PENDAHULUAN
Melanjutkan Postingan sebelumt nya, saya akan berbabgi konfigurasi Snort di debian 8 sebagai IDS.
TUJUAN
Dapat mengkonfigurasi snort IDS Mode.
WAKTU PELAKSAAN
10 - 15 Menit
BAHAN PELAKSANAAN
- Server yang telah terinstall Snort.
- Brainware
- Koneksi Internet
RANGKAIAN PELAKSANAAN
PENGALOKASIAN DIREKTORI DAN FILE UNTUK KONFIGURASI SNORT
Tahapan ini diperlukan pembuatan direktori untuk menyimpan beberapa file konfigurasi dan membuat file untuk kebutuhan custom rule. Berikut ini perintah untuk membuat direktori dan file untuk snort (gunakan hak akses #root)
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /etc/snort/preproc_rule
touch /etc/snort/rules/white_list.rule
/etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
(* mulai dari perintah “touch” penulisan tidak di-enter. Teruskan sampai akhir.)
Semua layanan membutuhkan log file, bahkan Snort tidak bisa lepas dari log file karena log menyimpan informasi penting yang dapat membantu Administrator untuk melakukan pengecekan terhadap kondisi jaringan hanya melalui log file ini. Secara default sistem Linux telah menyertakan direktori log yang berada di /var/log. Agar lebih mudah dalam melakukan pengecekan kita buat direktori khusus “snort” untuk menampung semua log dari snort, alert maupun error. Gunakan perintah berikut
mkdir /var/log/snort
Untuk kebutuhan rule yang dinamis, snort memerlukan satu direktori khusus, dan snort akan meminta untuk mengincludekan. Gunakan perintah berikut
mkdir /usr/local/lib/snort_dynamicrules
Jika pembuatan direktori telah selesai, lakukan perubahan hak akses dengan mengetikkan perintah berikut
chmod -R 775 /etc/snort
chmod -R 775 /var/log/snort
chmod -R 775 /usr/local/lib/snort_dynamicrules
Selanjutnya kita perlu meng-copy-paste-kan semua file konfigurasi yang ada di direktori hasil ekstrak-an snort (lihat tutorial Instalasi Snort di Debian 8 Jessie). Agar mudah dalam pengkonfigurasian serta agar lebih terstruktur. Pada proses ini pastikan posisi direktori berada di direktori root yang ditunjukkan dengan root@debian:~# sehingga posisi direktori ekstrak-an snort berada di /root/snort/snort-9.9.0, gunakan perintah berikut
cp snort/snort-2.9.9.0/snort*/etc/*.conf* /etc/snort
cp snort/snort-2.9.9.0/snort*/etc/*.map /etc/snort
Sampai disini persiapan konfigurasi telah selesai, mari kita lanjutkan ke tahapan Konfigurasi Snort yang sesungguhnya.
KONFIGURASI SNORT
Pada konfigurasi ini saya menggunakan IP dari hasil tethering dengan range IP 192.168.43.0/24. IP Network ini berguna untuk menspesifikkan jaringan mana yang ingin dilakukan deteksi dan proteksi.
File konfigurasi utama berada di /etc/snort/snort.conf gunakan perintah berikut untuk mengkonfigurasi
nano /etc/snort/snort.conf
Pertama, Lakukan perubahan nilai pada HOME_NET dengan mengganti kata any menjadi IP Network. Cari (gunakan CTRL+W) ipvar HOME_NET dan rubah hingga menjadi seperti berikut
ipvar HOME_NET 192.168.43.0/24
Kedua, lakukan perubahan path direktori pada variable RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH dan BLACK_LIST_PATH hingga menjadi seperti berikut
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rule
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules
Ketiga, lakukan perubahan path direktori log (config logdir) agar saat menjalankan snort tidak harus menyertakan opsi -l /var/log/snort. Hilangkan tanpa pagar (#) dan tambahkan path direktorinya
config logdir:/var/log/snort
Keempat, lakukan konfigurasi output dari snort (berupa log alert). Pada bagian ini, cari configure output plugin dan tambahkan baris berikut dibawah # syslog
output alert_syslog: alert
Kelima, tentukan rule yang akan digunakan, dalam kasus ini saya akan menggunakan file local.rules yang berada di /etc/snort/rules. Cari (Ctrl + W) dan hilangkan tanda pagar (#) pada include $RULE_PATH/local.rules dan berikan tanda pagar pada rule selain local.rules (mulai baris 545 s/d 660).
