1) Konfigurasi sesuai dengan topologi yang diminta :
a.
Gunakan dhclient untuk
masing-masing PC untuk mendapatkan IP router
b.
192.168.50.x & y dari IP
Router
c.
Pilih 192.168.50.x yang
nantinya sebagai server
d.
Dan 192.168.50.y yang
nantinya sebagai pc client
2) Lakukan instalasi snort pada PC Server
a.
Jalankan #apt-get install
snort
b.
Masukkan range network yang
akan dianalisa :
192.168.0.0/16
3) Manjalankan snort
a.
Bekerja dengan salah satu
anggota kelompok menjalankan snort(PC
server) dan yang lain menjalankan pada (pc client)
b.
Jalankan perintah ping dan
nmap dari PC client ke PC Server
c.
Jalankan snort dengan
menggunakan mode sniffer.
#snort –v
#snort –vd
#snort-vde
#snort –v-d-e
d.
Untuk mempermudah pembacaan
masukkan hasil snort ke dalam file. Jalankan perintah berikut
#ls /var/log/snort
e.
Untuk membaca file snort
(missal : snort.log.)
#snort –dev –r /var/log/snort/snort.log.1234
4)
Menjalankan snort dengan mode NIDS (Network Intrusion Detection
System)
a.
Opsi e dihilangkan karena kita tidak perlu mengetahui link layer
MAC. Opsi v dihilangkan juga menggunakan option sbb :
b.
Coba jalankan scanning dari computer lain (PC client) dengan nmap
menuju computer yang anda pasangi snort(PC server). Terlebih dahulu jalankan
snort dengan mode NIDS, kemudian lakukna scanning dengan perintah :
c.
Lihat apakah scan terekam oleh snort. Jika iya, copy paste hasil
snort pada bagian scanning SYN. Untuk melihat, gunakan perintah :
d.
Jalankan snort. Buka halaman web, apakah ini terdeteksi sebagai
alert ?
Hasilnya error dan tidak dapat dijalankan
(capture lost)
e.
Sekarang coba ubah rule snort. Buat rule baru yaitu alltcp.rules
dan simpan di /etc/snort/rules
f.
Coba lihat snort.conf. Beri tanda # pada semua rule lain dan
tambahkan rule baru yaitu : alltcp.rules
g.
Lakukan restart aplikasi snort anda :
i.
Coba lakukan scanning seperti perintah b. Lihatlah apakah ada
tanda sebagai alert atau tidak
j.
Apa yang bisa disimpulkan dari percobaan diatas.
LAPORAN RESMI
1. Berikan kesimpulan hasil praktikum yang anda lakukan.
2. Download rule terbaru di
snort dan bandingkan dengan rule yang lama, apa saja
perubahan yang ada !
Jawab
:
3. Jelaskan rule apa saja yang bisa didekteksi oleh snort !
Jawab
:
- IP
- MAC
Address
-
4. Untuk mempermudah pembacaan data snort dimungkinkan dimasukkan dalam
database, carilah
artikel tentang konfigurasi snort menggunakan database
Jawab :
-
Install Snort
#sudo apt-get install nmap snort-mysql snort-rules-default acidbase
-
Pada
saat proses instalasi kita akan diminta memasukkan network mana yang akan
dimonitor (gunakan slash notation), dan juga akan diminta password untuk mysql.
karena log dan alert akan disimpan di mysql. Selanjutnya kita konfigurasi
database mysql:
mysql -u root -p
> create database snort;
> exit
- Lalu dump database ke mysql
#cd /usr/share/doc/snort-mysql/
#zcat create_mysql.gz | mysql -u root -p snort
- Konfigurasi database snort, edit file konfigurasi nya /etc/snort/database.conf
dan pastikan baris berikut:
output database: alert, mysql, user=root password=snort
dbname=snort host=localhost
output database: log, mysql, user=root password=snort
dbname=snort host=localhost
- Tahap selanjutnya konfigurasi acidbase agar terhubung dengan database, edit
file konfigurasi /etc/acidbase/database.php (sesuaikan username dan
passwordnya)
$alert_user='root';
$alert_password='snort';
$basepath='/acidbase';
$alert_dbname='snort';
$alert_host='localhost';
$alert_port='';
$DBtype='mysql';
- Terakhir restart apache dan snort dengan perintah:
#sudo /etc/init.d/apache2 restart
#sudo /etc/init.d/snort restart
- Setup acidbase di alamat http://localhost/acidbase , jika ingin snort bisa dibaca
oleh komputer lain sesuaikan ip dan network yang ada di
/etc/acidbase/apache.conf , misalnya:
<IfModule mod_alias.c>
Alias /acidbase "/usr/share/acidbase"
</IfModule>
<DirectoryMatch /usr/share/acidbase/>
Options +FollowSymLinks
AllowOverride None
order deny,allow
deny from all
allow from 0.0.0.0/0.0.0.0
<IfModule mod_php5.c>
php_flag magic_quotes_gpc Off
php_flag track_vars On
php_value include_path .:/usr/share/php
</IfModule>
</DirectoryMatch>
- Jika sudah dirubah, restart kembali service apachenya akses pada browser
client http://ipserver/acidbase ikuti petunjutk setupnya sampai selesai. Hasil
akhirnya akan menampilkan semua alert dan protokol tcp/udp beserta detil
semua event pada network yang kita pantau.
