Komponen Pendukung : 10.
Webmin : Modul yang digunakan untuk mengelola rule. Webmin dapat digunakan untuk pengelolaan rule berupa aktif maupun tidaknya
rule dan penambahan secara manual. Webmin menggunakan antarmuka berbasis web.
11. ACID : Digunakan untuk mengelola data-data security event.
12. ACID History : Digunakan untuk menganalisa catatan-catatan IDS.
Database pada ACID History tidak dihapus karena bersifat arsip, berbeda dengan database pada ACID yang akan dihapus sesuai jika administrator
IPS membuka akses terhadap alamat IP yang pernah ditutup.
13. Alert : Merupakan catatan serangan pada file log.
3.2.1 Instalasi dan konfigurasi Snort IDS
Dalam menginstall dan mengkonfigurasi Snort IDS diperlukan berbagai macam aplikasi pendukung. Adapun aplikasi-aplikasi pendukung tersebut
diantaranya adalah : 1.
Pcap Packet Capture 2.
Pcre Perl Compatible Regular Expression 3.
SSH Secure shell Aplikasi pcap terdiri dari application programming interface untuk
menangkap lalu lintas paket. Linux menempatkan pcap pada pustaka libpcap. Snort menggunakan libpcap untuk menangkap paket yang melintas dalam suatu
jaringan dan dalam versi terbaru mengirimkan paket pada suatu jaringan pada layer link dan juga untuk mendapatkan daftar antarmuka jaringan yang dapat
digunakan. Libpcap juga dapat menyimpan paket yang telah ditangkap ke dalam suatu
file dan membaca isi didalamnya. File yang telah disimpan dalam format libpcap dapat digunakan oleh aplikasi lain. Libpcap pertama kali dikembangkan oleh
pengembang Tcpdump pada grup peneliti jaringan Lawrence Berkeley Laboratory. Merupakan packet capture level rendah. File yang telah ditangkap,
disimpan dalam pustaka yang dapat dihubungkan dengan tcpdump.
Universitas Sumatera Utara
Library pcre merupakan library yang menggunakan pencocokan pola ekspresi yang hampir sama dengan Perl. Sebagai tambahan fungsi pencocokan
pcre memiliki fungsi yang berbeda dalam pencocokan pola kompilasi yang sama. Dalam keadaan yang berbeda, cara ini memiliki beberapa keunggulan. Pcre
disusun dalam bahasa C dan dirilis sebagai library C. SSH
secure shell merupakan protokol jaringan yang memungkinkan pertukaran data menggunakan saluran yang aman antara dua perangkat jaringan.
Selain aplikasi diatas terdapat beberapa modul, seperti modul pustaka dan adapter
libpcap0.8-dev, libpcre3-dev, pcregrep
yang akan digunakan dalam tugas akhir ini. Adapun langkah-langkah instalasi dan konfigurasi semua aplikasi pendukung
akan disertakan pada lampiran. Sebelum menginstall Snort, ada beberapa hal yang harus dilakukan.
Pertama kali adalah mengamankan SSH dengan beberapa pengaturan dan menjalankan beberapa layanan yang akan digunakan pada saat menginstall dan
konfigurasi snort. Untuk instalasi Snort, user yang digunakan adalah
user root
. Kemudian
snort dapat diunduh pada situs penyedia aplikasi snort yaitu http:www.snort.orgdl
. Snort terbaru dapat diunduh pada bagian most recent release rilis terbaru.
Setelah diunduh menggunakan aplikasi wget, aplikasi bawaan unix yang digunakan untuk mengunduh sebuah file, file sumber snort diekstrak dan
dikonfigurasi lalu diinstal. Sebelum snort digunakan, snort membutuhkan rules. Rules didapat setelah mendaftar sebagai pengguna pada situs snort. Unduh pada
bagian “registered user release” rilis untuk pengguna terdaftar dan kemudian simpan pada direktori
etcsnortrules
. File
snort.conf
memerlukan sedikit perubahan sesuai dengan kebutuhan jaringan. Hal ini dapat dilakukan dengan mengedit file
etcsnortsnort.conf
menggunakan text editor nano.
nano etcsnortsnort.conf
.
...
Universitas Sumatera Utara
var HOME_NET menjadi var HOME_NET 10.4.12.024 var EXTERNAL_NET menjadi var EXTERNAL_NET HOME_NET
var RULE_PATH ..rules menjadi RULE_PATH etcsnortrules ...
Variabel
HOME_NET
merupakan atribut konfigurasi snort yang berfungsi untuk memberikan informasi jaringan yang akan diperiksa oleh snort dari
percobaan-percobaan intrusi. Sedangkan
var EXTERNAL_NET
merupakan informasi jaringan luar. Dan yang terakhir
var RULE_PATH
adalah direktori rules snort.
Setelah itu lakukan perubahan pada bagian
output database: log, mysql, user=
, aktifkan dengan menghapus tanda pada awal baris. Kemudian ganti
user=root
menjadi
user=snort
, dan
password=password
menjadi
password=hahnroot
,
dbname=snort
. Hal ini dilakukan agar log pada MySQL diaktifkan dan pengguna serta password dapat digunakan ketika mengakses
MySQL. Permission dan owner file
snort.conf
harus diganti. Hal ini dilakukan agar file
snort.conf
hanya dapat dibaca tulis oleh user snort, dibaca oleh group snort dan tidak dapat dibaca tulis oleh user lain. Setelah itu snort dapat dijalankan dengan
perintah :
snort -c etcsnortsnort.conf -i eth0 -D
Perintah ini menjalankan Snort pada antarmuka
eth0
pada modus daemon. Antarmuka
eth0
merupakan antarmuka LAN pada IPS engine. Perintah ini dapat ditambahkan pada file
etcrc
.
local
sehingga dapat langsung dijalankan setelah reboot. Untuk memastikan snort telah berjalan, dapat dilakukan dengan perintah
berikut:
ps aux | grep snort
Universitas Sumatera Utara
3.2.2 Konfigurasi Dekoder