Simpan konfigurasi dengan Ctrl + X, Y, enter.
PENGALOKASIAN DIREKTORI DAN FILE UNTUK KONFIGURASI SNORT
Tahapan ini diperlukan pembuatan direktori untuk menyimpan beberapa file konfigurasi dan membuat file untuk kebutuhan custom rule. Berikut ini perintah untuk membuat direktori dan file untuk snort (gunakan hak akses #root)
mkdir /etc/snortmkdir /etc/snort/rulesmkdir /etc/snort/preproc_ruletouch /etc/snort/rules/white_list.rule/etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
(* mulai dari perintah “touch” penulisan tidak di-enter. Teruskan sampai akhir.)
Semua layanan membutuhkan log file, bahkan Snort tidak bisa lepas dari log file karena log menyimpan informasi penting yang dapat membantu Administrator untuk melakukan pengecekan terhadap kondisi jaringan hanya melalui log file ini. Secara default sistem Linux telah menyertakan direktori log yang berada di /var/log. Agar lebih mudah dalam melakukan pengecekan kita buat direktori khusus “snort” untuk menampung semua log dari snort, alert maupun error. Gunakan perintah berikut
mkdir /var/log/snort
Untuk kebutuhan rule yang dinamis, snort memerlukan satu direktori khusus, dan snort akan meminta untuk mengincludekan. Gunakan perintah berikut
mkdir /usr/local/lib/snort_dynamicrules
Jika pembuatan direktori telah selesai, lakukan perubahan hak akses dengan mengetikkan perintah berikut
chmod -R 775 /etc/snortchmod -R 775 /var/log/snortchmod -R 775 /usr/local/lib/snort_dynamicrules
Selanjutnya kita perlu meng-copy-paste-kan semua file konfigurasi yang ada di direktori hasil ekstrak-an snort (lihat tutorial Instalasi Snort di Debian 8 Jessie). Agar mudah dalam pengkonfigurasian serta agar lebih terstruktur. Pada proses ini pastikan posisi direktori berada di direktori root yang ditunjukkan dengan root@debian:~# sehingga posisi direktori ekstrak-an snort berada di /root/snort/snort-9.9.0, gunakan perintah berikut
cp snort/snort-2.9.9.0/snort*/etc/*.conf* /etc/snortcp snort/snort-2.9.9.0/snort*/etc/*.map /etc/snort
Sampai disini persiapan konfigurasi telah selesai, mari kita lanjutkan ke tahapan Konfigurasi Snort yang sesungguhnya.
KONFIGURASI SNORT
Pada konfigurasi ini saya menggunakan IP dari hasil tethering dengan range IP 192.168.43.0/24. IP Network ini berguna untuk menspesifikkan jaringan mana yang ingin dilakukan deteksi dan proteksi.
File konfigurasi utama berada di /etc/snort/snort.conf gunakan perintah berikut untuk mengkonfigurasi
nano /etc/snort/snort.conf
Pertama, Lakukan perubahan nilai pada HOME_NET dengan mengganti kata any menjadi IP Network. Cari (gunakan CTRL+W) ipvar HOME_NET dan rubah hingga menjadi seperti berikut
ipvar HOME_NET 192.168.43.0/24
Kedua, lakukan perubahan path direktori pada variable RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH dan BLACK_LIST_PATH hingga menjadi seperti berikut
var RULE_PATH /etc/snort/rulesvar SO_RULE_PATH /etc/snort/so_rulevar PREPROC_RULE_PATH /etc/snort/preproc_rulesvar WHITE_LIST_PATH /etc/snort/rulesvar BLACK_LIST_PATH /etc/snort/rules
Ketiga, lakukan perubahan path direktori log (config logdir) agar saat menjalankan snort tidak harus menyertakan opsi -l /var/log/snort. Hilangkan tanpa pagar (#) dan tambahkan path direktorinya
config logdir:/var/log/snort
Keempat, lakukan konfigurasi output dari snort (berupa log alert). Pada bagian ini, cari configure output plugin dan tambahkan baris berikut dibawah # syslog
output alert_syslog: alert
Kelima, tentukan rule yang akan digunakan, dalam kasus ini saya akan menggunakan file local.rules yang berada di /etc/snort/rules. Cari (Ctrl + W) dan hilangkan tanda pagar (#) pada include $RULE_PATH/local.rules dan berikan tanda pagar pada rule selain local.rules (mulai baris 545 s/d 660).
Simpan konfigurasi dengan Ctrl + X, Y, enter.
No comments:
Post a Comment