SlideShare a Scribd company logo

Optimized Snort IDS Testing Title

R
ramasatriaf

1. Snort IDS dikonfigurasi pada virtual machine dengan interface jaringan eth0 dan eth1 yang diset sebagai bridge dan host-only. 2. Beberapa komponen prasyarat Snort seperti libpcap, PCRE, dan DAQ diinstalasi dari sumber daya. 3. File konfigurasi dan preprocessor dinamis Snort disalin dari folder tarball. 4. Aturan ICMP sederhana ditulis untuk menguji deteksi Snort yang akan menghasilkan peringatan saat melihat pesan echo request dan

Internet
1 of 19
Download to read offline
1 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Laporan Tugas Keamanan Jaringan 7 Snort IDS Percobaan: I. Perancangan i. Konfigurasi Jaringan : 1. Jaringan gateway : 192.168.0.1 2. Host OS IP : 192.168.0.100 3. Guest OS 1 IP eth0 (Bridge) : 192.168.0.101 Guest OS 1: Pertama setting pada network adapter dengan menambahkan interface lagi. Lalu setting kedua interface tersebut sebagai Bridge dan Host-Only. Kedua start virtual machine. Setelah itu pastikan jaringan eth0 sudah mendapatkan ip dari koneksi bridge. Setelah mendapatkan IP maka konfigurasi ip eth0 dan eth1 menjadi static sesuai range jaringan Wifi. Dengan perintah nano /etc/network/interfaces Kemudian restart network dengan perintah /etc/init.d/networking restart.
2 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I ii. Instalasi Snort Pre-Requisites Snort memiliki 4 pre-requisites utama : a. pcap (libpcap-dev) tersedia di repository Ubuntu b. PCRE (libpcre3-dev) tersedia di repository Ubuntu c. Libdnet (libdumbnet-dev) tersedia di repository Ubuntu d. DAQ (http://www.snort.org/downloads/) di compiled dari source  Build essentials package Pertama kita harus meng-install tools yang dibutuhkan untuk membangun software, Gunakan bulid-essentials package Setelah selesai, kita harus meng-install semua Snort Prequisities yang tersedia di repository Ubuntu.  Buat Folder Folder dibuat agar semua tarbals tersimpan di dalam satu tempat. Perintah : mkdir snort_src  Data AcQuisition library Snort DAQ memiliki beberapa pre-requisities yan harus di install lebih dahulu.  Download dan Install DAQ Download dan Install DAQ versi terbaru dari website Snort Perintah : :~# cd snort_src/ :~/snort_src# wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
3 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I :~/snort_src# tar -xvzf daq-2.0.6.tar.gz :~/snort_src# cd daq-2.0.6 :~/snort_src/daq-2.0.6# ./configure :~/snort_src/daq-2.0.6# ./configure && make && make install :~/snort_src/daq-2.0.6# cd
4 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I iii. Instalasi Snort Untuk meng-install Snort di Ubuntu, dibutuhkan satu pre-requisities tambahan, yaitu : zlibg yang merupakan library compression. • Library Ada 3 library optional yang dapat meningkatkan fungsionalitas : a. liblzma-dev yang menyediakan dekompresssion dari file.swf (adobe flash), b. openssl dan c. libssl-dev yang menyediakan file signatures dari SHA dan MD5 • Download Snort Sekarang kita siap mendownload dan meng-install Snort. Opsi -- enable-sourcefire option memberikan Packet Performance Monitoring (PPM), yang memperboleh kan kita untuk memonitoring performa untuk rules dan pre-processors dan mem- build Snort seperti yang dilakukan oleh team Snort. Perintah : :~# ldconfig :~# cd snort_src/ :~/snort_src# wget https://distfiles.macports.org/snort/snort-2.9.8.3.tar.gz :~/snort_src# tar -xvzf snort-2.9.8.3.tar.gz :~/snort_src# cd snort-2.9.8.3/ :~/snort_src/snort-2.9.8.3# ./configure --enable-sourcefire && make && make install
5 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I :~/snort_src/snort-2.9.8.3# cd • Updata Shared Libraries Jalankan Command berikut (Jika ada error, Skip langkah ini) : Perintah : ln -s /usr/local/bin/snort /usr/sbin/snort • Snort Version iv. Konfigurasi Snort untuk Run pada Mode NIDS Karena kita tidak ingin Snort berjalan sebagi Root, Kita perlu membuan sebuah akun unprivillage dan grup untuk daemon. Buat user dan grup snort. Kita perlu membuat beberapa file dan direktori yang dibutuhkan oleh Snort, lalu menge-set permissions pada file tersebut. File configurasi dan rule ada di /etc/snort, Alerts akan di tulis kedalam /var/log/snort, Compiled rules (.so rules) akan disimpan di /usr/local/lib/snort dynamicrules. Perintah : !!! # Create the snort user and group: :~# groupadd snort :~# useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort !!! # Create the Snort directories: :~# mkdir /etc/snort :~# mkdir /etc/snort/rules :~# mkdir /etc/snort/rules/iplists :~# mkdir /etc/snort/preproc_rules :~# mkdir /usr/local/lib/snort_dynamicrules :~# mkdir /etc/snort/so_rules !!! # Create some files that stores rules and ip lists :
6 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I :~# touch /etc/snort/rules/iplists/black_list.rules :~# touch /etc/snort/rules/iplists/white_list.rules :~# touch /etc/snort/rules/local.rules :~# touch /etc/snort/sid-msg.map !!! # Create our logging directories: :~# mkdir /var/log/snort :~# mkdir /var/log/snort/archived_logs !!! # Adjust permissions: :~# chmod -R 5775 /etc/snort :~# chmod -R 5775 /var/log/snort :~# chmod -R 5775 /var/log/snort/archived_logs :~# chmod -R 5775 /etc/snort/so_rules :~# chmod -R 5775 /usr/local/lib/snort_dynamicrules Ubah ownership pada dalam folder Kita harus mengganti ownership dari file yang kita buat di atas dan memastikan bahwa Snort dapat mengakses file tersebut : Perintah : !!! # Change Ownership on folders: :~# chown -R snort:snort /etc/snort :~# chown -R snort:snort /var/log/snort :~# chown -R snort:snort /usr/local/lib/snort_dynamicrules Snort membutuhkan beberapa file konfigurasi dan kopian preprocessors dynamic dari tarball Snort ke dalam folder /etc/snort. File konfigurasi tersebut adalah : a. classification.config b. -file magic.conf c. reference.config d. snort.conf e. threshold.conf f. attribute table.dtd g. gen-msg.map h. unicode.map Konfigurasi file dan dynamic prosesor Untuk menyalin file konfigurasi dan preprocessors dynamic, jalakan command berikut : Perintah : :~# cd :~# cd snort_src/snort-2.9.8.3/etc/ :~/snort_src/snort-2.9.8.3/etc/# cp *.conf* /etc/snort :~/snort_src/snort-2.9.8.3/etc/# cp *.map /etc/snort :~/snort_src/snort-2.9.8.3/etc/# cp *.dtd /etc/snort :~/snort_src/snort-2.9.8.3/etc/# cd :~# cd snort_src/snort-2.9.8.3/src/dynamic- preprocessors/build/usr/local/lib/snort_dynamicpreproces sor/ :~./././# cp * /usr/local/lib/snort_dynamicpreprocessor/ :~./././# cd
