Konfigurasi Snort di Debian 8 (Jessie)

Selamat pagi dan salam sejahtera untuk kita semuanya. Masih dengan topik yang sama, yaitu Snort. Ini merupakan lanjutan dari Instalasi Snort di Debian 8 Jessie yang membahas tahapan instalasi snort di Debian 8. Seperti yang telah dijelaskan di tutorial sebelumnya, bahwasannya tutorial snort ini dibagi menjadi beberapa bagian, yaitu:


  1. Instalasi Snort di Debian 8 Jessie.

  2. Konfigurasi Snort di Debian 8 Jessie.

  3. Pengetesan Hasil Konfigurasi dan Menjalankan Snort Sebagai IDS Mode.



Saya harap anda membacanya sesuai dengan urutan agar dapat memahaminya dengan baik. Tutorial kedua ini membahas tahapan konfigurasi Snort di Debian 8 yang saya rangkum menjadi dua langkah:



Pengalokasian Direktori dan File Untuk Konfigurasi Snort


Tahapan ini diperlukan pembuatan direktori untuk menyimpan beberapa file konfigurasi dan membuat file untuk kebutuhan custom rule. Berikut ini perintah untuk membuat direktori dan file untuk snort (gunakan hak akses #root)
mkdir /etc/snort
mkdir /etc/snort/rules
mkdir /etc/snort/preproc_rule

touch /etc/snort/rules/white_list.rule /etc/snort/rules/black_list.rules /etc/snort/rules/local.rules
(* mulai dari perintah “touch” penulisan tidak di-enter. Teruskan sampai akhir.

Semua layanan membutuhkan log file, bahkan Snort tidak bisa lepas dari log file karena log menyimpan informasi penting yang dapat membantu Administrator untuk melakukan pengecekan terhadap kondisi jaringan hanya melalui log file ini. Secara default sistem Linux telah menyertakan direktori log yang berada di /var/log. Agar lebih mudah dalam melakukan pengecekan kita buat direktori khusus “snort” untuk menampung semua log dari snort, alert maupun error. Gunakan perintah berikut
mkdir /var/log/snort

Untuk kebutuhan rule yang dinamis, snort memerlukan satu direktori khusus, dan snort akan meminta untuk mengincludekan. Gunakan perintah berikut
mkdir /usr/local/lib/snort_dynamicrules

Jika pembuatan direktori telah selesai, lakukan perubahan hak akses dengan mengetikkan perintah berikut
chmod -R 775 /etc/snort
chmod -R 775 /var/log/snort
chmod -R 775 /usr/local/lib/snort_dynamicrules

Selanjutnya kita perlu meng-copy-paste-kan semua file konfigurasi yang ada di direktori hasil ekstrak-an snort (lihat tutorial Instalasi Snort di Debian 8 Jessie). Agar mudah dalam pengkonfigurasian serta agar lebih terstruktur. Pada proses ini pastikan posisi direktori berada di direktori root yang ditunjukkan dengan root@debian:~# sehingga posisi direktori ekstrak-an snort berada di /root/snort/snort-9.9.0, gunakan perintah berikut
cp snort/snort-2.9.9.0/snort*/etc/*.conf* /etc/snort
cp snort/snort-2.9.9.0/snort*/etc/*.map /etc/snort

Sampai disini persiapan konfigurasi telah selesai, mari kita lanjutkan ke tahapan Konfigurasi Snort yang sesungguhnya.

Konfigurasi Snort


Pada konfigurasi ini saya menggunakan IP dari hasil tethering dengan range IP 192.168.43.0/24. IP Network ini berguna untuk menspesifikkan jaringan mana yang ingin dilakukan deteksi dan proteksi.

