Bagaimana Menginstall Snort Dengan Barnyard2 Dan Snorby
-
Upload
mohamad-bastian-alifi -
Category
Documents
-
view
194 -
download
13
description
Transcript of Bagaimana Menginstall Snort Dengan Barnyard2 Dan Snorby
Bagaimana Menginstall Snort dengan Barnyard2 dan Snorby
Mas....!
Apa?
Nuwun sewu, Mas! Saya udah coba install Snort dan Suricata. Tapi
bingung...
Bingung gimana?
Bingung nginstallnya.
Sampeyan nginstallnya di mana?
Sampeyan gimana? Ya di kantor, Mas! Masa di rumah. Di rumah komputer
kan cuma 1 doang.
He he....! Maksud saya, nginstallnya di komputer apa, OS nya apa?
Di PC, OS-nya linux
Linux apa?
Ubuntu, Mas!
Hmm... Ubuntu? Sampeyan nginstallnya make apt-get install apa compile dari
source-nya?
Make apt-get install, Mas!
sudo apt-get install snort snort-mysql
Emang kenapa, Mas?
Gak apa, Cuma biasanya saya nginstallnya langsung dari source.
Gimana caranya?
Begini, unduh dulu source terakhir yang stabil dari http://www.snort.org/snort-
downloads/ Kemudian copykan ke mesin linux yang bakal kita install snort.
Jangan cuma download source snortnya thok. Download juga library DAQ (Data
Aqcuisition Library). Karena snort juga butuh ini kalo mau mengenable-kan
semua fitur snort.
Jangan lupa juga download barnyard2, untuk merekam unified alert ke dalam
database. Dan tentunya, jangan lupa juga install mysql, karena barnyardnya
minta database mysql.
Kalo mysql nya harus make source gak, Mas?
Saya gak pengin fokus ke database, jadi ya silaken aja make apt-get install.
Untuk mengunduh snort silaken jalankan perintah ini pada login root. Banyak
blog gak nyaranin, tapi saya bilang, asal kita hati-hati saja, gak masalah make
login ini.
root@mycom:~#mkdir snort && mkdir daq
root@mycom:~#wget http://www.snort.org/dl/snort-current/snort-2.9.1.tar.gz -O
$HOME/snort/snort-2.9.1.tar.gz
root@mycom:~# wget http://www.snort.org/dl/snort-current/daq-0.6.2.tar.gz -O
$HOME/daq/daq-0.6.2.tar.gz
Kalo udah didownload digimanain, Mas?
Ya dikompail, masa dimakan.
He he he...
Untuk menginstall daq, kita perlu modul bison dan flex, nah untuk itu jalanin dulu
ini
root@mycom:~#apt-get install bison flex
baru kemudian install daq dengan menjalankan
root@mycom:~#cd daq && tar –xzvf daq-0.6.2.tar.gz
root@mycom:~#cd daq-0.6.2 && ./configure && make all && make install
Pada saat configure, untuk ubuntu 8.0.4 biasanya diminta untuk mengupdate
libpcap. Versi terakhir libpcap bisa diunduh dari http://www.tcpdump.org
Setelah daq terintall dengan baik maka kita bisa melanjutkan dengan menginstall
snort dengan menjalankan
root@mycom:~#cd
root@mycom:~#cd snort && tar -xzvf snort-2.9.1.tar.gz
root@mycom:~#cd snort-2.9.1
root@mycom:~#./configure --enable-ipv6 --enable-gre --enable-mpls --enable-
targetbased --enable-decoder-preprocessor-rules --enable-ppm --enable-
perfprofiling --enable-zlib --enable-active-response --enable-normalizer --enable-
reload --enable-react --enable-flexresp3 --prefix=/usr/local
root@mycom:~#make all && make install
Selesai!
Udah, gitu aja, Mas?!
Belum! He he he... Sebenarnya, instalasi snort kita sudah bisa langsung dikonfig
untuk menjalankan service IDS. Cuma sampeyan perhatikan, waktu kita
jalankan ./configure kita belum mengenablekan mysql kan?
Nah lo, terus gimana caranya si snort ini ngerekam data?
Kita konfig alertnya direkam ke dalam format unified, dan serahkan perekaman
ke database kepada barnyard2. Ini juga merupakan salah satu bentuk tuning
performa dari IDS.
Caranya gimana, Mas?
Pertama download dulu barnyard2 nya dari http://www.securixlive.com dengan
menjalankan perintah
root@mycom:~#mkdir barnyard2
root@mycom:~# wget
http://www.securixlive.com/download/barnyard2/barnyard2-1.9.tar.gz -O
barnyard2/barnyard2-1.9.tar.gz
root@mycom:~#cd barnyard2 && tar –xzvf barnyard2-1.9.tar.gz
root@mycom:~/barnyard2#cd barnyard2-1.9
root@mycom:~/barnyard2/barnyard2-1.9#./configure --enable-ipv6 --enable-gre
–enable-mpls –with-mysql --prefix=/usr/local/barnyard2
root@mycom:~/barnyard2/barnyard2-1.9#make all && make install
Kita ambil –with-mysql aja karena nantinya kita bakal make snorby yang,
sampai saat ini, baru bisa make mysql.