7 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Sekarang kita harus mengikuti layout direktori dan likasi file sebagai berikut : Snort binary file: /usr/local/bin/snort Snort configuration file: /etc/snort/snort.conf Snort log data directory: /var/log/snort Snort rules directories: /etc/snort/rule /etc/snort/so rules /etc/snort/preproc rules /usr/local/lib/snort dynamicrules Snort IP list directories: /etc/snort/rules/iplists Snort dynamic preprocessors: /usr/local/lib/snort dynamicpreprocessor/ Edit Main Konfigurasi Snort Kita harus men-comment semua file rule individual yang mereferensi ke file konfigurasi Snort. Kita akan menggukana PulledPork untuk memanage ruleset yang mengkombinasikan semua rule kedalam single file. Gunakan Command berikut : Perintah : :~# sed -i "s/include $RULE_PATH/#include $RULE_PATH/" /etc/snort/snort.conf Ubah beberapa pengaturan pada Snort Kita akan menggati setting secara manual pada file snort.conf, gunakan editor favorit mu : Perintah : nano -c /etc/snort/snort.conf
8 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Ubah line berikut menyesuaikan dengan lingkungan mu : Line 45, HOME_NET harus cocok dengan internal (friendly) network milik anda. HOME_NET : 192.168.0.101/24 File path pada Snort Set file path seperti berikut pada snort.conf, mulai dari line ke 104 : Perintah : nano -c /etc/snort/snort.conf Uji Coba Snort Agar testing Snort berjalan dengan mudah, kita harus meng- enable kan file local rule, dimana kita bisa menambahkan rule yang bisa di alert oleh Snort. Un-Comment mulai dari line ke 546 sehingga tampak seperti di bawah : Perintah : nano -c /etc/snort/snort.conf Setelah file konfigurasi siap, kira harus membuat Snort memverifikasi apakah file tersebut valid dan semua fila terkait yang di butuhkan benar. Run Snort Lakukan perintah di bawah dan pastikan hasilnya seperti tampilan di bawah. Perintah :
9 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I snort -T -i eth0 -c /etc/snort/snort.conf Hasil : Nama Interface sudah berubah dan sistem nya spesifik. Dari command diatas, kamu harus mereplace eth0 dengan nama interface mu seperti yang terlihat saat kamu melakukan command ifconfig. Jangan lupa perhatikan error dan warning yang terjadi. v. Menulis Aturan Sederhana untuk Uji Coba Deteksi Snort Pada tahap ini, Snort tidak memiliki aturan yang dimuat (file aturan yang dirujuk pada snort.conf kosong). Anda dapat memverifikasi bahwa Snort belum memasukkan peraturan apapun jika Anda menscrol ke atas dari output perintah sebelumnya. Untuk menguji kemampuan deteksi Snort, mari buat aturan sederhana yang akan menyebabkan Snort menghasilkan peringatan setiap kali Snort melihat pesan ICMP "Echo request" atau "Echo reply", yang mudah dibuat dengan utilitas ping di mana-mana (ini mempermudah Pengujian aturan).  ICMP Alert Lakukan perintah ini : /etc/snort/rules/local.rules: Perintah : :~# cd /etc/snort/rules/ :~/etc/snort/rules# nano -c local.rules Barnyard2 tidak membaca meta-data tentang peringatan dari file local.rules. Tanpa informasi ini, Barnyard2 tidak akan mengetahui rincian tentang peraturan yang memicu peringatan tersebut, dan akan menghasilkan kesalahan fatal saat menambahkan peraturan baru dengan PulledPork (dilakukan pada langkah selanjutnya).
10 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Untuk memastikan bahwa barnyard2 tahu bahwa aturan yang kami buat dengan pengenal unik 10000001 memiliki pesan "ICMP Test Detected", serta beberapa informasi lainnya. Kami menambahkan baris berikut ke file /etc/snort/sid-msg.map. Perintah: :~/etc/snort/rules# cd .. :~/etc/snort# nano -c sid-msg.map Cd Bila Anda tidak mengomentari baris 545 di atas (sertakan $ RULE_PATH / local.rules) Anda memberi tahu Snort bahwa file local.rules harus dimuat oleh Snort. Ketika Snort memuat file itu saat start-up, ia akan melihat aturan yang Anda buat, dan menggunakan aturan itu pada semua lalu lintas yang dilihat oleh antarmuka. Dalam kasus ini, ketika kami membuat peraturan, kami memberi tahu Snort bahwa seharusnya menghasilkan peringatan saat melihat ping ICMP.  Ubah Konfigurasi Snort Lakukan pengujian ulang setelah melakukan perubahan pada Snort : Perintah: :~/etc/snort# cd :~# snort -T -c /etc/snort/snort.conf -i eth0 Kali ini jika Anda menggulir ke atas melalui output, Anda akan menemukan satu aturan itu (yang kami buat di local.rules, dan dimuat oleh perintah include di snort.conf) telah dimuat:  Mode NIDS Sekarang kita tahu bahwa Snort benar-benar menerapkan peraturan dan konfigurasi kita, kita bisa mulai mendengus dalam
11 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I mode NIDS, dan memberitahukannya untuk mengeluarkan peringatan apa pun ke konsol. Kami akan menjalankan Snort dari command line, menggunakan flag seperti di bawah ini : Perintah : :~# /usr/local/bin/snort –A console -q -u snort -g snort – c /etc/snort/snort.conf -i eth0 Ketika Anda menjalankan baris ini, Anda tidak akan melihat output apa pun, namun Snort sedang berjalan, memproses semua paket yang sampai pada et0 (atau antarmuka mana pun yang Anda tentukan dengan flag -i), membandingkannya dengan aturan yang telah dimuatnya (dalam hal ini Kasus aturan ICMP Ping tunggal kami), dan kemudian akan mencetak semua peringatan yang dihasilkan saat sebuah paket sesuai dengan peraturan kami ke console.  Ping Dari komputer lain, ping alamat IP eth0 di komputer Snort (atau ganti ping dari host Snort ke komputer lain, atau eth0 sendiri, tapi bukan antarmuka loopback), dan Anda akan melihat output konsol serupa dengan apa yang ditampilkan di bawah ini. (Pada contoh di bawah ini, server Snort mendengarkan eth0 dengan dan alamat IP 192.168.0.102, dan komputer yang menghasilkan ping adalah 192.168.0.100). Ping lakukan pada IP eth0 yaitu : 192.168.0.102 Hasil nya : Gunakan ctrl-c untuk menghentikan Snort agar tidak berjalan. Perhatikan bahwa Snort telah menyimpan salinan informasi ini di / var / log / snort, dengan nama snort.log.nnnnnnnnn (jumlahnya
12 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I mungkin berbeda). Pada titik ini Snort berjalan dengan benar dalam mode NIDS dan menghasilkan peringatan. vi. Instalasi Barnyard2  Instalasi MySQL Kami akan mengkonfigurasi Snort untuk menampilkan acara dalam bentuk biner ke folder, dan kemudian membuat Barnyard2 membaca kejadian tersebut secara asinkron dan memasukkannya ke basis data MySQL kami. Instalasi MySQL, kita akan menggunakan apt dengan mysql repository. Pertama, tambahkan sumber repositori mysql untuk mendapatkan versi MySQL terbaru. Perintah: :~# wget http://dev.mysql.com/get/mysql-apt-config_0.7.3- 1_all.deb :~# dpkg -i mysql-apt-config_0.7.3-1_all.deb Saat menambahkan source repository, Anda perlu mengatur versi MySQL yang akan diinstal dan beberapa pilihan lainnya. Dibutuhkan update beberapa file baru dari apt source. Perintah : :~# apt-get update Memasuki tahap instalasi, Selain menginstal mysql-server kita juga membutuhkan beberapa library yang berguna untuk mysql. Perintah: :~# apt-get install --force-yes mysql-server libmysqlclient-dev mysql-client autoconf libtool Selanjutnya, Set password untuk root user dari database mysql. Root password : jarkom123.
