Install Snort CentOS 6.2 64bit

Beberapa hari ini koneksi internet agak aneh,saya curiga ada yang main main dengan jaringan di sini,jadi saya coba iseng pengen pake snort,padahal tadinya pengen bikin radius dulu,jadi sekalian deh “Snort” apa itu?

Snort® is an open source network intrusion prevention and detection system (IDS/IPS) developed by Sourcefire. Combining the benefits of signature, protocol, and anomaly-based inspection, Snort is the most widely deployed IDS/IPS technology worldwide. With millions of downloads and nearly 400,000 registered users, Snort has become the de facto standard for IPS. Sumber

Snort is Network Intrusion Detection System (NIDS). Snort can sniff your network and alert you based on his rule DB if there is an attack on your computers network. It is an opensource system that is build from tcpdump (linux sniffer tool). Sumber

Saya memakai CentOS 6.2 64bit dengan RAM 1GB dengan literatur web sumber  yang ke dua untuk instalasi,sekedar menterjemahkan biar lebih mudah dimengerti orang indonesia.hehe

<<==PRAINSTALASI==>>

Saya juga menyarankan untuk menyiapkan beberapa hal,Jangan lupa update OS dulu dengan #yum update -y kemudian reboot

Pertama kita install dulu/tambahkan EPEL repository yaitu dengan ini kita akan menambahkan repository EPEL sebagai repository pihak ke tiga yang sering dipakai CentOS.

#rpm -Uvh http://ftp.uninett.no/linux/epel/6/x86_64/epel-release-6-8.noarch.rpm

Kemudian install beberapa paket yang dibutuhkan snort untuk berjalan

#yum install libdnet libdnet-devel pcre pcre-devel gcc make flex byacc bison kernel-devel libxml2-devel wget -y

Langkah selanjutnya adalah membuat direktori atau folder untuk digunakan sebagai tempat instalasi,terserah sebenarnya namun agar lebih rapi sebaiknya dibuat

#mkdir /usr/local/src/snort
#cd /usr/local/src/snort

Selanjutnya kita install Libpcap,apa itu libpcap?

libpcap adalah library yang banyak digunakan pada tool-tool security, diantaranya yaitu nmap, tcpdump dan snort. library ini memungkinkan untuk menangkap paket yang berada pada network, bahkan paket-paket yang ditujukan untuk host lain. Library libpcap dapat diaplikasikan untuk pengumpulan data statistik, pengawasan keamanan jaringan, debugging jaringan, dan lain-lain. Paper ini akan membahas pengenalan pemrograman menggunakan libpcap untuk meningkatkan pemahaman mengenai jaringan komputer di tingkat low level.Sumber

#wget http://www.tcpdump.org/release/libpcap-1.3.0.tar.gz -O libpcap.tar.gz

Extract tarbal nya dan kemudian kita install

#tar zxvf libpcap.tar.gz
# cd libpcap-*
#./configure && make && make install

Setelah itu kita masukkan string/bebrapa kata di file configurasi libpcapnya dan memverbose nya (menampilkannya)

#echo “/usr/local/lib” >> /etc/ld.so.conf
#ldconfig -v

Download dan install DAQ , DAQ  mempunyai modul yang dipakai oleh beberapa aplikasi termasuk snort dengan didalamnya terdapat modul pcap. Jadi selanjutnya kita masuk dulu ke folder source snort kemudian kita download dan install

#wget http://www.snort.org/downloads/2216 -O daq.tar.gz
#tar zxvf daq.tar.gz
#cd daq-*
#./configure && make && make install
#ldconfig -v

Buat user dan group untuk snort

#groupadd snort
#useradd -g snort snort

<==Memulai intalasi Snort==>

Pertama,masuk kefolder snort dan Download Dulu Snortnya kemudian extract tarbalnya setelah itu masuk ke folder dan install