Udah itu, Mas?
Belum
Belum lagi?
Iya, belum. Setelah kita install snort dan barnyard, kita lakukan perubahan
konfgurasi. Installasi snort yang kita buat juga belum mempunyai rules. Nah,
rules set (signatures set), bisa didownload dari https://www.snort.org/snort-
rules/?. Untuk download setidaknya kita sudah terdaftar di http://www.snort.org,
dan kita harus login dulu untuk bisa mendapatkan rules-nya.
Setelah kita mendapatkan rules dari snort, kita edit file snort.conf. File ini bisa
didapatkan di sub direktori etc di bawah subdirektori tempat kita mengekstrak
rules.
Hal-hal yang akan kita rubah minimal:
$HOME_NET, dari nilai awal any menjadi ip jaringan misalnya
[“10.10.0.0/16”,”192.168.0.0/16”]
output_unified2, (baris 520). Buka remark “#” , hapus kata “nostamp” karena
akan menyulitkan perekaman oleh barnyard2.
Setelah kita merubah konfigurasi snort, kita lakukan juga perubahan untuk
konfigurasi barnyard. File konfigurasi barnyard bisa ditemukan di
/usr/local/barnyard2/etc dengan nama barnyard2.conf. Ha-hal yang harus kita
rubah minimal:
output database (baris 318): output database: alert, mysql, user=root
password=”passwordsampeyan” dbname=snorby host= localhost
Ok, setelah kita konfig keduanya, maka baik snort maupun barnyard2 sudah bisa
kita jalankan.Sudah Mas?
Belum
Masih belum, banyak amat!
Ya emang banyak. Tapi kalo udah masuk proses install nya asik lo. Bisa lupa
waktu kita. Nah, buat ngejalanin Snort maupun Barnyard2 akan saya jelaskan
dibagian akhir nanti.
Sampeyan udah bisa nginstall snorby-nya belum?Belum, Mas?
Sampeyan ini, apa yang sudah?He he he...
Nah, snorby adalah aplikas berbasis web yang berjalan dengan apache. Nah
dari sini praktis sampeyan harus punya apache yang telah terinstall.Nginstallnya
gimana? Apa harus make source juga?
Udah, gampangnya, make apt-get install aja dengan perintah ini
root@myconn:~#apt-get install apache2 apache2-prefork
Oooo... gitu,
Kemudian install prerequisite dari snorby dengan perintah
root@mycom:~#apt-get install git-core libapr1-dev libaprutil-dev
git-core diinstall untuk mengunduh snorby yang source nya ada di github.
Sementara libapr (APR, Apache Portable Runtime) digunakan untuk melengkapi
server apache. Karena, sebenarnya apr merupakan bagian dari apache. Namun
apache project kemudian memisahkan apr sebagai project terpisah sehingga
aplikasi lain bisa menggunakan apr untuk mendukung aplikasi tersebut menjadi
platform independence.Oooo.... gitu,
Nah setelah itu, kita harus install ruby terlebih dahulu. Nah untuk bisa
menginstall ruby kita juga harus menginstall pre-requisite nya terlebih dahulu.
Pertama kali jalankan perintah ini
root@mycom:~#apt-get install gcc g++ build-essential libssl-dev libreadline5-dev
zlib1g-dev \
>linux-headers-generic libsqlite3-dev libxslt-dev libxml2-dev imagemagick \
>libmysqlclient15-dev libmagick9-dev git-core git
Setelah itu, unduh ruby dengan menjalankan perintah-perintah berikut
root@mycom:~#mkdir ruby
root@mycom:~# wget http://ftp.ruby-lang.org/pub/ruby/1.9/ruby-1.9.3-p194.tar.gz
\
-O $HOME/ruby/ruby-1.9.3.p194.tar.gz
Ekstrak file yang telah didownload dengan perintah ini
root@mycom:~#cd ruby && tar -xzvf ruby-1.9.3.p194.tar.gz
Compile ruby dengan perintah ini
root@mycom:~/ruby#cd ruby-1.9.3-p194#./configure --prefix=/usr/local/ruby
root@mycom:~/ruby/ruby-1.9.3-p194#make all && make install
Nah, setelah selesai tanpa ada kesalahan, sampeyan sudah punya ruby terinstall
di komputer sampeyan. Agar ruby sampeyan bisa di akses, sampeyan perlu
merubah environment variable dengan menambahkan /usr/local/ruby/bin pada
file /etc/environment
root@mycom:~#vi /etc/environment
edit baris pertama “PATH” dengan menambahkan /usr/local/ruby/bin
sebagai contoh:
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/
local/ruby/bin"
Simpan, keluar dan jalankan perintah berikut
root@mycom:~#source /etc/environment
Check versi ruby dengan menjalankan perintah berikut
root@mycon:~#ruby -v
Sampeyan harus bisa melihat hasil seperti ini (yang dikurung siku bergantung
mesin sampeyan):
ruby 1.9.3p194 (2012-04-20 revision 35410) [i686-linux]
Sampai di sini masih bisa nyambung?Masih, Mas....!
