Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASE
0 likes391 views
Tutoria menjelaskan cara mengintegrasikan Snort, sebuah sistem deteksi intrusi, dengan BASE untuk memantau lalu lintas jaringan secara real-time. Langkahnya meliputi penginstalan dan konfigurasi Snort, BASE, serta komponen pendukung seperti MySQL dan ADOdb. Snort dikonfigurasi untuk melacak lalu lintas jaringan internal dan mencatat hasil deteksi ke database MySQL, yang kemudian ditampilkan secara grafis melalui
![hhttttppss::////bblloogg..mmooddpprr00..bbee
Edit snort.conf sesuai dengan kebutuhan:
# nano /etc/snort.conf
Lakukan perubahan pada baris-baris berikut:
ganti "var HOME_NET any" jadi "var HOME_NET 192.168.10.0/24"
ganti "var EXTERNAL_NET any" jadi "var EXTERNAL_NET !$HOME_NET"
ganti "var RULE_PATH ../rules" jadi "var RULE_PATH /etc/snort/rules"
Berhubung tadi kita sudah meng-kompile Snort dengan opsi --with-mysql dan memang
integrasi dengan database dibutuhkan untuk program BASE, maka sekarang kita akan
membuat database untuk Snort agar bisa berinteraksi lewat BASE. Temukan baris:
# output database: log, mysql, user=root password=[your pass] dbname=snort
host=local$
dan hilangkan tanda "#"
output database: log, mysql, user=root password=[your pass] dbname=snort
host=local$
Sesuaikan juga username, password dan database yang akan digunakan. BASE akan
melakukan koneksi database menggunakan username, password dan database tersebut.
Pastikan Anda memasukkannya dengan benar. Silakan simpan konfigurasi Anda.
Setting Database untuk SNORT
Silakan buat database untuk snort, terserah dengan apa, namun saya sarankan
menggunakan phpmyadmin, karena lebih mudah dan memiliki tampilan yang
menyenangkan. Jangan lupa untuk menyesuaikan dengan keadaan konfigurasi database
yang sudah kita edit tadi di /etc/snort/snort.conf. Table layout ada di file
create_mysql di direktori
/root/snorttemp/snort-2.6.1.1/schemas.
Kalo sudah jadi, silakan test konfigurasi Snort:
# snort -c /etc/snort/snort.conf
Apabila tidak ada error, berarti SUKSES !! Silakan batalkan test dengan menekan
Ctrl+C.
Memindahkan ADODB dan BASE
ADODB
Kembali ke tempat semula:](https://image.slidesharecdn.com/tutor-snort-build-mysql-181110095234/85/Tutorial-Membangun-SNORT-Integrasi-Terhadap-MySQL-dan-BASE-4-320.jpg)
Tutorial Membangun SNORT Integrasi Terhadap MySQL dan BASE
- 1. hhttttppss::////bblloogg..mmooddpprr00..bbee TTuuttoorriiaall MMeemmbbaanngguunn SSNNOORRTT IInntteeggrraassii TTeerrhhaaddaapp MMyySSQQLL ddaann BBAASSEE Author: Thomas Ajawaila Beberapa bulan yang lalu, saya sempat install Denyhosts, sebuah program di sistem Linux yang melakukan penolakan terhadap host-host yang dianggap melakukan intrusi ke sebuah sistem. Denyhosts khusus memonitor service SSH, dan mencatatnya dalam sebuah file hosts.deny apabila diketahui ada host dari luar yang gagal melakukan login pada service SSH. Setelah berjalan sampai sekarang, sudah ada sekitar 10-15 host yang masuk dalam daftar host yang di tolak (hosts.deny). Saya berpikir, bahwa memang banyak intrusi dari luar ke dalam sistem, namun apakah hanya ke service SSH? Teringat akan IDS (Intrusion Detection System) yang sangat terkenal Snort, saya iseng-iseng menginstallnya beberapa hari yang lalu, dan baru sempat saya dokumentasikan sekarang :) Snort yang akan saya install yang sudah terintegrasi secara web based karena saya juga mengikutsertakan program BASE (Basic Analysis and Security Engine) dan ADOdb sebagai tambahan. Dengan adanya BASE, maka akan ada tambahan dalam mengkonfigurasi web server. Diasumsikan document root untuk web server yaitu: /var/www/html/ dan IP server adalah 192.168.10.1 menggunakan interface eth0. Baiklah, sudah bisa dimulai... Pertama-tama, buat direktori sementara kita untuk mendownload dan kompilasi: # mkdir /root/snorttemp # cd /root/snorttemp Kedua, download file-file yang dibutuhkan: Snort + Snort Rules Download Snort versi terbaru (saat artikel ini ditulis versi 2.6.1.1) # wget http://www.snort.org/dl/current/snort-2.6.1.1.tar.gz Kita juga butuh rules untuk Snort! Silakan pergi ke http://www.snort.org/pub-bin/downloads.cgi. Lalu perhatikan "Sourcefire VRT Certified Rules - The Official Snort Ruleset (unregistered user release)" (kalo Anda sudah register, silakan download yang "Sourcefire VRT Certified Rules - The Official Snort Ruleset (registered user release)") Saya sudah register, jadi harus login dulu kemudian baru bisa download...