#cd /usr/local/src/snort
#wget http://www.snort.org/dl/snort-current/snort-2.9.4.tar.gz -O snort.tar.gz
#tar zxvf snort.tar.gz
#cd snort-2*
#./configure –prefix /usr/local/snort –enable-sourcefire && make && make install

Setelah itu kita buat link untuk snortnya

#ln -s /usr/local/snort/bin/snort /usr/sbin/snort
#ln -s /usr/local/snort/etc /etc/snort

Agar snort run saat startup:

#cp rpm/snortd /etc/init.d/
#chmod +x /etc/init.d/snortd
#cp rpm/snort.sysconfig /etc/sysconfig/snort
#chkconfig –add snortd

Selanjutnya kita masuk kedalam snortd yaitu snort daemonnya kita edit beberapa

#nano /etc/init.d/snortd

deletesnortd

Comment beberapa  variable di /etc/sysconfig/snort dan tambahkan / di LOGDIR variable

#nano /etc/sysconfig/snort
sysconfig

Selanjutnya adalah install aturan atau rules dari snort kita harus register untuk dapat mendownnloadnya
Setelah di Download taruh di folder /usr/local/snort extract

#cd /usr/local/snort
#tar zxvf /usr/local/src/snort/snortrules-snapshot-2*

Untuk mekanisme Logging snort kita buat beberapa folder dan ubah kepemilikannya

#mkdir -p /usr/local/snort/var/log
#chown snort:snort /usr/local/snort/var/log
#ln -s /usr/local/snort/var/log /var/log/snort

Setelah itu baru kita buat link untuk rule dari snort yang dinamis dan juga folder/directorinya

#ln -s /usr/local/snort/lib/snort_dynamicpreprocessor /usr/local/lib/snort_dynamicpreprocessor
#ln -s /usr/local/snort/lib/snort_dynamicengine /usr/local/lib/snort_dynamicengine
#ln -s /usr/local/snort/lib/snort_dynamicrules /usr/local/lib/snort_dynamicrules

Kemudian ubah permission untuk snortnya

#chown -R snort:snort /usr/local/snort

Kita delete atau comment saja pada snort.conf bagian reputation preprosesor

#nano /usr/local/src/snort/etc/snort.conf

snort.con

Membuat dinamyic rule directory

#mkdir /usr/local/snort/lib/snort_dynamicrules

Copy dynamic rulenya ke

#cp /usr/local/src/snort/so_rules/precompiled/RHEL-6-0/x86-64/2.9*/*so /usr/local/snort/lib/snort_dynamicrules/

Kemudian di Dump

#nort -c /usr/local/snort/etc/snort.conf –dump-dynamic-rules=/usr/local/snort/so_rules

Ketika di eksekusi ada error kurang lebih:

ERROR: The dynamic detection library “/usr/local/lib/snort_dynamicrules/smtp.so” version 1.0 compiled with dynamic engine library version 1.15 isn’t compatible with the current dynamic engine library “/usr/local/lib/snort_dynamicengine/libsf_engine.so” version 1.16.

Itu berarti ada ketidak cocokan antara dynamic rule dengan library nya.. jadi kita ganti versi rule  nya biar pas dengan versi dari snort kita

Kalau berhasil biasanya muncul

dumping

Kita enable dulu dynamic rule nya dengan membuka snort.conf di /usr/local/src/snort/etc tempat kita install snortnya

#nano /usr/local/src/snort/etc/snort.conf

Menjadi :

uncoment

Setelah itu instalasi dasar selesai dalam artian masih ada yang aplikasi yang bisa di install untuk mendukukng snort seperti PulledPork dan agar bisa di lihat secara biner kita install Barnyard  yang akan saya tulis di tutorial selanjutnya.. 🙂

Selanjutnya adalah test konfigurasi snort

#snort -c /usr/local/src/snort/etc/snort.conf -TtestingSelesai.. 🙂
Advertisements

5 comments

  1. Pingback: Resume Pertemuan 8 Keamanan Jaringan – Berbagi Ilmu Pengetahuan


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s