3.2.2 Konfigurasi Dekoder
Salah satu keunggulan Snort adalah mudah dikonfigurasi sesuai kebutuhan jaringan. Bagian dari Snort yang memegang peranan penting dalam pengolahan
awal paket adalah Dekoder. Dekoder dapat dikonfigurasi untuk mengaktifkan atau tidak sebuah events.
Konfigurasi dapat dinonaktifkan dengan menambahkan karakter “ ” jika
tidak dibutuhkan. Dekoder digunakan untuk mengatur checksum, pengaturan alerts pada beberapa protokol seperti TCP, IP maupun pengaturan decode drops.
3.2.3 Konfigurasi Preprocessors
Preprocessor pertama kali digunakan pada Snort versi 1.5. Preprocessor
memungkinkan kegunaan snort diperluas dengan mengaktifkan plugins. Kode pada Preprocessor dijalankan setelah Dekoder dan sebelum Detection Engine.
Konfigurasi pada Preprocessor didahului kata
preprocessor
. Konfigurasi
Preprocessor yang terdapat pada snort terus berkembang menyesuaikan dengan kebutuhan jaringan. Berikut ini beberapa modul yang perlu
diaktifkan pada konfigurasi Preprocessor : 1.
Stream5, merupakan modul reassembly berbasiskan paket TCP pada
Snort. Dengan menggunakan Stream5, Rules “flow” dan “flowbits” dapat digunakan pada TCP maupun UDP.
2. Http_inspect_server, modul ini bekerja dengan men-decode buffer,
mencari fields http dan mengembalikan fields ke keadaan normal. Pada HTTP inspect, terdapat dua wilayah konfigurasi yaitu global dan server.
3. Rpc_decode, bekerja dengan mengembalikan catatan RPC yang
terfragmentasi menjadi catatan tunggal yang tidak terfragmentasi. Hal ini dilakukan dengan mengembalikan paket ke keadaan normal pada buffer paket.
4. Sfportscan, digunakan untuk mendeteksi fase awal penyerangan. Pada
fase ini penyusup mendeteksi protokol jaringan dan layanan yang digunakan host. Fungsi pada sfportscan hampir sama dengan aplikasi Nmap.
Universitas Sumatera Utara
3.2.4 Instalasi dan konfigurasi Database MySQL
Konfigurasi paket Snort untuk login ke remote MySQL server pada antarmuka grafis berbasiskan web dapat digunakan untuk melihat paket yang telah
terdeteksi dan statistiknya. Dalam bahasan ini, server Snort adalah
snort.host
dan server MySQL adalah
mysql.host
. Pada paket instalasi Snort terdapat sebuah file
create_mysql
, yang memiliki skema untuk database. Pada saat menginstal Linux, file ini akan ditemukan di
usrsharedocsnort
. Extract dan install file tersebut agar penambahan tabel tambahan yang diperlukan snort dapat digunakan.
Tabel tambahan tersebut terdapat pada database “snort” diantaranya tabel- tabel tersebut adalah data, detail, encoding, event, dll. Selanjutnya, pada server
snort, ubah file konfigurasi
etcsnortsnort.conf
untuk me-log ke database:
output database: log, mysql, user=snort password=hahnroot dbname=snort host=localhost
3.3 Instalasi dan konfigurasi Web server ACID BASE