9.0.5.tar.gz && cd snort-2.9.0.5
# ./configure --enable-dynamicplugin --enable-perfprofiling --enable-ipv6 --enable-zlib --
enable-reload
# make && make install

Link alternative untuk download snort

# wget https://www.procyonlabs.com/mirrors/snort/snort-2.9.0.5.tar.gz
Kemudian membuat direktori pendukung snort

# mkdir /etc/snort /etc/snort/rules /var/log/snort /usr/local/lib/snort_dynamicrules

# groupadd snort && useradd -g snort snort
# chown snort:snort /var/log/snort
# cp /usr/share/snort-2.9.0.5/etc/*.conf* /etc/snort
# cp /usr/share/snort-2.9.0.5/etc/*.map /etc/snort

TAHAP KONFIGURASI SNORT

Mengedit file snort.conf

# nano /etc/snort/snort.conf

Cari kata ipvar HOME_NET

Ganti kata ipvar HOME_NET any menjadi ipvar HOME_NET 192.168.137.0/24

Untuk network diatas adalah network yang akan di pantau oleh server

Edit juga baris ipvar EXTERNAL_NET any menjadi ipvar EXTERNAL_NET !$HOME_NET
Kemudian search dengan kata kunci var RULE_PATH.

Hilangkan ../ pada rules

Kemudian cari preprocessor normalize

Lalu pagari semua

Kemudian cari output unified2

Tambahkan output unified2: filename snort.log, limit 128

Kemudian cari RULE_PATH

Kemudian pagari semua di depan include baris yang mengandung RULE_PATH kecuali include
$RULE_PATH local.rules

Kemudian save dan tutup file nya

TAHAP PENGETESAN

Buat file baru di /etc/snort/rules/local.rules

# nano /etc/snort/rules/local.rules

Isi file dengan :

alert icmp any any -> any any (msg:"lapor, ada yang lg ngeping nih";sid:10000001;rev:0;)
alert tcp any any -> any 21 (msg:"ada yang lagi akses ftp";sid:10000002;rev:1;)

Kemudian jalankan snort

# snort -d -c /etc/snort/rules/local.rules

Setelah snort dijalankan pasti kita sudah tidak bisa apa apa kecuali menghentikan snort.

Lalu untuk melihat log pencet tombol alt+f2 lalu login terlebih dahulu.

Kalau saya menggunakan ssh jadi saya tinggal membuat session baru tanpa meng close session
lama
Kemudian kita lihat log yang masuk

# tail -f /var/log/snort/alert

Kemudian tes dengan mencoba ping ke server, maka akan muncul peringatan dan deteksi terhadap
paket icmp tersebut
Kemudian kita coba untuk akses ftp pada port 21

Ketika ada host yang mengakses ftp maka snort mendeteksi adanya host yang mengakses port 21
pada server

Selesai.

Source : http://www.linuxku.com/2011/10/instalasi-snort-dan-beberapa-
penerapan.html?q=snort

-=EOF=-