Update Rule Snort dengan PulledPork

Ketika kita menggunakan Snort Seperti tutorial yang saya share di  INSTALL SNORT CENTOS 6.2 64bit
Kita perlu mengupdate rule dari snort secara otomatis..
So,Kita lanjutkan tutorial ini ke Instalasi PulledPork

Sebelumnya silahakan install beberapa paket yang dibutuhkan oleh centos

#yum install perl-Crypt-SSLeay perl-libwww-perl perl-Archive-Tar -y

Masuk ke folder yang dibuat

#cd /usr/local/src/snort

Download pulledporknya

#wget http://pulledpork.googlecode.com/files/pulledpork-0.6.1.tar.gz -O pulledpork.tar.gz

Kemudian extract pada folder yang telah dibuat dengan masuk ke folder terssebut kemudian di extract dari folder yang dituju kemudian mv untuk rename

#cd /usr/local/snort #tar zxvf /usr/local/src/snort/pulledpork.tar.gz
#mv pulledpork-0.6.1 pulledpork

Pulledpork butuh OinkCode untuk kepentingan security dari website snort nyaAmbil code dari hasil generate code di snort.org pada bagian “Get Snort Oinkcode” daftar dulu dan cari sendiri ya.. ^^

Setelah itu copy codenya.. masukkan nanti pada url yang butuh OinkCode

Setelah itu kita config dulu pulledpork.conf nya

#nano /usr/local/snort/pulledpork/etc/pulledpork.conf

Contoh bisa di download di Config file for pulledpork

Edit RULE_PATH nya di

#nano /usr/local/src/snort/etc/snort.conf

menjadi

var RULE_PATH /usr/local/src/snort/etc/rules

Kemudian hapus semua snort include rules files 3 kali untuk menghapus 3 baris

#sed -i ‘/^include $RULE_PATH/d’ /usr/local/src/snort/etc/snort.conf
#sed -i ‘/^include $RULE_PATH/d’ /usr/local/src/snort/etc/snort.conf
#sed -i ‘/^include $RULE_PATH/d’ /usr/local/src/snort/etc/snort.conf

Kemudian ganti semua path di confignya

#echo “include \$RULE_PATH/snort.rules” >> /usr/local/src/snort/etc/snort.conf
#echo “include \$RULE_PATH/local.rules” >> /usr/local/src/snort/etc/snort.conf
#echo “include \$RULE_PATH/so_rules.rules” >> /usr/local/src/snort/etc/snort.conf

Buat folder baru sebagai tempat rulenya

#mkdir /usr/local/src/snort/etc/rules

Copykan rule kesitu

#cp /usr/local/src/snort/rules/local.rules /usr/local/src/snort/etc/rules/

Kalo belum punya ya bikin sendiri pake touch
Selanjutnya kita running pork buat pertamakalinya

#/usr/local/snort/pulledpork/pulledpork.pl -c /usr/local/snort/pulledpork/etc/pulledpork.conf
porkfirst

Kalau ingin ada update tiap hari kita perlu pake crontab# nano /etc/crontabTambahin aja

0 0 * * * root /usr/local/snort/pulledpork/pulledpork.pl -c /usr/local/snort/pulledpork/etc/pulledpork.conf

PulledPork udah selesai,next kita coba install Barnyard buat snortnya.. 🙂

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s