TUTORIAL SNORT UNTUK IDS Oleh: Eva Charismanty IDS Deteksi penyusupan (Intrusion Detection) adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus. Program yang digunakan untuk pendeteksian disebut sebagai IDS (Intrusion Detection System (IDS). Tipe Dasar IDS adalah • Rule-based systems, berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mendeteksi Kemudian lintas sesuai dengan data dari database, maka pendeteksian tersebut langsung dikategorikan sebagai penyusupan. • Adaptive systems, sama seperti Rule-based tetapi ditambah dengan teknik lain yaitu membuka kemungkinan untuk mendeteksi metode penyusupan yang baru. Pendekatan yang digunakan dalam rule-based system ada dua, yaitu Preemptory (pencegahan) dan Reactionary (reaksi). Perbedaan dari kdua pendekatan tersebut adalah dalam waktu saja. Dalam Preemptory akan memperhatikan semua Kemudian-lintas jaringan. Apabila paket mencurigakan ditemukan maka program akan melakukan tindakan yang sesuai dengan paket mencurigakan tersebut. Reactionary, program hanya mengamati log. Jika ditemukan paket mencurigakan, program akan melakukan tindakan sesuai dengan paket tersebut. SNORT Snort adalah deteksi intrusi jaringan dan sistem pencegahan. Ini adalah teknologi yang paling banyak digunakan dari jenisnya di dunia. Ia melakukan deteksi dengan menggunakan berbagai metode, termasuk aturan-berbasis deteksi, deteksi anomali, dan analisis heuristik Kemudian lintas jaringan.
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
TUTORIAL SNORT UNTUK IDS
Oleh: Eva Charismanty
IDS
Deteksi penyusupan (Intrusion Detection) adalah aktivitas untuk
mendeteksi penyusupan secara cepat dengan menggunakan program khusus.
Program yang digunakan untuk pendeteksian disebut sebagai IDS (Intrusion
Detection System (IDS).
Tipe Dasar IDS adalah
• Rule-based systems, berdasarkan atas database dari tanda
penyusupan atau serangan yang telah dikenal. Jika IDS
mendeteksi Kemudian lintas sesuai dengan data dari database,
maka pendeteksian tersebut langsung dikategorikan sebagai
penyusupan.
• Adaptive systems, sama seperti Rule-based tetapi ditambah
dengan teknik lain yaitu membuka kemungkinan untuk mendeteksi
metode penyusupan yang baru.
Pendekatan yang digunakan dalam rule-based system ada dua, yaitu
Preemptory (pencegahan) dan Reactionary (reaksi). Perbedaan dari kdua
pendekatan tersebut adalah dalam waktu saja. Dalam Preemptory akan
memperhatikan semua Kemudian-lintas jaringan. Apabila paket mencurigakan
ditemukan maka program akan melakukan tindakan yang sesuai dengan paket
mencurigakan tersebut. Reactionary, program hanya mengamati log. Jika
ditemukan paket mencurigakan, program akan melakukan tindakan sesuai
dengan paket tersebut.
SNORT
Snort adalah deteksi intrusi jaringan dan sistem pencegahan. Ini adalah
teknologi yang paling banyak digunakan dari jenisnya di dunia. Ia melakukan
deteksi dengan menggunakan berbagai metode, termasuk aturan-berbasis
deteksi, deteksi anomali, dan analisis heuristik Kemudian lintas jaringan.
Aturan bahasa adalah open source dan tersedia untuk umum juga.
Langkah – langkah Install pada Snort
1. Masuk ke terminal root pada debian anda.
2. Ketik Apt-get install snort-mysql
3. Masukkan any, Kemudian tekan OK
3.Tekan OK
4. pilihlah No pada Set up a database
Jikaterjadi error, makadibiarkansajauntuksementara
Sekarang kita akan masuk ke MySql
1.Kemudian tulismysql –u root –p Kemudian masukkan password user root.