13 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Instalasi akan meminta Anda untuk membuat password root mysql user. Untuk contoh di bawah ini, kita akan menggunakan password jarkom123. Anda harus memilih sesuatu yang berbeda dan lebih aman, dan menyimpannya dengan aman. Kami juga akan membuat akun pengguna MySQL yang mendengus, dan kata sandi untuk akun itu adalah kata sandi jarkom123, perhatikan perbedaan antara dua kata kunci ini.  Unified2 Output Kita perlu memberitahu mendengus bahwa itu harus mengeluarkan peringatan itu dalam format biner (ke file) yang dapat diproses oleh Barnyard2. Untuk melakukannya, edit file /etc/snort/snort.conf, dan setelah baris 521 (baris komentar dimulai dengan tanda hash) tambahkan baris berikut: Perintah : :~# cd /etc/snort/ :~/etc/snort# nano -c snort.conf  Download dan install Baryard2 Sekarang download dan instal rilis Barnyard2 2.1.14 336: Perintah : :~#cd snort_src/ :~/snort_src# wget https://github.com/firnsy/barnyard2/archive/7254c247023922 88fe6be948f88afb74040f6dc9.tar.gz -O barnyard2-2-1.14- 336.tar.gz :~/snort_src# tar -zxvf barnyard2-2-1.14-336.tar.gz :~/snort_src# mv barnyard2- 7254c24702392288fe6be948f88afb74040f6dc9 barnyard2-2-1.14- 336 :~/snort_src# cd barnyard2-2-1.14-336 :~/snort_src/barnyard2-2-1.14-336# autoreconf -fvi -I ./m4
14 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I  Library Barnyard2 membutuhkan akses ke perpustakaan dnet.h. Namun, Barnyard2 mengharapkan nama file yang berbeda untuk perpustakaan ini. Buat soft link dari dnet.h ke dubmnet.h sehingga tidak ada masalah: Perintah : :~/snort_src/barnyard2-2-1.14-336# ln -s /usr/include/dumbnet.h /usr/include/dnet.h :~/snort_src/barnyard2-2-1.14-336# ldconfig  Konfigurasi MySQL Bergantung pada versi OS Anda (x86 atau x86 64), Anda perlu mengarahkan install ke perpustakaan MySQL yang benar. Jalankan salah satu dari dua baris berikut untuk mengkonfigurasi proses pembuatan, tergantung pada arsitektur Anda (jika Anda tidak yakin dengan arsitektur yang Anda jalankan, gunakan perintah uname -m: Perintah : :~/snort_src/barnyard2-2-1.14-336# arch !!! # Choose ONE of these two commands to run :~/snort_src/barnyard2-2-1.14-336# ./configure -- with-mysql --with-mysql- libraries=/usr/lib/x86_64-linux-gnu :~/snort_src/barnyard2-2-1.14-336# ./configure -- with-mysql --with-mysql-libraries=/usr/lib/i386- linux-gnu Arsitektur i686 maka yang dipilih adalah perintah kedua.
15 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I  Install Barnyard2 Sekarang selesaikan dan install Barnyard2 ke /usr/local/bin/barnyard2: Perintah : :~/snort_src/barnyard2-2-1.14-336# make :~/snort_src/barnyard2-2-1.14-336# make install CATATAN: Jika Anda mendapatkan kesalahan dnet.h pada tahap pembuatan, Anda mungkin perlu memberi tahu sistem tempat file dnet.h berada. Jalankan perintah berikut sebelum menjalankan make lagi (ini kadang-kadang dilaporkan sebagai masalah):Copy dan Paste Beberapa File yang dibutuhkan Barnyard2 untuk dijalankan: Perintah : :~/snort_src/barnyard2-2-1.14-336# cp etc/barnyard2.conf /etc/snort !!# the /var/log/barnyard2 folder is never used or referenced !!# but barnyard2 will error without it existing
16 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I :~/snort_src/barnyard2-2-1.14-336# mkdir /var/log/barnyard2 :~/snort_src/barnyard2-2-1.14-336# chown snort.snort /var/log/barnyard2 :~/snort_src/barnyard2-2-1.14-336# touch /var/log/snort/barnyard2.waldo :~/snort_src/barnyard2-2-1.14-336# chown snort.snort /var/log/snort/barnyard2.waldo :~/snort_src/barnyard2-2-1.14-336# cd  Buat Database Karena yang akan dilakukan Barnyard2 adalah menyimpan alert ke database MySQL, kita perlu membuat database itu, dan juga user 'snort' MySQL untuk mengakses database itu. Jalankan perintah berikut untuk membuat database dan pengguna MySQL. Saat diminta memasukkan kata sandi, gunakan 'jarkom123'. Anda juga akan mengatur password user MySQL snort di perintah mysql keempat, jadi ubah juga di sana. Perintah : :~# mysql -u root –p mysql> create database snort; mysql> use snort; mysql> source ~/snort_src/barnyard2-2-1.14- 336/schemas/create_mysql; mysql> CREATE USER 'snort' IDENTIFIED BY 'jarkom123'; mysql> grant create, insert, select, delete, update on snort.* to snort;
17 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I mysql> exit  Koneksi ke Database MySQL Kita perlu mengatur Barnyard2 agar tersambung ke database MySQL. Edit /etc/snort/barnyard2.conf, Dan di akhir file tambahkan baris ini (ubah kata sandi dengan yang Anda buat di atas): Line 71, 75 and 348 config interface: eth0 config alert_with_interface_name output database: alert, mysql, user=snort password=jarkom123 dbname=snort host=localhost Perintah : :~# cd /etc/snort :~/etc/snort# nano -c barnyard2.conf  Ubah Permission Karena kata sandi disimpan dalam teks mentah di file barnyard2.conf, kita harus mencegah pengguna lain membacanya: Perintah : :~/etc/snort# cd :~# chmod o-r /etc/snort/barnyard2.conf
18 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I  Run Snort pada Mode Alert Jalankan Snort dalam mode alert (perintah yang kita jalankan di bawah ini adalah bagaimana Snort biasanya dijalankan saat kita mengaturnya sebagai daemon, kecuali kita tidak menggunakan flag -D yang menyebabkannya dijalankan sebagai daemon). Perintah : :~# /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0  Ping Interface eth0 Ping interface eth0 dari komputer lain, Anda tidak akan melihat output di layar karena sebelumnya Snort tidak dimulai dengan command -A. Setelah ping berhenti, ketik ctrl-c untuk menghentikan Snort. Anda harus melihat file baru di direktori / var / log / snort dengan nama berikut: snort.u2.nnnnnnnnnn (jumlahnya akan berbeda karena mereka didasarkan pada waktu sekarang. Snort.log.nnnnnnnnnn adalah file output yang kita Dibuat saat kita pertama kali menguji Snort. Anda bisa menghapus file itu kalau mau: Perintah : :~# cd :~# cd /var/log/snort :~/var/log/snort# ls -l /var/log/snort/ Hasil : Kita sekarang menjalankan Barnyard2 dan memberitahukannya untuk memproses kejadian di snort.u2.nnnnnnnnnn dan memasukkannya ke dalam database Snort.  Run Barnyard2 Perintah : :~/var/log/snort# cd :~# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort - f snort.u2 -w /var/log/snort/barnyard2.waldo -g snort -u snort
19 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Setelah Anda menekan Ctrl-c untuk menghentikan barnyard2, ia akan mencetak informasi tentang rekaman yang diolahnya.  Cek Database MySQL Kami sekarang ingin memeriksa database MySQL untuk melihat apakah Barnyard2 menulis eventnya. Perintah : :~# mysql -u snort -p -D snort -e "select count(*) from event" Hasil : Dan dapat dilihat bahawa record database telah bertambah menjadi sebanyak 46 data.

