Menggunakan SNORT pada Windows 7

Alat dan Bahan

1. OS Windows 7 Ultimate

2. Master Snort yang dapat anda download di www.snort.org

3. Snort Rule yang juga dapat di download di www.snort.org

4. Wincap yang dapat anda download di http://www.wincap.org

Sedangkan untuk cara mengistallnya dapat mengikuti langkah kerja berikut

1. Pertama-tama kita berdoa dulu aja y, semoga kagak ada error.. HEHE

2. Install Wincap pada komputer anda

    a.. Setelah mendapatkan installernya tinggal double klik ikon tersebut    b. Maka akan muncul langkah instalasi, dan anda cukup mengikuti langkah-langkah instalasinya
    c. Untuk menyelesaikannya proses instalasinya tinggal ketik Finish.
 

3. Install Master Snort pada Windows 8 Profesional anda

a. Setelah membaca license Agreement tekan tombol I Agree. Instalasi option akan memberikan pilihan database yang akan digunakan tergantung database yang akan dipakai.

b. Proses selanjutnya adalah memilih komponen-komponen apa saja yang akan di install. tekan Next.

c. Tunggu proses instalasi 

         d. Instalasi Snort selesai.

4. Ekstrak Snort Rules yang sudah anda download sebelumnya.

5. Copy snort rules dari /snortrules-snapshot-2900/rules ke folder /snort/etc/rules

6. Copy snort.conf dari /snortrules-snapshot-2900/etc ke /snort/etc/

7. Lakukan setting konfigurasi snort pada file c:/snort/etc/snort.conf seperti berikut(menggunakan notepad)

a. Network Setting

Untuk memonitor aktivitas jaringan yang lebih spesifik ubahlah var HOME_NET any menjadi var HOME_NET 192.168.1.1/24, untuk var EXTERNAL_NET any biarkan saja karena akan memonitor IP luar yang masuk ke jaringan kita.

b. Beri IP pada DNS Server dan Telnet Server (sifatnya opsional sehingga anda terserah untuk membuka protocol yang mana).

                        #List of DNS servers on your network

                         ipvar DNS_SERVERS 192.168.1.1

                        #List of SMTP servers on your network

                        ipvar SMTP_SERVERS $HOME_NET

                        #List of web servers on your network

                        ipvar HTTP_SERVERS $HOME_NET

                        #List of sql servers on your network

                        ipvar SQL_SERVERS $HOME_NET

                        #List of telnet servers on your network

                        ipvar TELNET_SEVERS 192.168.1.1

c. Edit Var Rule path sesuai letak konfigurasi rule di snort yaitu c:/snort/rules

                        #Path to your rules files

                        #Note for Windows users: You are advised to make this an absolute path,

                        such as: c:/snort/rules

                        var RULE_PATH c:/snort/rules

d. Edit  path dynamic rules dan path dynamic prepocessor sesuai dengan letak di      konfigurasi snort.

                        #path to dyamic prepocessor libraries

                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_dce2.dll

                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_sdf.dll

                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_ssl.dll

                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_dns.dll

                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_smtp.dll

                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_ftptelnet.dll

                        dynamicpreprocessor file C:\Snort\lib\snort_dynamicprepocessor\sf_ssh.dll

                        # path to base prepocessor engine

                        dynamicengine c:\Snort\lib\snort_dynamicengine\sf_engine.dll

e. Edit include classification.config dan include reference.config dengan memberi tambahan c:\snort\etc\

                        #metadata reference data. Do not modify these lines

                        Include C:\Snort\etc\classification.config

                        Include C:\Snort\etc\reference.config

            f. Buat file alerts.ids di folder c:\snort\log

            g. Buat konfigurasi log pada snort.conf dengan perintah output alert_fast

                        #output log_tcpdump:tcpdump.log

                        output alert_fast:alerts.ids

8. Mengecek Keberhasilan konfigurasi Snort

a. Buka cmd lalu masukan /snort/bin untuk melihat konektifitas jaringan PC dengan perintah: 
c:\Snort\bin>snort -d -e -v
note :
-v, untuk melihat header TCP/IP paket yang lewat.
-d, untuk melihat isi paket. 
-e, untuk melihat header link layer paket seperti ethernet header.

b. Menjalankan Snort dalam mode Packet Logger

Dalam mode ini, Snort digunakan untuk mencatat informasi dari paket-paket yang lewat di jaringan untuk dianalisa lebih lanjut. Untuk menjalankannya, buka Command Prompt, masuk ke direktori C:\Snort\bin dan ketikkan perintah berikut:

snort –d –e –v –l C:\Snort\log
Perintah –l digunakan untuk menyimpan log pada suatu direktori, dan direktori yang digunakan adalah C:\Snort\log.
Setelah mengetikkan perintah di atas, tekan tombol Enter, maka pada jendela Command Prompt akan terlihat informasi dari paket-paket yang lewat di jaringan, seperti pada Sniffer mode.

Proses ini juga akan berjalan terus sampai kita menghentikannya dengan cara menekan kombinasi tombol Ctrl + C. Setelah proses dihentikan, file log akan disimpan pada direktori C:\Snort\log

Praktikum Sekuritas Komputerdengan nama snort.log.[deretan angka acak]. Untuk melihat isi log tersebut, kita tidak dapat membukanya dengan program text editor, tetapi harus menggunakan Command Prompt dengan mengetikkan perintah sebagai berikut:

snort –r C:\Snort\log\snort.log.[deretan angka acak]
Perintah –r digunakan untuk membaca file log, yaitu C:\Snort\log\snort.log.[deretan angka acak].
Setelah mengetikkan perintah di atas, tekan tombol Enter, maka pada jendela Command Prompt akan muncul isi file log tersebut. Berikut ini adalah screenshot pada jendela Command Prompt saat isi file log ditampilkan.

Referensi:

1. http://www.snort.org/
2. http://www.snort.org/docs/writing_rules/chap2.html
3. http://marc.theaimgroup.com/?1=snort-users
4. http://fidkemp.wordpress.com/2011/03/06/snort-di-windows.php
5. http://almaipii.multiply.com/journal
6. http://www.sans.org/security-resources/idfaq/running-snort-windows.php
7. http://kantin-stmikbg.blogspot.com/2012/10/cara-install-snort-nids-di-ubuntu.html
8. http://kupu-terbang.blogspot.com/2012/09/implementasi-snort-windows-7.html
9. http://arifdwipurwanto.blogspot.com/2013/01/snort.html