Pada percobaan kali ini, Sofware IDS yang akan saya gunakan adalah SNORT yang berjalan pada ubuntu 10.10.
Cara kerja sistem sangat sederhana. snort akan melakukan log terhadap koneksi ke server dan menyimpan log ke dalam database mysql. untuk membaca log tersebut, menggunakan BASE. script PHP yang khusus digunakan untuk membaca database snort

1. Install software pendukung yang kita butuhkan

#sudo apt-get install libpcre3 libpcre3-dev libpcrecpp0 libpcap0.8 libpcap0.8-dev \
mysql-server libmysqlclient15-dev libphp-adodb libgd2-xpm libgd2-xpm-dev php5-mysql \
php5-gd php-pear apache2 php5 php5-xmlrpc php5-mysql php5-gd php5-cli php5-curl \
mysql-client libdumbnet1 libdumbnet-dev php5-adodb

#pear install Numbers_Roman-1.0.2
#pear install Numbers_Words-0.16.2
#pear install Image_Canvas-0.3.2
#pear install Image_Graph-0.7.2
#pear install --alldeps mail

2. Install snort mysql

#apt-get install snort-mysql

3. Buat database untuk snort

#mysqladmin -uroot -prahasia create snortdb
#zcat /usr/share/doc/snort-mysql/create_mysql.gz | mysql -uroot -prahasia snortdb

5. hapus file pending dan Edit file /etc/snort/snort.conf

#rm /etc/snort/
#vi /etc/snort/snort.conf

Ubah menjadi

var HOME_NET 192.168.1.0/24
output database: log, mysql, user=root password=rahasia dbname=snortdb host=localhost

6. Download dan install BASE

#wget -c http://sourceforge.net/projects/secureideas/files/BASE/base-1.4.5/base-1.4.5.tar.gz/download
#mv xzvf base-1.4.5.tar.gz /var/www
#cd /var/www
#tar xzvf base-1.4.5.tar.gz
#mv base-1.4.5 base
#cd base
#cp base_conf.php.dist base_conf.php

Edit Konfigurasi BASE

# vi base_conf.php

Ubah menjadi :

$BASE_urlpath = "/base";
$DBlib_path = "/usr/share/php/adodb/";
$DBtype = "mysql"; 

$alert_dbname   = 'snortdb';
$alert_host     = 'localhost';
$alert_port     = '3306';
$alert_user     = 'root';
$alert_password = 'rahasia'; 

$archive_exists   = 0;
$archive_dbname   = 'snortdb';
$archive_host     = 'localhost';
$archive_port     = 3306;
$archive_user     = 'root';
$archive_password = 'rahasia';

Buka halaman base melalui URL http://localhost/base

Pada percobaan kali ini, saya menggunakan Linux distribusi Ubuntu 9.04 (Jaunty Jackalope).

INSTALASI DAN KONFIGURASI DNS

untuk menginstall DNS, software yang harus diinstall adalah bind. saat ini, versi terakhri adalah versi 9.


$ sudo apt-get install bind9


langkah selanjutnya adalah membuat zone. Zone yang akan kita buat adalah zone dengan nama domain firman.edu

Edit file /etc/bind/named.conf dan tambahkan baris berikut :


zone "firman.edu" {
type master;
file "/etc/bind/firman.edu.db";
};

Langkah selanjutnya adalah membuat sebuah file dengan nama /etc/bind/firman.edu.db . Nama file ini harus sesuah dengan isi file /etc/bind/named.conf yang kita buat sebelumnya. kemudian isikan dengan baris berikut :

$TTL    604800
@       IN      SOA     @  root.firman.edu. (
                     2                   ; Serial
                    604800         ; Refresh
                    86400          ; Retry
                    2419200        ; Expire
                    604800 )       ; Negative Cache TTL

@               IN      NS      ns1
                   IN      A       192.168.1.100
ns1             IN      A       192.168.1.100

Load ulang konfigurasi DNS


$ sudo /etc/init.d/bind9 reload


Ubah konfigurasi DNS supaya diarahkan ke komputer kita sendiri dengan mengedit file /etc/resolv.conf

nameserver 192.168.1.100
nameserver 127.0.0.1

Cek konfigurasi dengan menggunakan tool nslookup ataupun dig


$ nslookup firman.edu

dan hasilnya, mestinya sbb :


Server: 192.168.1.100
Address: 192.168.1.100#53

Name: firman.edu
Address: 192.168.1.100

Jika hasilnya seperti di atas, artinya konfiguras DNS sudah beres. Jika ada yang salah, lihat lognya di file /var/log/syslog

INSTALLASI APACHE WEBSERVER, PHP & MYSQL


$ sudo apt-get install apache2 mysql-server php5 php5-mysql


Secara default, Dokumen Root apache2 yang diinstall di ubuntu disimpan dalam direktori /var/www

oleh karena itu, edit file index.html di direktori /var/www menjadi sbb :


Welcome to firman.edu


Simpan kemudian cek di web browser…

MEMBUAT SITE BARU

Site baru yang dimaksud adalah membuat website dengan menggunakan subdomain. tetapi mempunyai tampilan halaman web yang berbeda dengan halaman web utama. Contohnya kita akan membuat website dengan nama domain penmaru.firman.edu

1. Siapkan subdomain penmaru.firman.edu

Edit file /etc/bind/firman.edu.db dan tambahkan baris berikut

penmaru         IN       A      192.168.1.100

reload service DNS


$ sudo /etc/init.d/bind9 reload


Cek apakah domain penmaru.firman.edu sudah bisa diresolve atau belum


$ nslookkup penmaru.firman.edu


Hasilnya sbb :

Server: 192.168.1.100
Address: 192.168.1.100#53
Name: penmaru.firman.edu
Address: 192.168.1.100


2. Konfigurasi Apache Virtualhost untuk domain penmaru.firman.edu

Buat direktori untuk documentroot domain penmaru.firman.edu


$ sudo mkdir /web/penmaru.firman.edu -p

ubah kepemilikan dan permission filenya

$ chmod 755 -Rf /web
$ chown www-data.www-data -Rf /web


Buat sebuah file dengan nama penmaru.firman.edu dan simpan di dalam direktori /etc/apache2/sites-available dan isikan baris berikut

ServerName penmaru.firman.edu
ServerAlias www.penmaru.firman.edu
ServerAdmin firman@inixindojogja.com
DocumentRoot /web/penmaru.firman.edu
ErrorLog /var/log/apache2/penmaru.firman.error.log
CustomLog /var/log/apache2/penmaru.firman.access.log common
DirectoryIndex index.php index.html index.htm

Options -Indexes
Order Allow,Deny
Allow from all

Aktifkan site virtual host

$ sudo a2ensite penmaru.firman.edu


Restart apache


$ sudo /etc/init.d/apache2 reload