Recommended

SNORT
SNORTSNORT
SNORTFadlul Fikri
 
Firewall di linux dengan snort
Firewall di linux dengan snortFirewall di linux dengan snort
Firewall di linux dengan snortedhylarasuli
 
Install dan konfigurasi snort di linux debian/Ubuntu
Install dan konfigurasi snort di linux debian/UbuntuInstall dan konfigurasi snort di linux debian/Ubuntu
Install dan konfigurasi snort di linux debian/Ubuntumanafhsb
 
Wispi: Mini Karma Router For Pentester - Rama Tri Nanda
Wispi: Mini Karma Router For Pentester - Rama Tri NandaWispi: Mini Karma Router For Pentester - Rama Tri Nanda
Wispi: Mini Karma Router For Pentester - Rama Tri Nandaidsecconf
 
Membangun jaringan berbasis linus debian v5.0 (#2)
Membangun jaringan berbasis linus debian v5.0 (#2)Membangun jaringan berbasis linus debian v5.0 (#2)
Membangun jaringan berbasis linus debian v5.0 (#2)Lamed
 
Manajemen proses linux
Manajemen proses linuxManajemen proses linux
Manajemen proses linuxemon nefo
 
Firewall di-ubuntu
Firewall di-ubuntuFirewall di-ubuntu
Firewall di-ubuntuits
 
D3 ti 3 b
D3 ti 3 bD3 ti 3 b
D3 ti 3 bsetiadirega
 

Recommended

SNORT
SNORTSNORT
SNORTFadlul Fikri
 
Firewall di linux dengan snort
Firewall di linux dengan snortFirewall di linux dengan snort
Firewall di linux dengan snortedhylarasuli
 
Install dan konfigurasi snort di linux debian/Ubuntu
Install dan konfigurasi snort di linux debian/UbuntuInstall dan konfigurasi snort di linux debian/Ubuntu
Install dan konfigurasi snort di linux debian/Ubuntumanafhsb
 
Wispi: Mini Karma Router For Pentester - Rama Tri Nanda
Wispi: Mini Karma Router For Pentester - Rama Tri NandaWispi: Mini Karma Router For Pentester - Rama Tri Nanda
Wispi: Mini Karma Router For Pentester - Rama Tri Nandaidsecconf
 
Membangun jaringan berbasis linus debian v5.0 (#2)
Membangun jaringan berbasis linus debian v5.0 (#2)Membangun jaringan berbasis linus debian v5.0 (#2)
Membangun jaringan berbasis linus debian v5.0 (#2)Lamed
 
Manajemen proses linux
Manajemen proses linuxManajemen proses linux
Manajemen proses linuxemon nefo
 
Firewall di-ubuntu
Firewall di-ubuntuFirewall di-ubuntu
Firewall di-ubuntuits
 
D3 ti 3 b
D3 ti 3 bD3 ti 3 b
D3 ti 3 bsetiadirega
 
AVR di linux
AVR di linuxAVR di linux
AVR di linuxKhoirul Umam, M.T., CLOCCC, CLA
 
Laporan cisco
Laporan ciscoLaporan cisco
Laporan ciscoOctovianus Runga
 
Turning tl mr 3020 into automate wireless attacker
Turning tl mr 3020 into automate wireless attackerTurning tl mr 3020 into automate wireless attacker
Turning tl mr 3020 into automate wireless attackeridsecconf
 
Firewall
FirewallFirewall
Firewallrizqi_hendrian
 
50 Command Prompt Linux
50 Command Prompt Linux50 Command Prompt Linux
50 Command Prompt LinuxRyudhatama Krisnamurti
 
253030699 komponen-komputer-dan-fungsinya-pdf
253030699 komponen-komputer-dan-fungsinya-pdf253030699 komponen-komputer-dan-fungsinya-pdf
253030699 komponen-komputer-dan-fungsinya-pdfwitospd
 
Iqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospf
Iqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospfIqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospf
Iqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospfamri am
 
Backup & Restore TFTP Cisco Packet Tracert
Backup & Restore TFTP Cisco Packet TracertBackup & Restore TFTP Cisco Packet Tracert
Backup & Restore TFTP Cisco Packet TracertIrmanda Dwi Prakoso
 
Lks it networking support konfigurasi dmz port forwarding di debian
Lks it networking support konfigurasi dmz port forwarding di debianLks it networking support konfigurasi dmz port forwarding di debian
Lks it networking support konfigurasi dmz port forwarding di debianHamami InkaZo
 
Backup dan Restore file config.text Server TFTP Packet Tracer
Backup dan Restore file config.text Server TFTP Packet TracerBackup dan Restore file config.text Server TFTP Packet Tracer
Backup dan Restore file config.text Server TFTP Packet TracerRyandika Alfarishi
 
Ipv6 On Free Bsd
Ipv6 On Free BsdIpv6 On Free Bsd
Ipv6 On Free BsdIkhsan Khanifan
 
Modul 4 konfigurasi router
Modul 4 konfigurasi routerModul 4 konfigurasi router
Modul 4 konfigurasi routerThomas Ra Urus
 
Materi seminar Linux at AgITC UNAND
Materi seminar Linux at AgITC UNANDMateri seminar Linux at AgITC UNAND
Materi seminar Linux at AgITC UNANDArief Mardianto
 
Firmware hacking, slash the pineapple for fun
Firmware hacking, slash the pineapple for funFirmware hacking, slash the pineapple for fun
Firmware hacking, slash the pineapple for funidsecconf
 
002 konfigurasi - debian server
002 konfigurasi - debian server002 konfigurasi - debian server
002 konfigurasi - debian serverAthailah M Jamil
 
I pv6 dan windows
I pv6 dan windowsI pv6 dan windows
I pv6 dan windowsSutrisno P
 
Pertemuan 12. arp
Pertemuan 12. arpPertemuan 12. arp
Pertemuan 12. arpkhalghy
 
Laporan Keamanan Jaringan Snort IDS
Laporan Keamanan Jaringan Snort IDSLaporan Keamanan Jaringan Snort IDS
Laporan Keamanan Jaringan Snort IDSErry Pradana Darajati
 
Pembahasansoallks2013
Pembahasansoallks2013Pembahasansoallks2013
Pembahasansoallks2013dedd_simbolon
 
Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASE
Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASETutorial Membangun SNORT Integrasi Terhadap MySQL dan BASE
Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASEThomas Gregory
 
Tutorial menginsatal konfigurasi linus debian server for lks
Tutorial menginsatal konfigurasi linus debian server for lksTutorial menginsatal konfigurasi linus debian server for lks
Tutorial menginsatal konfigurasi linus debian server for lksBellspyk Atow
 
FreeBSD Basic Setting
FreeBSD Basic SettingFreeBSD Basic Setting
FreeBSD Basic SettingTelkom Institute of Management
 

More Related Content

What's hot

Turning tl mr 3020 into automate wireless attacker
Turning tl mr 3020 into automate wireless attackerTurning tl mr 3020 into automate wireless attacker
Turning tl mr 3020 into automate wireless attackeridsecconf
 
253030699 komponen-komputer-dan-fungsinya-pdf
253030699 komponen-komputer-dan-fungsinya-pdf253030699 komponen-komputer-dan-fungsinya-pdf
253030699 komponen-komputer-dan-fungsinya-pdfwitospd
 
Iqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospf
Iqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospfIqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospf
Iqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospfamri am
 
Backup & Restore TFTP Cisco Packet Tracert
Backup & Restore TFTP Cisco Packet TracertBackup & Restore TFTP Cisco Packet Tracert
Backup & Restore TFTP Cisco Packet TracertIrmanda Dwi Prakoso
 
Lks it networking support konfigurasi dmz port forwarding di debian
Lks it networking support konfigurasi dmz port forwarding di debianLks it networking support konfigurasi dmz port forwarding di debian
Lks it networking support konfigurasi dmz port forwarding di debianHamami InkaZo
 
Backup dan Restore file config.text Server TFTP Packet Tracer
Backup dan Restore file config.text Server TFTP Packet TracerBackup dan Restore file config.text Server TFTP Packet Tracer
Backup dan Restore file config.text Server TFTP Packet TracerRyandika Alfarishi
 
Modul 4 konfigurasi router
Modul 4 konfigurasi routerModul 4 konfigurasi router
Modul 4 konfigurasi routerThomas Ra Urus
 
Materi seminar Linux at AgITC UNAND
Materi seminar Linux at AgITC UNANDMateri seminar Linux at AgITC UNAND
Materi seminar Linux at AgITC UNANDArief Mardianto
 
Firmware hacking, slash the pineapple for fun
Firmware hacking, slash the pineapple for funFirmware hacking, slash the pineapple for fun
Firmware hacking, slash the pineapple for funidsecconf
 
