Recents

Wednesday, December 23, 2015

Install dan Konfigurasi Snort (NIDS) dengan CentOS 7.1

Assalamu'alaikum.wr.wb.

Halo, apa kabar semua? Disini saya ingin melanjutkan menulis artikel atau materi di Blog supaya tidak kaku karena sudah beberapa minggu tidak menulis di Blog. Saya akan menulis di blog materi tentang Keamanan Jaringan. Yuk langsung masuk materi saja, mohon disimak dan dipahami dengan sebaik-baiknya hehehe.



A. Tujuan

Mendeteksi serangan apabila terdapat penetrasi dalam parameter keamanan jaringan di server kalian.


B. Bahan-bahan

1. CentOS-7-x86_64-DVD-1503-01
2. Package Snort, bisa di download di website resminya langsung https://www.snort.org/downloads.
Package yang harus didownload adalah:
    - snort 2.9.x.rpm
    - daq 2.0.6.rpm
    - community-rules.tar.gz
3. Install required package untuk builing snort.


C. Langkah Kerja


Install dan Konfigurasi SNORT


1. Login ke root dahulu pada server, lihat IP Address pada server dengan perintah ifconfig




2. Update dahulu sebelum menginstall required package untuk snort.
# yum update


3. Remote server dengan SSH dan untuk masukkan password root.



4. Install required package untuk snort.
# yum install -y gcc make rpm-build autoconf automake flex libpcap-devel bison libdnet libdnet-devel mysql-devel pcre-devel php-mysql


5. Download dahulu package snort, kemudian transfer file ke server dengan SFTP (Secure File Transfer Protocol) dengan port 22. Masukkan pada bagian Host dengan IP Server, dengan Username menggunakan root beserta password root lalu klik Quickconnect.



6. Apabila muncul Host key Mismatch, centang saja pada bagian Update cached key for this host lalu OK.



7. Transfer file package snort ke server. Disini saya memasukkan ke direktori /usr/local/src/.



8. Lihat dengan perintah ls package snort yang sudah berhasil di transfer pada server.



9. Ekstrak terlebih dahulu package daq dan snort.
# tar -zxvf daq-2.0.6.tar.gz
# tar -zxvf snort-2.9.7.6.tar.gz


10. Masuk ke direktori daq, install dan compile package.
# cd daq-2.0.6
# ./configure && make && make install


11. Setelah selesai, pindah ke direktori snort kemudian install dan compile package.
# cd snort-2.9.7.6
# ./configure --enable-sourcefire && make && make install && ldconfig


12. Buat soft link untuk snort binary.
# ln -s /usr/local/bin/snort /usr/sbin/snort


13. Verify sesudah diinstal dengan snort -V.



14. Buat direktori baru untuk snort.
# cd ..
# mkdir /etc/snort
# mkdir /etcl/snort/rules
# mkdir /etc/snort/prepoc_rules
# touch /etc/snort/rules/white_list.rules
# touch /etc/snort/rules/blacklist.rules
# touch /etc/snort/rules/blacklist.rules


15. Buat direktori log dan dynamic rules untuk snort.
# mkdir /var/log/snort
# mkdir /usr/local/lib/snort_dynamicrules


16. Berikan permissions 5775 (r-xrwxrwxr-x) pada direktori snort, log, dan dynamic rules agar bisa di write, read, dan execute pada grup.
# chmod -R 5775 /etc/snort/
# chmod -R 5775 /var/log/snort/
# chmod -R 5775 /usr/local/lib/snort
# chmod -R 5775 /usr/local/lib/snort_dynamicrules/


17. Copy *.conf dan *.map file dari snort  yang sudah diekstrak tadi ke direktori /etc/snort.
# cp /usr/local/src/snort-2.9.7.6/etc/*.conf* /etc/snort/
# cp -v //usr/local/src/snort-2.9.7.6/etc/*.map* /etc/snort/


18. Backup file snort.conf sebelum di edit, kemudian tambahkan file rule di snort.conf dengan perintah sed -i atau echo.
# cp /etc/snort/snort.conf /etc/snort/snort.conf_orig
# sed -i 's/include \$RULE\_PATH/#include \$RULE\_PATH/' /etc/snort/snort.conf


19. Edit pada line 45. ubah dengan memasukkan IP Server dan tambahkan pada eksternal !$HOME_NET.
# ipvar HOME_NET 192.168.1.0/24
# ipvar EXTERNAL_NET !$HOME_NET



20. Pindah ke line 104, tambahkan rule.
# var RULE_PATH /etc/snort/rules
# var SO_RULE_PATH /etc/snort/so_rules
# var PREPROC_RULE_PATH /etc/snort/preproc_rules
# var WHITE_LIST_PATH /etc/snort/rules
# var BLACK_LIST_PATH /etc/snort/rules



21. Pindah ke line 551, tambahkan rule_path.
include $RULE_PATH/local.rules



22. Hapus bagian white_list dan black_list kemudian simpan hasil konfigurasi dengan :wq.



23. Pindah ke direktori src, ekstrak community-rules kemudian pindahkan ke direktori /etc/snort/rules/.
# tar -zxvf community-rules.tar.gz
# mv community-rules /etc/snort/rules/


24. Pindah ke direktori /etc/snort/rules/ dan jalankan perintah berikut.
# cd /etc/snort/rules/
# snort -T -c /etc/snort/snort.conf



Testing Penetrasi/Penyerangan ke Jaringan Server

1. Disini saya akan mencoba menyerang ke server sendiri, saya menggunakan apps LOIC. Saya menggunakan OS Windows karena apps ini membutuhkan NET.Framework. Jalankan LOIC, masukkan IP Server dan Lock On, pilih port UDP, masukkan Threat (berapa pun). Semakin banyak threat yang diberikan, maka serangan ke jaringan server akan lebih banyak ataupun secara menyeluruh. Kemudian klik IMMA CHARGIN MAH LAZER.



2. Maka Requested akan terus berjalan.



3. Coba ping IP Server apakah terganggu, terlihat jaringan di server sudah down (Ini tergantung Threat yang diberikan).



Pendeteksian Serangan Jaringan di Server

1. Di server  terlihat jaringan sudah Disconnected (DC), apabila di hubungkan kembali jaringan tersebut tidak bisa dikarenakan serangan masih berjalan.


2. Masuk ke server, masukkan perintah snort -v.



3. IP Attacker (Serangan) terdeteksi oleh snort.



Menghentikan Serangan ke Jaringan Server

1. Apabila ingin menghentikan serangan, klik Stop Floading.



2. Coba ping IP Server, terlihat server sudah berjalan normal.



Semoga Bermanfaat

Terima kasih

0 komentar:

Post a Comment