2.Kemudian tulis create database snort;
3.Kemudian tulis
grant all on snort.* to snortuser@localhost identified by 'snortpassword';
4. Kemudian tulis flush privileges; dan exit
Import table ke dalam mysql,
1. cd /usr/share/doc/snort-mysql
2. Kemudian tulis gzip –d /usr/share/doc/snort-mysql/create_mysql.gz
3. Kemudian tulis
mysql -u root -p snort < /usr/share/doc/snort-mysql/create_mysql
Kemudian masukkan password.
Untuk melihat apakah table sudah diimpor atau belum, kita masuk ke mysql
1. mysql –u snortuser –p (untuk password masukkan snortpassword) <- m
asuk mysql
menggunakan user yang bernama snortuser dengan password snortpasswo
rd
2. Kemudian tulis di terminal show databases;
3. Kemudian tulis use snort;
4. Kemudian tulis show tables;
5. Sintax exit; untuk keluar
Konfigurasi Snort
1. Kemudian tulis pico /etc/snort/snort.conf
2. Untuk lebih mudah gunakan search yaitu CTRL+W Kemudian Sintaks dbs
tart
Ketik
output database: log, mysql, user=snortuser password=snortpassword
dbname=snort host=localhostantara (#DBSTART#) dengan (#DBBEND#),
4.Cari
kata-> redalert,Hilangkan tanda comment (#) dari bagian ruletype redalert{}
5.Ganti bagian output database dari ruletype redalert{}
dengan : output database: log, mysql, user=snortuser password=snortpas
sword
host=localhost
dbname=snort
6.Kemudian kita jalankan Snort dengan perintah : snort –u snort –c /etc/sn
ort/snort.conf
7.CTRL+c untuk mengakhiri
8. Buka file crontab dan edit
Kemudian tulis pico /etc/crontab
9. tambahkan perintah dibawah ini di baris paling akhir.
@reboot root snort -u snort -c /etc/snort/snort.conf >> /dev/null
10. reboot lagi, maka pesan error tetap akan tampil
11. Kemudian tulis rm /etc/snort/db-pending-config
12. Kemudian tulis
pico /etc/default/snortpada bagian paling bawah, ubah nilai bagian ALLOW_U
NAVAILABLE dari no menjadi yes
13. save kemudian exit
14. Kemudian tulis pico /etc/snort/snort.conf
cari bagian eth0 di (var HOME_NET $eth0_ADDRESS)
hilangkan tanda comment (#), ganti eth0 jadi eth1
hasil akhir seperti gambar dibawah ini
15. Kemudian tulis dpkg --configure --pending
16. Kemudian tulis dpkg-reconfigure snort-mysql
17. Pilih boot, Kemudian OK
18. Pilih OK
19. Mengubah eth0 ke eth1
20. pada textfield tersebut tetap “any___”
21. Pilih NO
22. Testing pilih NO
23. Biarkan kosong, OK
24. Email, pilih NO
25. pilih OK
26. pilih NO
Instalasi ACIDBASE
1. Ketikapt-get install acidbase
2.klik OK
2. Pilih OK
3. Create database, Pilih NO
4. Kemudian tulis pico /etc/acidbase/database.php
5. Isi bagian ‘’ seperti di bawah ini:
7.Save and exit
8.Sintaks: pico /etc/apache2/sites-available/default
taruh kursor diatas </VirtualHost>, Kemudian CTRL+R,
Sintaks: /etc/acidbase/apache.conf
Create a symbolic link to the BASE* IDS monitoring web
application in the /var/www/ directory.
*BASE = Basic Analysis and Secure Engine
1.cd /var/www/
2.Kemudian tulis ln -ss /usr/share/acidbase
3.reboot
Konfigurasi BASE di browser
1. buka browser di windows, masukkan http://(ip address linux masing2)/acid
base/
2. Klik pada Setup Page
2. Klik Create BASE AG
3. Jika sukses maka akan muncul seperti gambar dibawah ini
4.Klik Main page
Gambar berikut ini adalah Main page tampilan yang diinformasikan oleh
SNORT pada semua kegiatan monitoring yang dilakukan.
Related Documents
