Dasar-dasar Instalasi, Konfigurasi dan Menjalankan Snort pada Linux

Salah satu IDS (Intrusion Detection System) yang sangat populer dalam keamanan IT adalah snort. Bahkan di situs resminya (snort.org) mereka berani mengklaim sebagai standar “intrusion detection/prevention”.
Boleh diakui bahwa snort merupakan IDS yang sangat populer dan cukup ampuh digunakan para hacker dan admin di seluruh dunia.

Berikut ini adalah langkah-langkah dasar bagi pemula untuk melakukan instalasi, mengkonfigurasikan dan manjalankan snort.

1.
Download dan Instalasi PCRE
*
Sebelum diinstal snort membutuhkan PCRE (Perl Compatible Regular Expressions, http://www.pcre.org/) yang dibuat oleh Philip Hazel.

Anda bisa memperoleh PCRE di:
o
ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/
o
http://sourceforge.net/project/showfiles.php?group_id=10194
o
ftp://ftp.sourceforge.net/pub/sourceforge/p/pc/pcre/
*
Download pcpre:
wget http://easynews.dl.sourceforge.net/sourceforge/pcre/pcre-5.0.tar.gz
*
Ekstrak:
tar –xvzf pcre-5.0.tar.gz
*
Ke direktori pcpre-5.0
cd pcre-5.0
*
Pra-instalasi:
./configure
*
Kompail
make
make install
2.
Download, Instalasi dan Konfigurasi SNORT
*
Download snort
wget http://www.snort.org/dl/current/snort-2.3.3.tar.gz
*
Ekstrak:
tar -xvzf snort-2.3.3.tar.gz
*
Ke direktori snort-2.3.3
cd snort-2.3.3
*
Pra-instalasi
./configure –with-mysql (jika ingin menggunakan dbase)
*
Kompilasi:
make
make install
*
Membuat grup dan user snort
groupadd snort
useradd -g snort snort
*
Membuat direktori snort untuk keperluan log dan file biner (sistem)
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
*
Dari direktori dimana snort di ekstrak (file instal)
Copy semua file yang terdapat di direktori rules ke /etc/snort/rules
cd rules
cp * /etc/snort/rules
*
Copy semua file yang terdapat di direktori etc ke direktori /etc/snort/
cd ../etc
cp * /etc/snort
*
Modifikasi file snort.conf yang terletak di /etc/snort,
var HOME_NET 10.2.2.0/24
(Gunakan CIDR / Classless InterDomain Routing, http://www.oav.net/mirrors/cidr.html)

var EXTERNAL_NET !$HOME_NET (Semuanya keculi HOME_NET)
*
Ganti “var RULE_PATH ../rules” menjadi “var RULE_PATH /etc/snort/rules”
*
Jangan lupa menambahkan snort pada program startup (rc.local)
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort -Dde

Jika belum puas dan ingin memonitoring menggunan web dan dbase (mysql) silahkan baca manual lengkap di http://www.snort.org/docs/setup_guides/snort_base_SSL.pdf

Demikian semoga bermanfaat

@dH1

Tulis sebuah Komentar

You must be logged in to post a comment.
%d blogger menyukai ini: