3.4 Instalasi Webmin
Webmin http:www.webmin.com yang telah ditambahkan module snort rule digunakan untuk mengelola rule. Rule yang akan di aktifkan atau
dinonaktifkan dapat diatur melalui Webmin, bahkan dapat digunakan untuk menambahkan rule-rule secara manual dengan editor berbasis web. Webmin
dapat digunakan bersama Snort setelah melakukan instalasi modul yang dapat diunduh pada :
http:www.msbnetworks.netsnortdownloadsnort-1.1.wbm .
Berikut contoh tampilan Webmin untuk mengelola rule Snort.
Gambar 3.5 Webmin dengan plugin Snort untuk mengelola Rules
3.5 Instalasi dan konfigurasi SnortSam
3.5.1 Instalasi SnortSam
SnortSam terdiri dari dua buah perangkat lunak yang berbeda. Bagian pertama adalah file sumber yang telah dimodifikasi, yang memperluas Snort
Universitas Sumatera Utara
dengan menambahkan modul keluaran baru :
alert_fwsam
. Bagian yang lain adalah agen yang berhubungan langsung dengan firewall.
Snort mengamati lalu lintas, dan ketika aturan yang ditetapkan terpicu, snort mengirim output ke modul fwsam. Modul fwsam kemudian mengirimkan
pesan terenkripsi ke agen SnortSam. Agen SnortSam memeriksa pesan untuk memastikan pesan berasal dari sumber yang berwenang dan kemudian
mendekripsi pesan. Setelah pesan didekripsi, agen SnortSam memeriksa permintaan untuk melihat alamat IP yang akan diblokir oleh SnortSam, dan
SnortSam memastikan bahwa alamat IP bukan alamat yang tidak boleh diblokir terdapat pada whitelist. Jika alamat IP tidak terdapat dalam whitelist, kemudian
SnortSam memberitahu firewall anda untuk memblokir alamat itu untuk jangka waktu yang ditentukan
Instalasi SnortSam tidak jauh berbeda dengan instalasi paket unix lainnya. sumber SnortSam yang digunakan adalah
snortsam-src-2.69.tar.gz.
Extract dan install file tersebut pada direktori
etc.
Kemudian gunakan
patch SnortSam pada snort. Proses ini memerlukan aplikasi GNU automake dan autoconf yang telah diperbarui. Setelah snort berhasil
di-patch, SnortSam dapat diunduh dan diinstall pada direktori
etc.
Universitas Sumatera Utara
Gambar 3.6. Snort setelah di-patch menggunakan Snortsam patch.
3.5.2 Konfigurasi SnortSam
Setelah mengkompilasi ulang dan mem-patch snort, snort harus dikonfigurasi untuk dapat terhubung dengan SnortSam. Langkah pertama adalah
menghubungkan snort dengan modul keluaran baru untuk digunakan pada file
snort.conf
, dimana alamat IP merupakan alamat dari sistem di mana agen SnortSam sedang berjalan.
Untuk mengkonfigurasi
rules snort pada saat menggunakan SnortSam, pertama tentukan rules yang akan diaktifkan. Contohnya aturan
WEB-MISC
yang menunjukkan seseorang mencoba mengakses di direktori home root. Berikut rules
tanpa modifikasi:
Universitas Sumatera Utara
alert tcp EXTERNAL_NET any - HTTP_SERVERS HTTP_PORTS msg:”WEB- MISC ~root access”; flow:to_server,established; uricontent:”~root”;
nocase;classtype:attempted-recon; sid:1145; rev:6;
Dan berikut rules setelah mengalami perubahan untuk memblokir menggunakan SnortSam.
alert tcp EXTERNAL_NET any - HTTP_SERVERS HTTP_PORTS msg:”WEB- MISC ~root access”; flow:to_server,established; uricontent:”~root”;
nocase;classtype:attempted-recon; sid:1145; rev:6; fwsam: src: 1 minutes;
Perintah tambahan
fwsam: src,
untuk memberitahu Snort untuk menggunakan SnortSam dan untuk memblokir sumber serangan selama satu
menit.
3.5.3 Konfigurasi SnortSam pada firewall