File konfigurasi utama berada di /etc/snort/snort.conf gunakan perintah berikut untuk mengkonfigurasi
nano /etc/snort/snort.conf

Pertama, Lakukan perubahan nilai pada HOME_NET dengan mengganti kata any menjadi IP Network. Cari (gunakan CTRL+W) ipvar HOME_NET dan rubah hingga menjadi seperti berikut
ipvar HOME_NET 192.168.43.0/24

Kedua, lakukan perubahan path direktori pada variable RULE_PATH, SO_RULE_PATH, PREPROC_RULE_PATH, WHITE_LIST_PATH dan BLACK_LIST_PATH hingga menjadi seperti berikut
var RULE_PATH /etc/snort/rules
var SO_RULE_PATH /etc/snort/so_rule
var PREPROC_RULE_PATH /etc/snort/preproc_rules
var WHITE_LIST_PATH /etc/snort/rules
var BLACK_LIST_PATH /etc/snort/rules

Ketiga, lakukan perubahan path direktori log (config logdir) agar saat menjalankan snort tidak harus menyertakan opsi -l /var/log/snort. Hilangkan tanpa pagar (#) dan tambahkan path direktorinya
config logdir:/var/log/snort

Keempat, lakukan konfigurasi output dari snort (berupa log alert). Pada bagian ini, cari configure output plugin dan tambahkan baris berikut dibawah # syslog
output alert_syslog: alert

Kelima, tentukan rule yang akan digunakan, dalam kasus ini saya akan menggunakan file local.rules yang berada di /etc/snort/rules. Cari (Ctrl + W) dan hilangkan tanda pagar (#) pada include $RULE_PATH/local.rules dan berikan tanda pagar pada rule selain local.rules (mulai baris 545 s/d 660).

Simpan konfigurasi dengan Ctrl + X, Y, enter.

Sampai di sini kita telah menyelesaikan konfigurasi Snort di Debian 8. Instalasi sudah. Konfigurasi sudah. Sampai berjumpa lagi di tutorial selanjutnya yaitu “Pengetesan Hasil Konfigurasi dan Menjalankan Snort Sebagai IDS Mode”.

pustaka


[1] How to Configure Snort On Debian - https://www.vultr.com/docs/how-to-configure-snort-on-debian
[2] Output Modules - http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node21.html

Nah, bagaimana perasaan anda setelah menyelesaikan tutorial ke-2 ini? Fuuuuhhh… lega bukan :) . Share pengalaman anda dalam melakukan konfigurasi Snort di kolom komentar yah. Saya juga membuka kritik dan saran untuk memperbaiki kualitas dari tulisan-tulisan saya. Kirim kritik dan saran kalian ke chotibulstudio@gmail.com.

Komentar

  1. cp snort/snort-2.9.9.0/snort*/etc/*.conf* /etc/snort
    cp snort/snort-2.9.9.0/snort*/etc/*.map /etc/snort
    pada saat di langkah ini saya tidak bisa gimana ya bro... ini peringatannya setelah saya jalankan perintah diatas
    cp: cannot stat ‘snort/snort-2.9.9.0/snort*/etc/*.conf*’: No such file or directory
    cp: cannot stat ‘snort/snort-2.9.9.0/snort*/etc/*.map’: No such file or directory

    BalasHapus
  2. pastikan posisi direktori anda benar Gan,

    Studi kasus saya, hasil compile snortnya ada di /root/snort/snort-9.9.0 dan posisi direktori aktif saya ada di /root yang ditandai dengan root@debian:~#

    dari situ baru ketikkan perintah berikut ini (harus sudah di compile lo ya):

    cp snort/snort-2.9.9.0/snort*/etc/*.conf* /etc/snort
    cp snort/snort-2.9.9.0/snort*/etc/*.map /etc/snort

    BalasHapus
  3. Mas saya juga dapet masalah seperti pertanyaan yg diatas (mas tri)
    Sudah saya cek posisi saya dmn, sudah di compile, yg saya pakai snort 2.9.11
    Tp peringatan yg keluar koq tetep sama ya…tidak bisa di copy
    “No such file or directory”
    Terimakasih mohon jawaban.y

    BalasHapus
  4. Memangnya posisi direktori aktif agan dimana? apakah di /root/?? Ataukah di direktori lain?

    BalasHapus

Posting Komentar

Silahkan tinggalkan komentar Anda di sini.

Postingan populer dari blog ini

Daftar Rekomendasi Repositori Lokal Debian 11 "Bullseye"

Cara Memperbaiki Masalah "KVM virtualisation is configured, but not available" di Proxmox

Koneksi Internet Bermasalah di Ubuntu 18.04, Berikut Cara Memperbaikinya