002 konfigurasi - debian server
002 konfigurasi - debian server002 konfigurasi - debian server
002 konfigurasi - debian serverAthailah M Jamil
 
I pv6 dan windows
I pv6 dan windowsI pv6 dan windows
I pv6 dan windowsSutrisno P
 
Pertemuan 12. arp
Pertemuan 12. arpPertemuan 12. arp
Pertemuan 12. arpkhalghy
 

What's hot (17)

AVR di linux
AVR di linuxAVR di linux
AVR di linux
 
Laporan cisco
Laporan ciscoLaporan cisco
Laporan cisco
 
Turning tl mr 3020 into automate wireless attacker
Turning tl mr 3020 into automate wireless attackerTurning tl mr 3020 into automate wireless attacker
Turning tl mr 3020 into automate wireless attacker
 
Firewall
FirewallFirewall
Firewall
 
50 Command Prompt Linux
50 Command Prompt Linux50 Command Prompt Linux
50 Command Prompt Linux
 
253030699 komponen-komputer-dan-fungsinya-pdf
253030699 komponen-komputer-dan-fungsinya-pdf253030699 komponen-komputer-dan-fungsinya-pdf
253030699 komponen-komputer-dan-fungsinya-pdf
 
Iqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospf
Iqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospfIqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospf
Iqbal cisco-packet-tracer-konfigurasi-dynamic-routing-rip-–-eigrp-–-ospf
 
Backup & Restore TFTP Cisco Packet Tracert
Backup & Restore TFTP Cisco Packet TracertBackup & Restore TFTP Cisco Packet Tracert
Backup & Restore TFTP Cisco Packet Tracert
 
Lks it networking support konfigurasi dmz port forwarding di debian
Lks it networking support konfigurasi dmz port forwarding di debianLks it networking support konfigurasi dmz port forwarding di debian
Lks it networking support konfigurasi dmz port forwarding di debian
 
Backup dan Restore file config.text Server TFTP Packet Tracer
Backup dan Restore file config.text Server TFTP Packet TracerBackup dan Restore file config.text Server TFTP Packet Tracer
Backup dan Restore file config.text Server TFTP Packet Tracer
 
Ipv6 On Free Bsd
Ipv6 On Free BsdIpv6 On Free Bsd
Ipv6 On Free Bsd
 
Modul 4 konfigurasi router
Modul 4 konfigurasi routerModul 4 konfigurasi router
Modul 4 konfigurasi router
 
Materi seminar Linux at AgITC UNAND
Materi seminar Linux at AgITC UNANDMateri seminar Linux at AgITC UNAND
Materi seminar Linux at AgITC UNAND
 
Firmware hacking, slash the pineapple for fun
Firmware hacking, slash the pineapple for funFirmware hacking, slash the pineapple for fun
Firmware hacking, slash the pineapple for fun
 
002 konfigurasi - debian server
002 konfigurasi - debian server002 konfigurasi - debian server
002 konfigurasi - debian server
 
I pv6 dan windows
I pv6 dan windowsI pv6 dan windows
I pv6 dan windows
 
Pertemuan 12. arp
Pertemuan 12. arpPertemuan 12. arp
Pertemuan 12. arp
 

Similar to Optimized Snort IDS Testing Title

Pembahasansoallks2013
Pembahasansoallks2013Pembahasansoallks2013
Pembahasansoallks2013dedd_simbolon
 
Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASE
Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASETutorial Membangun SNORT Integrasi Terhadap MySQL dan BASE
Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASEThomas Gregory
 
Tutorial menginsatal konfigurasi linus debian server for lks
Tutorial menginsatal konfigurasi linus debian server for lksTutorial menginsatal konfigurasi linus debian server for lks
Tutorial menginsatal konfigurasi linus debian server for lksBellspyk Atow
 
Dokumentasi Instalasi Network Monitoring System Ganglia on Centos 6
Dokumentasi Instalasi Network Monitoring System Ganglia on Centos 6Dokumentasi Instalasi Network Monitoring System Ganglia on Centos 6
Dokumentasi Instalasi Network Monitoring System Ganglia on Centos 6Febi Gelar Ramadhan
 
RPM YUM RPMForge EPEL
RPM YUM RPMForge EPELRPM YUM RPMForge EPEL
RPM YUM RPMForge EPELmanafhsb
 
PENYELESAIAN UKK FIX TKJ SMK NEGERI 4 GORONTALO (2019)
PENYELESAIAN UKK FIX TKJ SMK NEGERI 4 GORONTALO (2019)PENYELESAIAN UKK FIX TKJ SMK NEGERI 4 GORONTALO (2019)
PENYELESAIAN UKK FIX TKJ SMK NEGERI 4 GORONTALO (2019)Walid Umar
 
Laporan tugas keamanan jaringan hostbased
Laporan tugas keamanan jaringan hostbasedLaporan tugas keamanan jaringan hostbased
Laporan tugas keamanan jaringan hostbasedramasatriaf
 
Mengatur rutter pada debian 5 lenny
Mengatur rutter pada debian 5 lennyMengatur rutter pada debian 5 lenny
Mengatur rutter pada debian 5 lennyAnto Wibawanto
 
9.1 gatewae server
9.1 gatewae server9.1 gatewae server
9.1 gatewae serverwayan abyong
 
Ubuntu server tutorial
Ubuntu server tutorialUbuntu server tutorial
Ubuntu server tutorialAhmad Saroni
 

Similar to Optimized Snort IDS Testing Title (20)

Laporan Keamanan Jaringan Snort IDS
Laporan Keamanan Jaringan Snort IDSLaporan Keamanan Jaringan Snort IDS
Laporan Keamanan Jaringan Snort IDS
 
Pembahasansoallks2013
Pembahasansoallks2013Pembahasansoallks2013
Pembahasansoallks2013
 
Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASE
Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASETutorial Membangun SNORT Integrasi Terhadap MySQL dan BASE
Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASE
 
Tutorial menginsatal konfigurasi linus debian server for lks
Tutorial menginsatal konfigurasi linus debian server for lksTutorial menginsatal konfigurasi linus debian server for lks
Tutorial menginsatal konfigurasi linus debian server for lks
 
FreeBSD Basic Setting
FreeBSD Basic SettingFreeBSD Basic Setting
FreeBSD Basic Setting
 
Dokumentasi Instalasi Network Monitoring System Ganglia on Centos 6
Dokumentasi Instalasi Network Monitoring System Ganglia on Centos 6Dokumentasi Instalasi Network Monitoring System Ganglia on Centos 6
Dokumentasi Instalasi Network Monitoring System Ganglia on Centos 6
 
RPM YUM RPMForge EPEL
RPM YUM RPMForge EPELRPM YUM RPMForge EPEL
RPM YUM RPMForge EPEL
 
Laporan Keamanan Jaringan Telnet
Laporan Keamanan Jaringan TelnetLaporan Keamanan Jaringan Telnet
Laporan Keamanan Jaringan Telnet
 
PENYELESAIAN UKK FIX TKJ SMK NEGERI 4 GORONTALO (2019)
PENYELESAIAN UKK FIX TKJ SMK NEGERI 4 GORONTALO (2019)PENYELESAIAN UKK FIX TKJ SMK NEGERI 4 GORONTALO (2019)
PENYELESAIAN UKK FIX TKJ SMK NEGERI 4 GORONTALO (2019)
 
Laporan Pendahuluan Firewall
Laporan Pendahuluan FirewallLaporan Pendahuluan Firewall
Laporan Pendahuluan Firewall
 
Laporan tugas keamanan jaringan hostbased
Laporan tugas keamanan jaringan hostbasedLaporan tugas keamanan jaringan hostbased
Laporan tugas keamanan jaringan hostbased
 
Artikelserver
ArtikelserverArtikelserver
Artikelserver
 
Basic mikrotik router_os
Basic mikrotik router_osBasic mikrotik router_os
Basic mikrotik router_os
 
