Click to Reveal!:
B. Tahap Konfigurasi
# nano /etc/snort/snort.conf
ipvar HOME_NET any menjadi ipvar HOME_NET 192.168.7.0/24 --> ini ip network yang
ingin anda protect.
Click to Reveal!:
- Tidak jauh dari ipvar HOME_NET, kebawah sedikit edit baris ipvar EXTERNAL_NET any
menjadi ipvar EXTERNAL_NET !$HOME_NET
Click to Reveal!:
- Search kata kunci var RULE_PATH lalu hilangkan kedua tanda titik dan tanda garis miring di
depan kata ./rules sehingga dari yang semula var RULE_PATH ../rules menjadi var
RULE_PATH rules :
Click to Reveal!:
- Ketik kata kunci preprocessor normalize, dan beri tanda pagar di depan semua kata-kata yang
bertuliskan prepocessor normalize dari baris 186 sampai 190. Lebih jelasnya lihat gambar
dibawah ini :
Click to Reveal!:
- Search kata kunci output unified2. lalu tambahkan satu baris dibawahnya dengan tulisan
berikut :
Click to Reveal!:
- Search kata kunci RULE_PATH lalu beri tanda pagar di depan semua kata-kata yang
mengandung kata include $RULE_PATH selain include $RULE_PATH local.rules
Click to Reveal!:
C. Tahap Pengetesan
Sebenernya ada banyak banget rule yang ada di snort ini. Kalian bisa mendonlodnya di situs
resminya. nah tapi kayaknya kurang asik kalo cuma make file orang, xixixi :D nah mendingan
kita nyoba-nyoba aja buat rule sederhana dulu. meskipun sederhana, tapi yang penting ngerti
konsepnya. :)
# nano /etc/snort/rules/local.rules
alert icmp any any -> any any (msg:"ada orang yang lagi nyoba
ngeping";sid:10000001;rev:0;)
alert tcp any any -> any 21 (msg:"FTP server lagi di
akses";sid:10000002;rev:1;)
Tau enggak itu artinya apa? rumusnya itu sebenernya kayak gini:
Nah sid itu penulisannya harus lebih dari 1000000 (1 juta), kalo rev itu penulisannya dimulai
dari 0. maksudnya apa? hmm. saya juga ga tau. hehe :D
Nah snortnya itu kita install di router dan mengawasi keluar masuknya traffic jaringan di eth0.
untuk mengetestnya kita menggunakan perintah seperti ini:
snort -d -c /etc/snort/rules/local.rules
Nanti disitu akan muncul banyak tulisan, tapi belum keliatan alertnya karena snortnya bekerja
sebagai daemon (di belakang layar). tau kenapa dia bekerja sebagai daemon? itu dari perintah -d
tadi..
Coba dari clientnya ngeping ke ip router, kemudian dari routernya anda tekan alt+ctrl+f2. akan
muncul jendela login baru. masukkin aja username : root password: passwordanda.
# tail -f /var/log/snort/alert
Kalo muncul peringatan seperti gambar dibawah ini maka berarti snortnya udah berjalan dengan
baik :
Click to Reveal!:
Lalu kalo saya coba mengakses FTP server, maka akan muncul peringatan seperti ini :
Click to Reveal!:
Untuk konfigurasi yang lebih rumit lagi mungkin anda bisa mencari sendiri tutorialnya yang
bertebaran di rumahnya paman google. Oh iya nanti untuk snort menggunakan database akan
menyusul artikelnya. :)
Semoga bermanfaat :)