Setting Database untuk SNORT
Buat database untuk snort,
disarankan menggunakan phpmyadmin, karena lebih mudah dan memiliki tampilan yang menyenangkan. Jangan
lupa untuk menyesuaikan dengan keadaan konfigurasi database yang sudah diedit
tadi di /etc/snort/snort.conf. Table layout ada di
file create_mysql di direktori
/root/snorttemp/snort-2.6.1.1/schemas.
/root/snorttemp/snort-2.6.1.1/schemas.
-
Kalo sudah jadi, silakan test
konfigurasi Snort:
# snort -c /etc/snort/snort.conf
Apabila tidak ada error, berarti sukses. Batalkan test dengan menekan Ctrl+C.
Apabila tidak ada error, berarti sukses. Batalkan test dengan menekan Ctrl+C.
Memindahkan ADODB dan BASE ADODB
-
Kembali ke tempat semula:
# cd /root/snorttemp/
-
Pindahkan direktori ADODB ke root
direktori web server:
# mv adodb /var/www/
BASE (Basic Analysis and Security Engine)
-
Pindakan direktori base-1.2.7 ke direktori web server yang dapat diakses:
# mv base-1.2.7
/var/www/html/
-
Pindahkan kesana
# cd /var/www/html/
-
Agar mudah diakses, ganti namanya
menjadi base:
# mv base-1.2.7 base
-
Ganti permissionnya:
# chmod 757 base
-
Klik Continue
-
Masukkan path ADODB (/var/www/adodb):
-
Klik Submit Query-
-
Masukkan
informasi yang ada, dan biarkan pilihan “Use
Archive Database” apa adanya:
-
Klik Submit Query
Jika mau, bisa menggunakan pilihan “Use Authentication System” agar lebih aman:
Jika mau, bisa menggunakan pilihan “Use Authentication System” agar lebih aman:
-
Klik Submit Query
-
Klik Create BASE AG
untuk membuat database:
- Jika sudah, lanjutkan ke step 5
-
Untuk melihat tampilan grafis dari
traffic BASE, download
-
Image_Color, Image_Canvas
dan Image_Graph
# pear install Image_Color
# pear install Image_Canvas-alpha
# pear install Image_Graph-alpha
# pear install Image_Color
# pear install Image_Canvas-alpha
# pear install Image_Graph-alpha
-
Ganti permission direktori base
dari 757 ke 775
# chmod 775 base
-
Delete juga direktori temporary /root/snorttemp:
# rm -rf /root/snorttemp
-
Menjalankan SNORT
- Untuk menjalankan Snort, silakan jalankan perintah berikut:
- Untuk menjalankan Snort, silakan jalankan perintah berikut:
# /usr/local/bin/snort -c /etc/snort/snort.conf -i eth0 -g
root -D
-
Silakan tunggu beberapa waktu.
Link : https://jirolu.wordpress.com/2007/02/14/tutorial-membangun-snort-intergrasi-terhadap-mysql-dan-base/
6.
Jelaskan juga aplikasi yang bisa dipakai untuk membaca database snort!
Jawab
:
ACID - Analysis Console for Intrusion Databases
Singkatan lain :
7. Jelaskan pengertian promicuous mode!
Jawab
:
Berikut ini pengertian mengenai promiscuous adalah:
1. Didalam sebuah jaringan, berada dalam mode promiscuous
berarti mengijinkan perangkat/komponen jaringan untuk mencegat dan membaca
setiap paket jaringan yang melewatinya.
2. Didalam sebuah jaringan local (LAN), promiscuous mode
adalah sebuah mode dimana setiap paket data yang dikirim dapat diterima dan
dibaca oleh adapter jaringan (LAN Card). Promiscuous mode harus disupport oleh
setiap adapter jaringan dan juga oleh driver I/O pada OS.
3. Promiscuous mode adalah kebalikan dari non-promiscuous
mode.
Tidak ada komentar:
Posting Komentar