Nah, selanjutnya kita lengkapi kebutuhan Snorby dengan menginstall beberapa
gem termasuk rails 3. Untuk itu jalankan perintah berikut:
gem install tzinfo builder memcache-client rack rack-test erubis mail text-format \
>bundler thor i18n sqlite3 doc
gem install rack-mount --version=0.4.0
gem install rails --version 3.0.0
Sampai di sini, installasi ruby sudah selesai. Kita bisa lanjutkan dengan installasi
Snorby.Masih make source lagi, Mas?
Masih, malah sekarang sourcenya didownload gak make tarball lagi.
Make apa, Mas?
Kita bikin git clone dari reponya si Snorby.
Perintahnya?
Perintahnya gini...
root@mycom:~#cd /var/www
root@mycom:/var/www#git clone git://github.com/Snorby/snorby.git
Ok. Sekarang kita menginstall kebutuhan gem dari Snorby dengan perintah
root@mycom:~#cd /var/www/snorby
root@mycom:/var/www/snorby# bundle install
Setelah selesai dengan installasi gems, kita lanjutkan dengan menginstall
passenger agar Snorby kita bisa dijalankan oleh apache2.
root@mycom:~# gem install passenger
root@mycom:~# passenger-install-apache2-module
Kemudian lakukan perubahan terhadap file /etc/apache2/site-available/default
ServerAdmin webmaster@localhost
DocumentRoot /var/www/snorby/public
Options FollowSymLinks
AllowOverride all
PassengerAppRoor /var/www/snorby [tambahkan]
Options Indexes FollowSymLinks MultiViews
AllowOverride all
Options -Multiviews
Order allow,deny
allow from all
ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Order allow,deny
Allow from all
..
..
..
Disamping itu, lakukan juga perubahan pada file /etc/apache2/apache2.conf,
[tambahkan setelah baris terakhir]
LoadModule passenger_module
/usr/local/ruby/lib/ruby/gems/1.9.1/gems/passenger-3.0.13/ext/apache2/
mod_passenger.so
PassengerRoot /usr/local/ruby/lib/ruby/gems/1.9.1/gems/passenger-3.0.13
PassengerRuby /usr/local/ruby/bin/ruby
Sekarang apache sudah bisa sudah bisa menjalankan snorby, selanjutnya kita
lakukan konfigurasi snorby dengan database mysql.
root@mycom:/var/www/snorby#cd config
root@mycom:/var/www/snorby/config#cp database.example.yml database.yml
root@mycom:/var/www/snorby/config#cp snorby_config.example yml
snorby_config.yml
dengan menggunakan text editor seperti vi/nano/mcedit lakukan perubahan file
database.yml pada bagian
# Snorby Database Configuration
#
# Please set your database password/user below
# NOTE: Indentation is important.
#
snorby: &snorby
adapter: mysql
username: root
password: “passwordsampeyan” # Example: password: "s3cr3tsauce"
host: localhost
..
..
..
Lakukan juga perubahan terhadap file snorby_config.yml pada bagian
development:
domain: localhost:3000
wkhtmltopdf: /usr/bin/hkhtmltopdf
mailer_sender: '[email protected]'
geoip_uri:
"http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry$
rules:
- "/Users/mephux/.snort/rules"
- "/Users/mephux/.snort/so_rules"
authentication_mode: database
..
..
..
Setelah kedua file tadi kita rubah, kita lanjutkan menjalankan apache dan
melakukan setup terhadap snorby kita dengan menjalankan:
root@mycom:/var/www/snorby/config# cd /var/www
root@mycom:/var/www#/etc/init.d/apache2 start [perintah ini bisa dijalankan
dimanapun]
root@mycom:/var/www# rake Snorby:setup
Perhatikan bahwa proses tadi bakal menggenerate database bernama
‘snorby’ pada server mysql kita.
Snorby kita telah siap, selanjutnya kita jalankan snortnya dengan menjalankan
root@mycom:~#/usr/local/snort/bin/snort -l /var/log/snort -c /etc/snort/snort.conf
-i ifmon -D
Ifmon adalah interface dimana kita akan melakukan sniffing untuk monitoring.
Selanjutnya kita jalankan barnyardnya dengan:
root@mycom:~#/usr/local/barnyard2/bin/barnyard2 -d /var/log/barnyard2 -c
/usr/local/barnyard2/etc/barnyard2.conf -f snort.alert -w
/var/log/barnyard2/snort.waldo -D
Sudah semua, IDS kita sudah berfungsi
Sudah, Mas?
Sudah!
Wah wareg tenan....
Sudah kamu catet?
Belum!
Lah dasar kamu! Ya sudah. Kalo belum di catet, kamu buka saja halaman web
ini....
Ha ha ha.....! Bisa aja
Ya bisa, kenapa tidak?