Mengatur rutter pada debian 5 lenny
Mengatur rutter pada debian 5 lennyMengatur rutter pada debian 5 lenny
Mengatur rutter pada debian 5 lenny
 
9.1 gatewae server
9.1 gatewae server9.1 gatewae server
9.1 gatewae server
 
Ubuntu server tutorial
Ubuntu server tutorialUbuntu server tutorial
Ubuntu server tutorial
 
Pembahasan soal paket 2
Pembahasan soal paket 2Pembahasan soal paket 2
Pembahasan soal paket 2
 
FreeBSD FTP Server
FreeBSD FTP ServerFreeBSD FTP Server
FreeBSD FTP Server
 
Makalah jarkom
Makalah jarkomMakalah jarkom
Makalah jarkom
 
bakup.ppt
bakup.pptbakup.ppt
bakup.ppt
 

Optimized Snort IDS Testing Title

  • 1. 1 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Laporan Tugas Keamanan Jaringan 7 Snort IDS Percobaan: I. Perancangan i. Konfigurasi Jaringan : 1. Jaringan gateway : 192.168.0.1 2. Host OS IP : 192.168.0.100 3. Guest OS 1 IP eth0 (Bridge) : 192.168.0.101 Guest OS 1: Pertama setting pada network adapter dengan menambahkan interface lagi. Lalu setting kedua interface tersebut sebagai Bridge dan Host-Only. Kedua start virtual machine. Setelah itu pastikan jaringan eth0 sudah mendapatkan ip dari koneksi bridge. Setelah mendapatkan IP maka konfigurasi ip eth0 dan eth1 menjadi static sesuai range jaringan Wifi. Dengan perintah nano /etc/network/interfaces Kemudian restart network dengan perintah /etc/init.d/networking restart.
  • 2. 2 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I ii. Instalasi Snort Pre-Requisites Snort memiliki 4 pre-requisites utama : a. pcap (libpcap-dev) tersedia di repository Ubuntu b. PCRE (libpcre3-dev) tersedia di repository Ubuntu c. Libdnet (libdumbnet-dev) tersedia di repository Ubuntu d. DAQ (http://www.snort.org/downloads/) di compiled dari source  Build essentials package Pertama kita harus meng-install tools yang dibutuhkan untuk membangun software, Gunakan bulid-essentials package Setelah selesai, kita harus meng-install semua Snort Prequisities yang tersedia di repository Ubuntu.  Buat Folder Folder dibuat agar semua tarbals tersimpan di dalam satu tempat. Perintah : mkdir snort_src  Data AcQuisition library Snort DAQ memiliki beberapa pre-requisities yan harus di install lebih dahulu.  Download dan Install DAQ Download dan Install DAQ versi terbaru dari website Snort Perintah : :~# cd snort_src/ :~/snort_src# wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz
  • 3. 3 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I :~/snort_src# tar -xvzf daq-2.0.6.tar.gz :~/snort_src# cd daq-2.0.6 :~/snort_src/daq-2.0.6# ./configure :~/snort_src/daq-2.0.6# ./configure && make && make install :~/snort_src/daq-2.0.6# cd
  • 4. 4 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I iii. Instalasi Snort Untuk meng-install Snort di Ubuntu, dibutuhkan satu pre-requisities tambahan, yaitu : zlibg yang merupakan library compression. • Library Ada 3 library optional yang dapat meningkatkan fungsionalitas : a. liblzma-dev yang menyediakan dekompresssion dari file.swf (adobe flash), b. openssl dan c. libssl-dev yang menyediakan file signatures dari SHA dan MD5 • Download Snort Sekarang kita siap mendownload dan meng-install Snort. Opsi -- enable-sourcefire option memberikan Packet Performance Monitoring (PPM), yang memperboleh kan kita untuk memonitoring performa untuk rules dan pre-processors dan mem- build Snort seperti yang dilakukan oleh team Snort. Perintah : :~# ldconfig :~# cd snort_src/ :~/snort_src# wget https://distfiles.macports.org/snort/snort-2.9.8.3.tar.gz :~/snort_src# tar -xvzf snort-2.9.8.3.tar.gz :~/snort_src# cd snort-2.9.8.3/ :~/snort_src/snort-2.9.8.3# ./configure --enable-sourcefire && make && make install
  • 5. 5 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I :~/snort_src/snort-2.9.8.3# cd • Updata Shared Libraries Jalankan Command berikut (Jika ada error, Skip langkah ini) : Perintah : ln -s /usr/local/bin/snort /usr/sbin/snort • Snort Version iv. Konfigurasi Snort untuk Run pada Mode NIDS Karena kita tidak ingin Snort berjalan sebagi Root, Kita perlu membuan sebuah akun unprivillage dan grup untuk daemon. Buat user dan grup snort. Kita perlu membuat beberapa file dan direktori yang dibutuhkan oleh Snort, lalu menge-set permissions pada file tersebut. File configurasi dan rule ada di /etc/snort, Alerts akan di tulis kedalam /var/log/snort, Compiled rules (.so rules) akan disimpan di /usr/local/lib/snort dynamicrules. Perintah : !!! # Create the snort user and group: :~# groupadd snort :~# useradd snort -r -s /sbin/nologin -c SNORT_IDS -g snort !!! # Create the Snort directories: :~# mkdir /etc/snort :~# mkdir /etc/snort/rules :~# mkdir /etc/snort/rules/iplists :~# mkdir /etc/snort/preproc_rules :~# mkdir /usr/local/lib/snort_dynamicrules :~# mkdir /etc/snort/so_rules !!! # Create some files that stores rules and ip lists :
  • 6. 6 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I :~# touch /etc/snort/rules/iplists/black_list.rules :~# touch /etc/snort/rules/iplists/white_list.rules :~# touch /etc/snort/rules/local.rules :~# touch /etc/snort/sid-msg.map !!! # Create our logging directories: :~# mkdir /var/log/snort :~# mkdir /var/log/snort/archived_logs !!! # Adjust permissions: :~# chmod -R 5775 /etc/snort :~# chmod -R 5775 /var/log/snort :~# chmod -R 5775 /var/log/snort/archived_logs :~# chmod -R 5775 /etc/snort/so_rules :~# chmod -R 5775 /usr/local/lib/snort_dynamicrules Ubah ownership pada dalam folder Kita harus mengganti ownership dari file yang kita buat di atas dan memastikan bahwa Snort dapat mengakses file tersebut : Perintah : !!! # Change Ownership on folders: :~# chown -R snort:snort /etc/snort :~# chown -R snort:snort /var/log/snort :~# chown -R snort:snort /usr/local/lib/snort_dynamicrules Snort membutuhkan beberapa file konfigurasi dan kopian preprocessors dynamic dari tarball Snort ke dalam folder /etc/snort. File konfigurasi tersebut adalah : a. classification.config b. -file magic.conf c. reference.config d. snort.conf e. threshold.conf f. attribute table.dtd g. gen-msg.map h. unicode.map Konfigurasi file dan dynamic prosesor Untuk menyalin file konfigurasi dan preprocessors dynamic, jalakan command berikut : Perintah : :~# cd :~# cd snort_src/snort-2.9.8.3/etc/ :~/snort_src/snort-2.9.8.3/etc/# cp *.conf* /etc/snort :~/snort_src/snort-2.9.8.3/etc/# cp *.map /etc/snort :~/snort_src/snort-2.9.8.3/etc/# cp *.dtd /etc/snort :~/snort_src/snort-2.9.8.3/etc/# cd :~# cd snort_src/snort-2.9.8.3/src/dynamic- preprocessors/build/usr/local/lib/snort_dynamicpreproces sor/ :~./././# cp * /usr/local/lib/snort_dynamicpreprocessor/ :~./././# cd