- 2. hhttttppss::////bblloogg..mmooddpprr00..bbee # wget http://www.snort.org/pub- bin/downloads.cgi/Download/vrt_os/snortrules-snapshot- CURRENT.tar.gz PCRE - Perl Compatible Regular Expressions. Untuk program BASE, kita butuh PCRE silakan download di http://www.pcre.org/ (yang terbaru saat tulisan ini ditulis adalah versi 6.7) # wget ftp://ftp.csx.cam.ac.uk/pub/software/programming/pcre/pcre- 6.7.tar.gz LIBPCAP Silakan download LIBPCAP di http://www.tcpdump.org/ (yang terbaru saat tulisan ini ditulis adalah versi 0.95) # wget http://www.tcpdump.org/release/libpcap-0.9.5.tar.gz BASE (Basic Analysis and Security Engine) Download BASE di http://secureideas.sourceforge.net/ (versi terbaru saat tulisan ini ditulis adalah versi 1.2.7) # wget http://surfnet.dl.sourceforge.net/sourceforge/secureideas/b ase-1.2.7.tar.gz ADOdb (ADOdb Database Abstraction Library for PHP (and Python) Download ADOdb di http://adodb.sourceforge.net/ (versi terbaru saat tulisan ini ditulis adalah adodb-493a-for-php) # wget http://surfnet.dl.sourceforge.net/sourceforge/adodb/adodb49 3a.tgz Kalo sudah di download semua, silakan di ekstrak semuanya: # tar xzvf snort-2.6.1.1.tar.gz # tar xzvf snortrules-snapshot-CURRENT.tar.gz # tar xzvf pcre-6.7.tar.gz # tar xzvf libpcap-0.9.5.tar.gz # tar xzvf base-1.2.7.tar.gz # tar xzvf adodb493a.tgz
- 3. hhttttppss::////bblloogg..mmooddpprr00..bbee Kemudian delete file arsipnya: # rm -rf *gz Seharusnya isi dari pada direktori snorttemp adalah sebagai berikut: Sekarang tinggal kompilasi, dimulai dari LIBPCAP...yuk mari :D LIBPCAP # cd /root/snorttemp/libpcap-0.9.5 # ./configure # make && make install PCRE - Perl Compatible Regular Expressions. # cd /root/snorttemp/pcre-6.7 # ./configure # make && make install SNORT # cd /root/snorttemp/snort-2.6.1.1 # ./configure --enable-dynamicplugin --with-mysql # make && make install Untuk Snort, kita perlu membuat direktori map untuk log dan rulesnya # mkdir -p /etc/snort/rules # mkdir /var/log/snort Selanjutnya, bagian terpenting. Copy seluruh isi ekstrak snortrules ke direktori map snort: # cp rules/* /etc/snort/rules/ # cp -rvf so_rules /etc/snort/ # cp -rvf doc /etc/snort/ Yang sangat penting lainnya: # cd snort-2.6.1.1/etc # cp * /etc/snort/
- 4. hhttttppss::////bblloogg..mmooddpprr00..bbee Edit snort.conf sesuai dengan kebutuhan: # nano /etc/snort.conf Lakukan perubahan pada baris-baris berikut: ganti "var HOME_NET any" jadi "var HOME_NET 192.168.10.0/24" ganti "var EXTERNAL_NET any" jadi "var EXTERNAL_NET !$HOME_NET" ganti "var RULE_PATH ../rules" jadi "var RULE_PATH /etc/snort/rules" Berhubung tadi kita sudah meng-kompile Snort dengan opsi --with-mysql dan memang integrasi dengan database dibutuhkan untuk program BASE, maka sekarang kita akan membuat database untuk Snort agar bisa berinteraksi lewat BASE. Temukan baris: # output database: log, mysql, user=root password=[your pass] dbname=snort host=local$ dan hilangkan tanda "#" output database: log, mysql, user=root password=[your pass] dbname=snort host=local$ Sesuaikan