Prerequisites:
1. Install apache, php dan mysql (phpmyadmin jika diperlukan)
2. Setelah mysqlnya terinstall, create user snort lebih dulu
# mysql -u root -p mysql
password:
mysql > create user 'snort'@'localhost' identified by '12345';
mysql > grant all privileges on *.* to 'snort'@'localhost' with grant option;
mysql > quit
Tips:
Pastikan anda bisa login ke mysql lewat user: snort. Just in case, you don't forget what configuration you giving for.
# mysql -u snort -p mysql
password: 12345
mysql > create database snort
mysql > quit
Install snort, snort-mysql dan acidbase:
# apt-get install snort
# apt-get -y install snort-mysql
# apt-get install acidbase
Tips:
(selalu
gunakan password yang sederhana dulu untuk memudahkan instalasi. Nanti
jika diperlukan, kita bisa ganti dengan password yang lebih kuat)
Instalasi database snort:
# cd /usr/share/doc/snort-mysql
# gunzip create_mysql.gz
# mysql -u snort -p snort < create_mysql
password: 12345
Pengaturan konfigurasi di /etc/snort/snort.conf
# vim /etc/snort/snort.conf
cari:
output database: log
ubah menjadi:
output database: log, mysql, dbname=snort user=snort password=12345 host=localhost
cari:
include database.conf
ubah menjadi
# include database.conf (di non-aktifkan)
Menjalankan snort:
# snort -c /etc/snort/snort.conf -i eth0
Pastikan
prosesnya tidak berhenti (tidak kembali ke prompt (#) lagi. (kalo butuh
terminal lagi, silahkan buka terminal baru dan jangan menutup terminal
ini).
Jika kembali ke prompt, berarti konfigurasinya ada yang salah
dan snort tidak akan running. Cek kembali /etc/snort/snort.conf anda
Tips:
eth0 adalah interface yang akan digunakan untuk mensensing serangan:
Proses instalasi acidbase via web browser:
Buka web browser kemudian ketik: http://localhost/acidbase dan ikuti step by stepnya..
Testing:
Jika semua sudah beres (tidak ada pesan error satupun), saatnya menguji apakah snort sudah bisa mendeteksi serangan atau belum.
Serangan paling sederhana adalah ping.. :)
1. stop dulu snort anda tadi dengan menekan ^c (control C)
2. buat dulu aturan (rule) ping di /etc/snort/rules/icmp.rules (ingat ping menggunakan protokol ICMP).
3. Tambahkan aturan ini di baris paling bawah:
alert
icmp any any -> any any (msg:"Ada penjahat PING. Waspadalah";
dsize:>0; reference:arachnids,246; classtype:bad-unknown; sid:49911;
rev:4;)
4. Simpan
5. Jalankan kembali snort anda
# snort -c /etc/snort/snort.rules -i eth0
6. Buka acidbase anda via browser (http://localhost/acidbase)
7. Dari komputer lain, coba ping ke alamat mesin snort anda dulu.
8. Refresh halaman acidbase di snort anda tadi.. (harusnya sudah ada statistik serangan yang terdeteksi)
Tested on ubuntu 12.04
terimakasih infonya gan. :)
ReplyDeletebagaimana kalo IDSnya diubah menjadi IPS, apakah bisa gan?..
harus ada penambahan konfigurasi dimana?.
Maaf gan baru balas..
DeletePada prinsipnya IDS itu bersifat pasif dan IPS bersifat aktif. Perbedaan di antara keduanya terletak pada aksi apa yang akan dilakukan saat ada intrusion.
Monggo bisa baca di: http://jati.stta.ac.id/2013/06/perlindungan-server-terhadap-teknik.html
terima kasih gan, ijin praktek
ReplyDeleteSilahkan..
Deletekenapa snort-mysql tidak bisa di instal?
ReplyDeleteTutorial di atas menggunakan versi ubuntu 12.04 (repositori default). Jika tidak bisa diinstall, kemungkinan nama paketnya sudah berubah atau coba cari source-nya.
DeletePermisi Mas, klo snortnya di hubungkan dengan sms atau email untuk membuat notifikasi, gimna ya mas
ReplyDeletePermisi Mas, klo snortnya di hubungkan dengan sms atau email untuk membuat notifikasi, gimna ya mas
ReplyDeleteShare tutorial IDS Suricata donk gan ...
ReplyDelete