  • 7. 7 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Sekarang kita harus mengikuti layout direktori dan likasi file sebagai berikut : Snort binary file: /usr/local/bin/snort Snort configuration file: /etc/snort/snort.conf Snort log data directory: /var/log/snort Snort rules directories: /etc/snort/rule /etc/snort/so rules /etc/snort/preproc rules /usr/local/lib/snort dynamicrules Snort IP list directories: /etc/snort/rules/iplists Snort dynamic preprocessors: /usr/local/lib/snort dynamicpreprocessor/ Edit Main Konfigurasi Snort Kita harus men-comment semua file rule individual yang mereferensi ke file konfigurasi Snort. Kita akan menggukana PulledPork untuk memanage ruleset yang mengkombinasikan semua rule kedalam single file. Gunakan Command berikut : Perintah : :~# sed -i "s/include $RULE_PATH/#include $RULE_PATH/" /etc/snort/snort.conf Ubah beberapa pengaturan pada Snort Kita akan menggati setting secara manual pada file snort.conf, gunakan editor favorit mu : Perintah : nano -c /etc/snort/snort.conf
  • 8. 8 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Ubah line berikut menyesuaikan dengan lingkungan mu : Line 45, HOME_NET harus cocok dengan internal (friendly) network milik anda. HOME_NET : 192.168.0.101/24 File path pada Snort Set file path seperti berikut pada snort.conf, mulai dari line ke 104 : Perintah : nano -c /etc/snort/snort.conf Uji Coba Snort Agar testing Snort berjalan dengan mudah, kita harus meng- enable kan file local rule, dimana kita bisa menambahkan rule yang bisa di alert oleh Snort. Un-Comment mulai dari line ke 546 sehingga tampak seperti di bawah : Perintah : nano -c /etc/snort/snort.conf Setelah file konfigurasi siap, kira harus membuat Snort memverifikasi apakah file tersebut valid dan semua fila terkait yang di butuhkan benar. Run Snort Lakukan perintah di bawah dan pastikan hasilnya seperti tampilan di bawah. Perintah :
  • 9. 9 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I snort -T -i eth0 -c /etc/snort/snort.conf Hasil : Nama Interface sudah berubah dan sistem nya spesifik. Dari command diatas, kamu harus mereplace eth0 dengan nama interface mu seperti yang terlihat saat kamu melakukan command ifconfig. Jangan lupa perhatikan error dan warning yang terjadi. v. Menulis Aturan Sederhana untuk Uji Coba Deteksi Snort Pada tahap ini, Snort tidak memiliki aturan yang dimuat (file aturan yang dirujuk pada snort.conf kosong). Anda dapat memverifikasi bahwa Snort belum memasukkan peraturan apapun jika Anda menscrol ke atas dari output perintah sebelumnya. Untuk menguji kemampuan deteksi Snort, mari buat aturan sederhana yang akan menyebabkan Snort menghasilkan peringatan setiap kali Snort melihat pesan ICMP "Echo request" atau "Echo reply", yang mudah dibuat dengan utilitas ping di mana-mana (ini mempermudah Pengujian aturan).  ICMP Alert Lakukan perintah ini : /etc/snort/rules/local.rules: Perintah : :~# cd /etc/snort/rules/ :~/etc/snort/rules# nano -c local.rules Barnyard2 tidak membaca meta-data tentang peringatan dari file local.rules. Tanpa informasi ini, Barnyard2 tidak akan mengetahui rincian tentang peraturan yang memicu peringatan tersebut, dan akan menghasilkan kesalahan fatal saat menambahkan peraturan baru dengan PulledPork (dilakukan pada langkah selanjutnya).
  • 10. 10 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Untuk memastikan bahwa barnyard2 tahu bahwa aturan yang kami buat dengan pengenal unik 10000001 memiliki pesan "ICMP Test Detected", serta beberapa informasi lainnya. Kami menambahkan baris berikut ke file /etc/snort/sid-msg.map. Perintah: :~/etc/snort/rules# cd .. :~/etc/snort# nano -c sid-msg.map Cd Bila Anda tidak mengomentari baris 545 di atas (sertakan $ RULE_PATH / local.rules) Anda memberi tahu Snort bahwa file local.rules harus dimuat oleh Snort. Ketika Snort memuat file itu saat start-up, ia akan melihat aturan yang Anda buat, dan menggunakan aturan itu pada semua lalu lintas yang dilihat oleh antarmuka. Dalam kasus ini, ketika kami membuat peraturan, kami memberi tahu Snort bahwa seharusnya menghasilkan peringatan saat melihat ping ICMP.  Ubah Konfigurasi Snort Lakukan pengujian ulang setelah melakukan perubahan pada Snort : Perintah: :~/etc/snort# cd :~# snort -T -c /etc/snort/snort.conf -i eth0 Kali ini jika Anda menggulir ke atas melalui output, Anda akan menemukan satu aturan itu (yang kami buat di local.rules, dan dimuat oleh perintah include di snort.conf) telah dimuat:  Mode NIDS Sekarang kita tahu bahwa Snort benar-benar menerapkan peraturan dan konfigurasi kita, kita bisa mulai mendengus dalam
  • 11. 11 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I mode NIDS, dan memberitahukannya untuk mengeluarkan peringatan apa pun ke konsol. Kami akan menjalankan Snort dari command line, menggunakan flag seperti di bawah ini : Perintah : :~# /usr/local/bin/snort –A console -q -u snort -g snort – c /etc/snort/snort.conf -i eth0 Ketika Anda menjalankan baris ini, Anda tidak akan melihat output apa pun, namun Snort sedang berjalan, memproses semua paket yang sampai pada et0 (atau antarmuka mana pun yang Anda tentukan dengan flag -i), membandingkannya dengan aturan yang telah dimuatnya (dalam hal ini Kasus aturan ICMP Ping tunggal kami), dan kemudian akan mencetak semua peringatan yang dihasilkan saat sebuah paket sesuai dengan peraturan kami ke console.  Ping Dari komputer lain, ping alamat IP eth0 di komputer Snort (atau ganti ping dari host Snort ke komputer lain, atau eth0 sendiri, tapi bukan antarmuka loopback), dan Anda akan melihat output konsol serupa dengan apa yang ditampilkan di bawah ini. (Pada contoh di bawah ini, server Snort mendengarkan eth0 dengan dan alamat IP 192.168.0.102, dan komputer yang menghasilkan ping adalah 192.168.0.100). Ping lakukan pada IP eth0 yaitu : 192.168.0.102 Hasil nya : Gunakan ctrl-c untuk menghentikan Snort agar tidak berjalan. Perhatikan bahwa Snort telah menyimpan salinan informasi ini di / var / log / snort, dengan nama snort.log.nnnnnnnnn (jumlahnya
  • 12. 12 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I mungkin berbeda). Pada titik ini Snort berjalan dengan benar dalam mode NIDS dan menghasilkan peringatan. vi. Instalasi Barnyard2  Instalasi MySQL Kami akan mengkonfigurasi Snort untuk menampilkan acara dalam bentuk biner ke folder, dan kemudian membuat Barnyard2 membaca kejadian tersebut secara asinkron dan memasukkannya ke basis data MySQL kami. Instalasi MySQL, kita akan menggunakan apt dengan mysql repository. Pertama, tambahkan sumber repositori mysql untuk mendapatkan versi MySQL terbaru. Perintah: :~# wget http://dev.mysql.com/get/mysql-apt-config_0.7.3- 1_all.deb :~# dpkg -i mysql-apt-config_0.7.3-1_all.deb Saat menambahkan source repository, Anda perlu mengatur versi MySQL yang akan diinstal dan beberapa pilihan lainnya. Dibutuhkan update beberapa file baru dari apt source. Perintah : :~# apt-get update Memasuki tahap instalasi, Selain menginstal mysql-server kita juga membutuhkan beberapa library yang berguna untuk mysql. Perintah: :~# apt-get install --force-yes mysql-server libmysqlclient-dev mysql-client autoconf libtool Selanjutnya, Set password untuk root user dari database mysql. Root password : jarkom123.