juga username, password dan database yang akan digunakan. BASE akan melakukan koneksi database menggunakan username, password dan database tersebut. Pastikan Anda memasukkannya dengan benar. Silakan simpan konfigurasi Anda. Setting Database untuk SNORT Silakan buat database untuk snort, terserah dengan apa, namun saya sarankan menggunakan phpmyadmin, karena lebih mudah dan memiliki tampilan yang menyenangkan. Jangan lupa untuk menyesuaikan dengan keadaan konfigurasi database yang sudah kita edit tadi di /etc/snort/snort.conf. Table layout ada di file create_mysql di direktori /root/snorttemp/snort-2.6.1.1/schemas. Kalo sudah jadi, silakan test konfigurasi Snort: # snort -c /etc/snort/snort.conf Apabila tidak ada error, berarti SUKSES !! Silakan batalkan test dengan menekan Ctrl+C. Memindahkan ADODB dan BASE ADODB Kembali ke tempat semula:
- 5. hhttttppss::////bblloogg..mmooddpprr00..bbee # cd /root/snorttemp/ Pindahkan direktori ADODB ke root direktori web server: # mv adodb /var/www/ BASE (Basic Analysis and Security Engine) Pindakan direktori base-1.2.7 ke direktori web server yang dapat diakses: # mv base-1.2.7 /var/www/html/ lalu kita pindah ke sana: # cd /var/www/html/ Agar mudah diakses, ganti namanya menjadi base: # mv base-1.2.7 base Ganti permissionnya: # chmod 757 base Sampai disini, kita bisa bernafas lega. Yang udah cape, silakan istirahat dulu, kalo memang udah malam bisa tidur dulu dan lanjutkan besok pagi. Tapi kalo belom, lanjuuutt !! BASE Web based Setup Silakan buka web browser Anda, dan arahkan ke http://192.168.10.1/base/setup Kalo tidak ada masalah, akan tampil halaman seperti dibawah ini: Klik Continue
- 6. hhttttppss::////bblloogg..mmooddpprr00..bbee Step 1of 5 Masukkan path ADODB (/var/www/adodb): Klik Submit Query Step 2 of 5 Masukkan informasi yang ada, dan biarkan pilihan "Use Archive Database" apa adanya: Klik Submit Query Step 3 of 5 Jika mau, bisa menggunakan pilihan "Use Authentication System" agar lebih aman:
- 7. hhttttppss::////bblloogg..mmooddpprr00..bbee Klik Submit Query Step 4 of 5 Klik Create BASE AG untuk membuat database: Kalo sudah, lanjutkan ke step 5...
- 8. hhttttppss::////bblloogg..mmooddpprr00..bbee Untuk melihat tampilan grafis dari traffic BASE, Anda bisa mendownload Image_Color, Image_Canvas dan Image_Graph # pear install Image_Color # pear install Image_Canvas-alpha # pear install Image_Graph-alpha Selesai.... Ganti permission direktori base dari 757 ke 775 # chmod 775 base Delete juga direktori temporary /root/snorttemp: # rm -rf /root/snorttemp Menjalankan SNORT Untuk menjalankan Snort, silakan jalankan perintah berikut: # /usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g root - D
- 9. hhttttppss::////bblloogg..mmooddpprr00..bbee Silakan tunggu beberapa waktu. Apabila benar, maka pada tampilan BASE akan seperti ini: Selesai sudah tutorial ini, semoga menjadi sangat bermanfaat mengingat banyaknya serangan yang datang mampir ke server saya :) Links: BASE : http://secureideas.sourceforge.net Snort: http://www.snort.org