Instalasi snort snort-mysql dan acidbase di ubuntu 12.04
Prerequisites:
1. Install apache, php dan mysql (phpmyadmin jika diperlukan)
2. Setelah mysqlnya terinstall, create user snort lebih dulu
# mysql -u root -p mysql
password:
mysql > create user 'snort'@'localhost' identified by '12345';
mysql > grant all privileges on *.* to 'snort'@'localhost' with grant option;
mysql > quit
Tips:
Pastikan anda bisa login ke mysql lewat user: snort. Just in case, you don't forget what configuration you giving for.
# mysql -u snort -p mysql
password: 12345
mysql > create database snort
mysql > quit
Install snort, snort-mysql dan acidbase:
# apt-get install snort
# apt-get -y install snort-mysql
# apt-get install acidbase
Tips:
(selalu gunakan password yang sederhana dulu untuk memudahkan instalasi. Nanti jika diperlukan, kita bisa ganti dengan password yang lebih kuat)
Instalasi database snort:
# cd /usr/share/doc/snort-mysql
# gunzip create_mysql.gz
# mysql -u snort -p snort < create_mysql
password: 12345
Pengaturan konfigurasi di /etc/snort/snort.conf
# vim /etc/snort/snort.conf
cari:
output database: log
ubah menjadi:
output database: log, mysql, dbname=snort user=snort password=12345 host=localhost
cari:
include database.conf
ubah menjadi
# include database.conf (di non-aktifkan)
Menjalankan snort:
# snort -c /etc/snort/snort.conf -i eth0
Pastikan prosesnya tidak berhenti (tidak kembali ke prompt (#) lagi. (kalo butuh terminal lagi, silahkan buka terminal baru dan jangan menutup terminal ini).
Jika kembali ke prompt, berarti konfigurasinya ada yang salah dan snort tidak akan running. Cek kembali /etc/snort/snort.conf anda
Tips:
eth0 adalah interface yang akan digunakan untuk mensensing serangan:
Proses instalasi acidbase via web browser:
Buka web browser kemudian ketik: http://localhost/acidbase dan ikuti step by stepnya..
Testing:
Jika semua sudah beres (tidak ada pesan error satupun), saatnya menguji apakah snort sudah bisa mendeteksi serangan atau belum.
Serangan paling sederhana adalah ping.. :)
1. stop dulu snort anda tadi dengan menekan ^c (control C)
2. buat dulu aturan (rule) ping di /etc/snort/rules/icmp.rules (ingat ping menggunakan protokol ICMP).
3. Tambahkan aturan ini di baris paling bawah:
alert icmp any any -> any any (msg:"Ada penjahat PING. Waspadalah"; dsize:>0; reference:arachnids,246; classtype:bad-unknown; sid:49911; rev:4;)
4. Simpan
5. Jalankan kembali snort anda
# snort -c /etc/snort/snort.rules -i eth0
6. Buka acidbase anda via browser (http://localhost/acidbase)
7. Dari komputer lain, coba ping ke alamat mesin snort anda dulu.
8. Refresh halaman acidbase di snort anda tadi.. (harusnya sudah ada statistik serangan yang terdeteksi)
Tested on ubuntu 12.04
1. Install apache, php dan mysql (phpmyadmin jika diperlukan)
2. Setelah mysqlnya terinstall, create user snort lebih dulu
# mysql -u root -p mysql
password:
mysql > create user 'snort'@'localhost' identified by '12345';
mysql > grant all privileges on *.* to 'snort'@'localhost' with grant option;
mysql > quit
Tips:
Pastikan anda bisa login ke mysql lewat user: snort. Just in case, you don't forget what configuration you giving for.
# mysql -u snort -p mysql
password: 12345
mysql > create database snort
mysql > quit
Install snort, snort-mysql dan acidbase:
# apt-get install snort
# apt-get -y install snort-mysql
# apt-get install acidbase
Tips:
(selalu gunakan password yang sederhana dulu untuk memudahkan instalasi. Nanti jika diperlukan, kita bisa ganti dengan password yang lebih kuat)
Instalasi database snort:
# cd /usr/share/doc/snort-mysql
# gunzip create_mysql.gz
# mysql -u snort -p snort < create_mysql
password: 12345
Pengaturan konfigurasi di /etc/snort/snort.conf
# vim /etc/snort/snort.conf
cari:
output database: log
ubah menjadi:
output database: log, mysql, dbname=snort user=snort password=12345 host=localhost
cari:
include database.conf
ubah menjadi
# include database.conf (di non-aktifkan)
Menjalankan snort:
# snort -c /etc/snort/snort.conf -i eth0
Pastikan prosesnya tidak berhenti (tidak kembali ke prompt (#) lagi. (kalo butuh terminal lagi, silahkan buka terminal baru dan jangan menutup terminal ini).
Jika kembali ke prompt, berarti konfigurasinya ada yang salah dan snort tidak akan running. Cek kembali /etc/snort/snort.conf anda
Tips:
eth0 adalah interface yang akan digunakan untuk mensensing serangan:
Proses instalasi acidbase via web browser:
Buka web browser kemudian ketik: http://localhost/acidbase dan ikuti step by stepnya..
Testing:
Jika semua sudah beres (tidak ada pesan error satupun), saatnya menguji apakah snort sudah bisa mendeteksi serangan atau belum.
Serangan paling sederhana adalah ping.. :)
1. stop dulu snort anda tadi dengan menekan ^c (control C)
2. buat dulu aturan (rule) ping di /etc/snort/rules/icmp.rules (ingat ping menggunakan protokol ICMP).
3. Tambahkan aturan ini di baris paling bawah:
alert icmp any any -> any any (msg:"Ada penjahat PING. Waspadalah"; dsize:>0; reference:arachnids,246; classtype:bad-unknown; sid:49911; rev:4;)
4. Simpan
5. Jalankan kembali snort anda
# snort -c /etc/snort/snort.rules -i eth0
6. Buka acidbase anda via browser (http://localhost/acidbase)
7. Dari komputer lain, coba ping ke alamat mesin snort anda dulu.
8. Refresh halaman acidbase di snort anda tadi.. (harusnya sudah ada statistik serangan yang terdeteksi)
Tested on ubuntu 12.04
terimakasih infonya gan. :)
bagaimana kalo IDSnya diubah menjadi IPS, apakah bisa gan?..
harus ada penambahan konfigurasi dimana?.
Maaf gan baru balas..
Pada prinsipnya IDS itu bersifat pasif dan IPS bersifat aktif. Perbedaan di antara keduanya terletak pada aksi apa yang akan dilakukan saat ada intrusion.
Monggo bisa baca di: http://jati.stta.ac.id/2013/06/perlindungan-server-terhadap-teknik.html
terima kasih gan, ijin praktek
Silahkan..
kenapa snort-mysql tidak bisa di instal?
Tutorial di atas menggunakan versi ubuntu 12.04 (repositori default). Jika tidak bisa diinstall, kemungkinan nama paketnya sudah berubah atau coba cari source-nya.
Permisi Mas, klo snortnya di hubungkan dengan sms atau email untuk membuat notifikasi, gimna ya mas
Permisi Mas, klo snortnya di hubungkan dengan sms atau email untuk membuat notifikasi, gimna ya mas
Share tutorial IDS Suricata donk gan ...