TUTORIAL SNORT UNTUK IDS

Oleh: Eva Charismanty

IDS

Deteksi penyusupan (Intrusion Detection) adalah aktivitas untuk

mendeteksi penyusupan secara cepat dengan menggunakan program khusus.

Program yang digunakan untuk pendeteksian disebut sebagai IDS (Intrusion

Detection System (IDS).

Tipe Dasar IDS adalah

• Rule-based systems, berdasarkan atas database dari tanda

penyusupan atau serangan yang telah dikenal. Jika IDS

mendeteksi Kemudian lintas sesuai dengan data dari database,

maka pendeteksian tersebut langsung dikategorikan sebagai

penyusupan.

• Adaptive systems, sama seperti Rule-based tetapi ditambah

dengan teknik lain yaitu membuka kemungkinan untuk mendeteksi

metode penyusupan yang baru.

Pendekatan yang digunakan dalam rule-based system ada dua, yaitu

Preemptory (pencegahan) dan Reactionary (reaksi). Perbedaan dari kdua

pendekatan tersebut adalah dalam waktu saja. Dalam Preemptory akan

memperhatikan semua Kemudian-lintas jaringan. Apabila paket mencurigakan

ditemukan maka program akan melakukan tindakan yang sesuai dengan paket

mencurigakan tersebut. Reactionary, program hanya mengamati log. Jika

ditemukan paket mencurigakan, program akan melakukan tindakan sesuai

dengan paket tersebut.

SNORT

Snort adalah deteksi intrusi jaringan dan sistem pencegahan. Ini adalah

teknologi yang paling banyak digunakan dari jenisnya di dunia. Ia melakukan

deteksi dengan menggunakan berbagai metode, termasuk aturan-berbasis

deteksi, deteksi anomali, dan analisis heuristik Kemudian lintas jaringan.

Aturan bahasa adalah open source dan tersedia untuk umum juga.

Langkah – langkah Install pada Snort

1. Masuk ke terminal root pada debian anda.

2. Ketik Apt-get install snort-mysql

3. Masukkan any, Kemudian tekan OK

3.Tekan OK

4. pilihlah No pada Set up a database

Jikaterjadi error, makadibiarkansajauntuksementara

Sekarang kita akan masuk ke MySql

1.Kemudian tulismysql –u root –p Kemudian masukkan password user root.

2.Kemudian tulis create database snort;

3.Kemudian tulis

grant all on snort.* to snortuser@localhost identified by 'snortpassword';

4. Kemudian tulis flush privileges; dan exit

Import table ke dalam mysql,

1. cd /usr/share/doc/snort-mysql

2. Kemudian tulis gzip –d /usr/share/doc/snort-mysql/create_mysql.gz

3. Kemudian tulis

mysql -u root -p snort < /usr/share/doc/snort-mysql/create_mysql

Kemudian masukkan password.

Untuk melihat apakah table sudah diimpor atau belum, kita masuk ke mysql

1. mysql –u snortuser –p (untuk password masukkan snortpassword) <- m

asuk mysql

menggunakan user yang bernama snortuser dengan password snortpasswo

rd

2. Kemudian tulis di terminal show databases;

3. Kemudian tulis use snort;

4. Kemudian tulis show tables;

5. Sintax exit; untuk keluar

Konfigurasi Snort

1. Kemudian tulis pico /etc/snort/snort.conf

2. Untuk lebih mudah gunakan search yaitu CTRL+W Kemudian Sintaks dbs

tart

Ketik

output database: log, mysql, user=snortuser password=snortpassword

dbname=snort host=localhostantara (#DBSTART#) dengan (#DBBEND#),

4.Cari

kata-> redalert,Hilangkan tanda comment (#) dari bagian ruletype redalert{}

5.Ganti bagian output database dari ruletype redalert{}

dengan : output database: log, mysql, user=snortuser password=snortpas

sword

host=localhost

dbname=snort

6.Kemudian kita jalankan Snort dengan perintah : snort –u snort –c /etc/sn

ort/snort.conf

7.CTRL+c untuk mengakhiri

8. Buka file crontab dan edit

Kemudian tulis pico /etc/crontab

9. tambahkan perintah dibawah ini di baris paling akhir.

@reboot root snort -u snort -c /etc/snort/snort.conf >> /dev/null

10. reboot lagi, maka pesan error tetap akan tampil

11. Kemudian tulis rm /etc/snort/db-pending-config

12. Kemudian tulis

pico /etc/default/snortpada bagian paling bawah, ubah nilai bagian ALLOW_U

NAVAILABLE dari no menjadi yes

13. save kemudian exit

14. Kemudian tulis pico /etc/snort/snort.conf

cari bagian eth0 di (var HOME_NET $eth0_ADDRESS)

hilangkan tanda comment (#), ganti eth0 jadi eth1

hasil akhir seperti gambar dibawah ini

15. Kemudian tulis dpkg --configure --pending

16. Kemudian tulis dpkg-reconfigure snort-mysql

17. Pilih boot, Kemudian OK

18. Pilih OK

19. Mengubah eth0 ke eth1

20. pada textfield tersebut tetap “any___”

21. Pilih NO

22. Testing pilih NO

23. Biarkan kosong, OK

24. Email, pilih NO

25. pilih OK

26. pilih NO

Instalasi ACIDBASE

1. Ketikapt-get install acidbase

2.klik OK

2. Pilih OK

3. Create database, Pilih NO

4. Kemudian tulis pico /etc/acidbase/database.php

5. Isi bagian ‘’ seperti di bawah ini:

7.Save and exit

8.Sintaks: pico /etc/apache2/sites-available/default

taruh kursor diatas </VirtualHost>, Kemudian CTRL+R,

Sintaks: /etc/acidbase/apache.conf

Create a symbolic link to the BASE* IDS monitoring web

application in the /var/www/ directory.

*BASE = Basic Analysis and Secure Engine

1.cd /var/www/

2.Kemudian tulis ln -ss /usr/share/acidbase

3.reboot

Konfigurasi BASE di browser

1. buka browser di windows, masukkan http://(ip address linux masing2)/acid

base/

2. Klik pada Setup Page

2. Klik Create BASE AG

3. Jika sukses maka akan muncul seperti gambar dibawah ini

4.Klik Main page

Gambar berikut ini adalah Main page tampilan yang diinformasikan oleh

SNORT pada semua kegiatan monitoring yang dilakukan.