Salah satu IDS (Intrusion Detection System) yang sangat populer dalam keamanan IT adalah snort. Bahkan di situs resminya (snort.org) mereka berani mengklaim sebagai standar "intrusion detection/prevention".
Boleh diakui bahwa snort merupakan IDS yang sangat populer dan cukup ampuh digunakan para hacker dan admin di seluruh dunia.
Berikut ini adalah langkah-langkah dasar bagi pemula untuk melakukan instalasi, mengkonfigurasikan dan manjalankan snort.
1.
Download dan Instalasi PCRE
*
Sebelum diinstal snort membutuhkan PCRE (Perl Compatible Regular Expressions, http://www.pcre.org/) yang dibuat oleh Philip Hazel.
Anda bisa memperoleh PCRE di:
o
ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/
o
http://sourceforge.net/project/showfiles.php?group_id=10194
o
ftp://ftp.sourceforge.net/pub/sourceforge/p/pc/pcre/
*
Download pcpre:
wget http://easynews.dl.sourceforge.net/sourceforge/pcre/pcre-5.0.tar.gz
*
Ekstrak:
tar –xvzf pcre-5.0.tar.gz
*
Ke direktori pcpre-5.0
cd pcre-5.0
*
Pra-instalasi:
./configure
*
Kompail
make
make install
2.
Download, Instalasi dan Konfigurasi SNORT
*
Download snort
wget http://www.snort.org/dl/current/snort-2.3.3.tar.gz
*
Ekstrak:
tar -xvzf snort-2.3.3.tar.gz
*
Ke direktori snort-2.3.3
cd snort-2.3.3
*
Pra-instalasi
./configure --with-mysql (jika ingin menggunakan dbase)
*
Kompilasi:
make
make install
*
Membuat grup dan user snort
groupadd snort
useradd -g snort snort
*
Membuat direktori snort untuk keperluan log dan file biner (sistem)
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /var/log/snort
*
Dari direktori dimana snort di ekstrak (file instal)
Copy semua file yang terdapat di direktori rules ke /etc/snort/rules
cd rules
cp * /etc/snort/rules
*
Copy semua file yang terdapat di direktori etc ke direktori /etc/snort/
cd ../etc
cp * /etc/snort
*
Modifikasi file snort.conf yang terletak di /etc/snort,
var HOME_NET 10.2.2.0/24
(Gunakan CIDR / Classless InterDomain Routing, http://www.oav.net/mirrors/cidr.html)
var EXTERNAL_NET !$HOME_NET (Semuanya keculi HOME_NET)
*
Ganti "var RULE_PATH ../rules" menjadi "var RULE_PATH /etc/snort/rules"
*
Jangan lupa menambahkan snort pada program startup (rc.local)
/usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g snort -Dde
Jika belum puas dan ingin memonitoring menggunan web dan dbase (mysql) silahkan baca manual lengkap di http://www.snort.org/docs/setup_guides/snort_base_SSL.pdf
Demikian semoga bermanfaat
Tidak ada komentar:
Posting Komentar