Kalo ga ada pesan error dan udah diinstall semua, sekarang saatnya untuk ngebuat direktori-

direktori kerja si snort ini. caranya :

# mkdir /etc/snort /etc/snort/rules /var/log/snort

/usr/local/lib/snort_dynamicrules
# groupadd snort && useradd -g snort snort
# chown snort:snort /var/log/snort
# cp /usr/src/snort-2.9.0.5/etc/*.conf* /etc/snort
# cp /usr/src/snort-2.9.0.5/etc/*.map /etc/snort

Click to Reveal!:

B. Tahap Konfigurasi

1. Edit file snort.conf :

# nano /etc/snort/snort.conf

- Search kata kunci ipvar HOME_NET, lalu edit bagian ini :

ipvar HOME_NET any menjadi ipvar HOME_NET 192.168.7.0/24 --> ini ip network yang
ingin anda protect.

Click to Reveal!:

- Tidak jauh dari ipvar HOME_NET, kebawah sedikit edit baris ipvar EXTERNAL_NET any
menjadi ipvar EXTERNAL_NET !$HOME_NET

Click to Reveal!:

- Search kata kunci var RULE_PATH lalu hilangkan kedua tanda titik dan tanda garis miring di
depan kata ./rules sehingga dari yang semula var RULE_PATH ../rules menjadi var
RULE_PATH rules :

Click to Reveal!:

- Ketik kata kunci preprocessor normalize, dan beri tanda pagar di depan semua kata-kata yang
bertuliskan prepocessor normalize dari baris 186 sampai 190. Lebih jelasnya lihat gambar
dibawah ini :

Click to Reveal!:

- Search kata kunci output unified2. lalu tambahkan satu baris dibawahnya dengan tulisan
berikut :

output unified2: filename snort.log, limit 128

Click to Reveal!:

- Search kata kunci RULE_PATH lalu beri tanda pagar di depan semua kata-kata yang
mengandung kata include $RULE_PATH selain include $RULE_PATH local.rules

Lihat gambar berikut agar lebih jelas :

Click to Reveal!:

Save dan tutup filenya.

C. Tahap Pengetesan

Sebenernya ada banyak banget rule yang ada di snort ini. Kalian bisa mendonlodnya di situs
resminya. nah tapi kayaknya kurang asik kalo cuma make file orang, xixixi :D nah mendingan
kita nyoba-nyoba aja buat rule sederhana dulu. meskipun sederhana, tapi yang penting ngerti
konsepnya. :)

1. Buat sebuat file baru di /etc/snort/rules/local.rules

# nano /etc/snort/rules/local.rules

isi dengan kode kayak gini :

alert icmp any any -> any any (msg:"ada orang yang lagi nyoba
ngeping";sid:10000001;rev:0;)
alert tcp any any -> any 21 (msg:"FTP server lagi di
akses";sid:10000002;rev:1;)

Save kemudian tutup.

Tau enggak itu artinya apa? rumusnya itu sebenernya kayak gini:

jenis_perintah protokol network_sumber port_sumber -> network_tujuan

port_tujuan

Nah sid itu penulisannya harus lebih dari 1000000 (1 juta), kalo rev itu penulisannya dimulai
dari 0. maksudnya apa? hmm. saya juga ga tau. hehe :D

2. Lanjut, sekarang misalnya topologi jaringannya seperti ini :

 internet--(eth2)router(eth1)--server
(eth0)
|
|
AP
|
|
client

Nah snortnya itu kita install di router dan mengawasi keluar masuknya traffic jaringan di eth0.
untuk mengetestnya kita menggunakan perintah seperti ini:

snort -d -c /etc/snort/rules/local.rules

Nanti disitu akan muncul banyak tulisan, tapi belum keliatan alertnya karena snortnya bekerja
sebagai daemon (di belakang layar). tau kenapa dia bekerja sebagai daemon? itu dari perintah -d
tadi..

Pertanyaannya sekarang, gimana cara ngeliatnya?

Coba dari clientnya ngeping ke ip router, kemudian dari routernya anda tekan alt+ctrl+f2. akan
muncul jendela login baru. masukkin aja username : root password: passwordanda.

Setelah itu ketik ini :

# tail -f /var/log/snort/alert

Kalo muncul peringatan seperti gambar dibawah ini maka berarti snortnya udah berjalan dengan
baik :

Click to Reveal!:

Lalu kalo saya coba mengakses FTP server, maka akan muncul peringatan seperti ini :

Click to Reveal!:

Untuk konfigurasi yang lebih rumit lagi mungkin anda bisa mencari sendiri tutorialnya yang
bertebaran di rumahnya paman google. Oh iya nanti untuk snort menggunakan database akan
menyusul artikelnya. :)

Semoga bermanfaat :)