Snort Base
Snort, salah satu Software Linux yang digunakan untuk mengetahui penyerangan. Yupz, hanya untuk mengetahui saja
bukan digunakan untuk mencegah ataupun mengamankan server. Tapi paling tidak dari snort inilah kita bisa mengetahui adanya sebuah serangan yang ditujukkan untuk kita, jadi kita bisa siap2 dalam mengamankannya. Bukankah ada sebuah ungkapan yang sangat populer sekali dikalangan seorang admin khusunya yang mengamankan server.."Know Your Enemy".
Pada pembahasan kali ini kita akan mencoba untuk memonitoring host kita, yah setidaknya untuk memastikan apakah host kita ini menjadi sasaran para isengers atau memang belum menjadi sasaran mereka.
Beberapa paket software yang harus kita siapkan
1. Apache + PHP(GD support) + Mysql
2. Base
3. Adodb
4.Snort & snortrules
Untuk instalasi webserver nya saya rasa g perlu dijelasin, karena sudah banyak di blog ini artikel2 yang membahasnya tapi yang terpenting adalah jangan sampai lupa untuk menambahkan opsi –with-gd pada saat configure php. Saya menggunakan OS Slackware 10.2 dengan apache 2.0, php 4.3.8 dan Mysql 4. << Hee, versi old school semua >>
Download snort versi 2.8 dan snortrules-snapshot di
http://www.snort.org/dl/
Download adodb496a
http://adodb.sourceforge.net/
Download base-1.2.6
http://sourceforge.net/project/showfiles.php?group_id=103348
Untuk memudahkan taruh semua download software2 tersebut pada /usr/local/src .
Instalasi Snort dan rules
Pastikan mysql sudah berjalan normal.
root@localhost# tar zxvf snort-2.8.0.tar.gz
root@localhost# cd snort-2.8.0
root@localhost# ./configure –prefix=/usr/local/snort –enable-dynamicplugin –with-mysql=/usr/local/mysql
root@localhost# make && make install
root@localhost# joe /usr/local/src/snort-2.8.0/schemas/create_mysql
tambahkan beberapa syntax berikut:
CREATE DATABASE snort;
USE snort;
Jika gagal periksa kembali paket2 dari instalasi linux yang dibutuhkan untuk compile snort
Jika tidak ada error lanjutkan langkah berikut :
root@localhost# mysql -u root -p < /usr/local/src/snort-2.8.0/schemas/create_mysql
root@localhost# cp -Rv * /usr/local/src/snort-2.8.0/etc /etc/snort
root@localhost# cd /usr/loca/src
root@localhost# tar zxvf snortrules.snapshot.tar.gz
root@localhost# mv rules /etc/snort
root@localhost# joe /etc/snort/snort.conf
Kemudian ubah beberapa parameter berikut:
var HOME_NET any menjadi var HOME_NET [ip jaringan anda.ex:192.168.100.0/28]
var RULE_PATH …/rules menjadi var RULE_PATH /etc/snort/rules
uncomment/Hilangakan tanda pagar output database: log, mysql, user=root password=123 dbname=snort …. Kemudian sesuaikan dengan username dan password mysql anda.
Jalankan snort yang tadi kita konfigurasi
root@localhost# /usr/local/snort/bin/snort -c /etc/snort/snort.conf -D
Jika tidak ada error mari kita lanjutkan… Selanjutnya adalah mengkonfigurasi snort dengan base agar dapat saling berhubungan.
root@localhost# cd /usr/local/src
root@localhost# mv adodb496a.tgz adodb469a.tar.gz
root@localhost# tar zxvf adodb469a.tar.gz
root@localhost# mv adodb /var/www/
root@localhost# tar zxvf base-1.2.6.tar.gz
root@localhost# mv base-1.2.6 /var/www/html/base <==kopikan di Documentroot webserver
Selanjutnya buka browser anda dan silahkan mengikuti instruksi selanjutnya dari browser anda tersebut.
Selamat memonitoring host anda.
