Snort BASE di Debian Wheezy

Untuk memulai instalasi snort, paket-paket yang harus terinstall di mesin debian adalah apache2 sebagai webserver, mysql sebagai database dan php sebagai web interface. Install dengan menggunakan perintah :
apt-get install apache2
apt-get install mysql-server
apt-get install php5 php5-mysql php5-gd php-pear
Kemudian install paket snort yang terdapat pada repository debian dengan menggunakan perintah 
apt-get install snort-mysql
Pada saat penginstalasian saya menggunakan network 192.168.8.0/24 dan pastikan tidak menginstal database terlebih dahulu dan hapus file /etc/snort/db-pending-config agar tidak terjadi error.
Setelah paket snort sudah terinstall, maka kemudian proses selanjutnya adalah pembuatan database untuk log snort. Perintahnya adalah
mysql –u root –p
>create database snort;
Kemudian membuat user untuk database snort
>grant all on snort.* to snortuser@localhost identified by ‘snortpwd’;
>flush privileges;
Kemudian import table sql ke dalam database yang telah dibuat
gzip –d /usr/share/doc/snort-mysql/create_mysql.gz && mysql –u root –p snort < /usr/share/doc/snort-mysql/create_mysql
Setelah itu konfigurasi kembali database yang tadi tidak dibuat
dpkg-reconfigure snort-mysql
Kemudian pilih boot untuk “Snort start method”
Pilih interface eth0 sebagai network interface untuk Snort monitoring pada jaringan
Kemudian masukan network range untuk local network
Pilih “No” pada menu “Should snort disable promiscuous mode in this interface?”
Kemudian setup database untuk snort-mysql
Kemudian masukan konfigurasi database yang tadi dibuat pada mysql
Host : localhost
Database name : snort
Database username : snortuser
Database password : snortpwd
Setelah database sudah terinstall, kemudian adalah konfigurasi snort.conf
nano /etc/snort/snort.conf
Ubah pada line berikut:
a.  Line #45 - ipvar HOME_NET 192.168.10.0/24 disesuaikan dengan network yang digunakan.
b.      Line #297 – tambahkan setelah “decompress_depth 65535” max_gzip_mem 104857600
c.    Line #553 – hapus atau beri tanda komentar pada semua baris yang ada tulisan “include $RULE_PATH” kecuali “local.rules
Buat sebuah rule sederhana pada local.rules untuk menguji apakah snort sudah berjalan dengan baik.
alert icmp any any -> $HOME_NET any (msg:"ICMP test"; sid:10000001; rev:1;)
Kemudian jalankan perintah pada console dan dari komputer monitoring dapat menguji dengan test ping pada komputer snort.
/usr/sbin/snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

Konfigurasi BASE
Pada proses ini, syarat yang harus dilakukan adalah sudah terinstallnya paket-paket dari pear dengan menggunakan perintah :
#pear config-set preferred_state alpha && pear channel-update pear.php.net && pear install --alldeps Image_Color Image_Canvas Image_Graph
Download aplikasi BASE versi terakhir (yang penulis gunakan adalah versi 1.4.5) dan kemudian extract dan salin ke direktori /var/www/base. Download juga versi terakhir adodb untuk menjembatani mysql dan base engine. Ekstrak dan salin ke direktori /var/www/base.
#wget http://sourceforge.net/projects/secureideas/files/BASE/base-1.4.5/base-1.4.5.tar.gz
# tar -zxf base-1.4.5.tar.gz && cp -r base-1.4.5 /var/www/base #wget http://sourceforge.net/projects/adodb/files/adodb-php5-only/adodb-518-for-php5/adodb518a.tgz
#tar -zxf adodb518a.tgz && cp -r adodb5 /var/www/base
#chmod 777 /var/www/base
Ubah pada php.ini di apache server untuk membaca error reporting dengan memasukan perintah
 # nano /etc/php5/apache2/php.ini
tambahkan error_reporting = E_ALL & ~E_NOTICE pada baris ke 521
Buka browser dan masukan alamat server 192.168.10.1/base
Klik Continue, pilih bahasa English
Path to adodb: /var/www/base/adodb5
Click Continue
Database Name: snort
Database Host: localhost
Database Port: biarkan kosong
Database User Name: snortuser
Database Password: snortpwd
Pilih menggunakan authentication system untuk sistem login pada base engine dan kemudian klik submit.
Klik "create baseag" sebagai tambahan untuk mendukung BASE.

Kemudian lanjuntkan ke step 5 untuk login.

Snort dan BASE sudah siap digunakan...

8 komentar :

amek said...

Selmat pagi,
Mohon ma'af saya mau tanya
setelah mengikuti langkah" di atas ketika saya mau login, saya tidak bisa login dengan notif sebagai berikut

The underlying database snort@localhost appears to be incomplete/invalid
Database ERROR:Table 'snort.iphdr' doesn't exist

Mohon bantuannya
Terima kasih

Aldo Simanjuntak said...

itu install snort yg versi brp??

amek said...

Versi 2.9.2.2

Aldo Simanjuntak said...

untuk pembuatan databasenya sudah benar? pake yg snort-mysql?

amek said...

sudah pak... saya mengikuti instruksi di atas, step by step.... saya menggunakan debian 7 wheezy

Ahmad Fikri said...

gak ad ss nya apa

Aldo Simanjuntak said...

Sori mas, ga ada soalnya ini dulu buat ngerjain TA.
dan TA-nya sudah kelar.

wisnu setiawan said...

Gan bisa minta referensi pdf TA nya ?

Post a Comment