  • 13. 13 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Instalasi akan meminta Anda untuk membuat password root mysql user. Untuk contoh di bawah ini, kita akan menggunakan password jarkom123. Anda harus memilih sesuatu yang berbeda dan lebih aman, dan menyimpannya dengan aman. Kami juga akan membuat akun pengguna MySQL yang mendengus, dan kata sandi untuk akun itu adalah kata sandi jarkom123, perhatikan perbedaan antara dua kata kunci ini.  Unified2 Output Kita perlu memberitahu mendengus bahwa itu harus mengeluarkan peringatan itu dalam format biner (ke file) yang dapat diproses oleh Barnyard2. Untuk melakukannya, edit file /etc/snort/snort.conf, dan setelah baris 521 (baris komentar dimulai dengan tanda hash) tambahkan baris berikut: Perintah : :~# cd /etc/snort/ :~/etc/snort# nano -c snort.conf  Download dan install Baryard2 Sekarang download dan instal rilis Barnyard2 2.1.14 336: Perintah : :~#cd snort_src/ :~/snort_src# wget https://github.com/firnsy/barnyard2/archive/7254c247023922 88fe6be948f88afb74040f6dc9.tar.gz -O barnyard2-2-1.14- 336.tar.gz :~/snort_src# tar -zxvf barnyard2-2-1.14-336.tar.gz :~/snort_src# mv barnyard2- 7254c24702392288fe6be948f88afb74040f6dc9 barnyard2-2-1.14- 336 :~/snort_src# cd barnyard2-2-1.14-336 :~/snort_src/barnyard2-2-1.14-336# autoreconf -fvi -I ./m4
  • 14. 14 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I  Library Barnyard2 membutuhkan akses ke perpustakaan dnet.h. Namun, Barnyard2 mengharapkan nama file yang berbeda untuk perpustakaan ini. Buat soft link dari dnet.h ke dubmnet.h sehingga tidak ada masalah: Perintah : :~/snort_src/barnyard2-2-1.14-336# ln -s /usr/include/dumbnet.h /usr/include/dnet.h :~/snort_src/barnyard2-2-1.14-336# ldconfig  Konfigurasi MySQL Bergantung pada versi OS Anda (x86 atau x86 64), Anda perlu mengarahkan install ke perpustakaan MySQL yang benar. Jalankan salah satu dari dua baris berikut untuk mengkonfigurasi proses pembuatan, tergantung pada arsitektur Anda (jika Anda tidak yakin dengan arsitektur yang Anda jalankan, gunakan perintah uname -m: Perintah : :~/snort_src/barnyard2-2-1.14-336# arch !!! # Choose ONE of these two commands to run :~/snort_src/barnyard2-2-1.14-336# ./configure -- with-mysql --with-mysql- libraries=/usr/lib/x86_64-linux-gnu :~/snort_src/barnyard2-2-1.14-336# ./configure -- with-mysql --with-mysql-libraries=/usr/lib/i386- linux-gnu Arsitektur i686 maka yang dipilih adalah perintah kedua.
  • 15. 15 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I  Install Barnyard2 Sekarang selesaikan dan install Barnyard2 ke /usr/local/bin/barnyard2: Perintah : :~/snort_src/barnyard2-2-1.14-336# make :~/snort_src/barnyard2-2-1.14-336# make install CATATAN: Jika Anda mendapatkan kesalahan dnet.h pada tahap pembuatan, Anda mungkin perlu memberi tahu sistem tempat file dnet.h berada. Jalankan perintah berikut sebelum menjalankan make lagi (ini kadang-kadang dilaporkan sebagai masalah):Copy dan Paste Beberapa File yang dibutuhkan Barnyard2 untuk dijalankan: Perintah : :~/snort_src/barnyard2-2-1.14-336# cp etc/barnyard2.conf /etc/snort !!# the /var/log/barnyard2 folder is never used or referenced !!# but barnyard2 will error without it existing
  • 16. 16 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I :~/snort_src/barnyard2-2-1.14-336# mkdir /var/log/barnyard2 :~/snort_src/barnyard2-2-1.14-336# chown snort.snort /var/log/barnyard2 :~/snort_src/barnyard2-2-1.14-336# touch /var/log/snort/barnyard2.waldo :~/snort_src/barnyard2-2-1.14-336# chown snort.snort /var/log/snort/barnyard2.waldo :~/snort_src/barnyard2-2-1.14-336# cd  Buat Database Karena yang akan dilakukan Barnyard2 adalah menyimpan alert ke database MySQL, kita perlu membuat database itu, dan juga user 'snort' MySQL untuk mengakses database itu. Jalankan perintah berikut untuk membuat database dan pengguna MySQL. Saat diminta memasukkan kata sandi, gunakan 'jarkom123'. Anda juga akan mengatur password user MySQL snort di perintah mysql keempat, jadi ubah juga di sana. Perintah : :~# mysql -u root –p mysql> create database snort; mysql> use snort; mysql> source ~/snort_src/barnyard2-2-1.14- 336/schemas/create_mysql; mysql> CREATE USER 'snort' IDENTIFIED BY 'jarkom123'; mysql> grant create, insert, select, delete, update on snort.* to snort;
  • 17. 17 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I mysql> exit  Koneksi ke Database MySQL Kita perlu mengatur Barnyard2 agar tersambung ke database MySQL. Edit /etc/snort/barnyard2.conf, Dan di akhir file tambahkan baris ini (ubah kata sandi dengan yang Anda buat di atas): Line 71, 75 and 348 config interface: eth0 config alert_with_interface_name output database: alert, mysql, user=snort password=jarkom123 dbname=snort host=localhost Perintah : :~# cd /etc/snort :~/etc/snort# nano -c barnyard2.conf  Ubah Permission Karena kata sandi disimpan dalam teks mentah di file barnyard2.conf, kita harus mencegah pengguna lain membacanya: Perintah : :~/etc/snort# cd :~# chmod o-r /etc/snort/barnyard2.conf
  • 18. 18 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I  Run Snort pada Mode Alert Jalankan Snort dalam mode alert (perintah yang kita jalankan di bawah ini adalah bagaimana Snort biasanya dijalankan saat kita mengaturnya sebagai daemon, kecuali kita tidak menggunakan flag -D yang menyebabkannya dijalankan sebagai daemon). Perintah : :~# /usr/local/bin/snort -q -u snort -g snort -c /etc/snort/snort.conf -i eth0  Ping Interface eth0 Ping interface eth0 dari komputer lain, Anda tidak akan melihat output di layar karena sebelumnya Snort tidak dimulai dengan command -A. Setelah ping berhenti, ketik ctrl-c untuk menghentikan Snort. Anda harus melihat file baru di direktori / var / log / snort dengan nama berikut: snort.u2.nnnnnnnnnn (jumlahnya akan berbeda karena mereka didasarkan pada waktu sekarang. Snort.log.nnnnnnnnnn adalah file output yang kita Dibuat saat kita pertama kali menguji Snort. Anda bisa menghapus file itu kalau mau: Perintah : :~# cd :~# cd /var/log/snort :~/var/log/snort# ls -l /var/log/snort/ Hasil : Kita sekarang menjalankan Barnyard2 dan memberitahukannya untuk memproses kejadian di snort.u2.nnnnnnnnnn dan memasukkannya ke dalam database Snort.  Run Barnyard2 Perintah : :~/var/log/snort# cd :~# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort - f snort.u2 -w /var/log/snort/barnyard2.waldo -g snort -u snort
  • 19. 19 |M . R a m a s a t r i a F / 2 1 1 0 1 6 5 0 0 7 / 1 D 4 L J T I Setelah Anda menekan Ctrl-c untuk menghentikan barnyard2, ia akan mencetak informasi tentang rekaman yang diolahnya.  Cek Database MySQL Kami sekarang ingin memeriksa database MySQL untuk melihat apakah Barnyard2 menulis eventnya. Perintah : :~# mysql -u snort -p -D snort -e "select count(*) from event" Hasil : Dan dapat dilihat bahawa record database telah bertambah menjadi sebanyak 46 data.