Babi tukang update Snort

Saya sudah pernah menulis tentang bagaimana membangun Snort sebagai Intrusion Detection System, pada waktu yang mepet-mepet begini, karena udah suntuk dan tidak punya kegiatan lain (ngerjain skripsi lagi mentok, huehehehe) akhirnya saya bongkar-bongkar (baca: oprek-oprek) lagi IDS di server. Sekalian ngeliat log alertnya.

Sekarang tanggal 25 September 2007, VRT signature rules dari Snort terbit hari ini pukul 7:38 AM (GMT +0700) belom saya download dan install di server. Untuk itu, saya punya alasan bahwa kegiatan ini menjadi lebih berarti karena memang dalihnya adalah melakukan update signature rules dari IDS, heuheehe (pinter aja berkilah, kaya kancil, weks :p).

Daripada capek-capek nungguin VRT signature rules dari Snort, download, install, kenapa ga dibikin otomatis aja ya?! Hehehe, bener…khan ada Oinkmaster, duh bener-bener ga kepikiran. Akhirnya saya larikan browser ke situs oinkmaster di http://oinkmaster.sf.net trus download versi terakhir yaitu Oinkmaster-2.0 (2006-02-18).
Setelah di download, saya lakukan hal-hal sebagai berikut:

root@gw:/usr/src# tar xzf oinkmaster-2.0.tar.gz
root@gw:/usr/src# cd oinkmaster-2.0
root@gw:/usr/src/oinkmaster-2.0# ls -al
total 272
drwxr–r– 3 root root 4096 2006-02-18 19:35 .
drwxr-xr-x 19 root root 4096 2007-09-26 17:22 ..
-rw-r–r– 1 root root 21825 2006-02-18 19:35 ChangeLog
-rw-r–r– 1 root root 43339 2006-02-18 19:35 FAQ
-rw-r–r– 1 root root 2503 2006-02-18 19:35 INSTALL
-rw-r–r– 1 root root 1584 2006-02-18 19:35 LICENSE
-rw-r–r– 1 root root 16837 2006-02-18 19:35 README
-rw-r–r– 1 root root 3489 2006-02-18 19:35 README.gui
-rw-r–r– 1 root root 4827 2006-02-18 19:35 README.templates
-rw-r–r– 1 root root 4823 2006-02-18 19:35 README.win32
-rw-r–r– 1 root root 2105 2006-02-18 19:35 UPGRADING
drwxr–r– 2 root root 4096 2006-02-18 19:35 contrib
-rw-r–r– 1 root root 10655 2006-02-18 19:35 oinkmaster.1
-rw-r–r– 1 root root 20543 2006-02-18 19:35 oinkmaster.conf
-rwxr–r– 1 root root 93116 2006-02-18 19:35 oinkmaster.pl
-rw-r–r– 1 root root 5747 2006-02-18 19:35 template-examples.conf
root@gw:/usr/src/oinkmaster-2.0#

Yang perlu dilakukan berikutnya adalah mengkopi file oinkmaster.conf ke direktori /etc atau di direktori milik snort di /etc/snort. Saya mengkopinya ke direktori /etc/snort/.

Selanjutnya kopi file oinkmaster.1 ke /usr/man/man1/. Kopi juga file oinkmaster.pl di /usr/local/bin atau di direktori ekseskusi yang bisa dilihat dengan cara mengetikkan:

root@gw:/usr/src# export $PATH
bash: export: `/usr/local/sbin:/usr/local/bin:/sbin:/usr/sbin:/bin:/usr/bin:/root/bin:/usr/local/bin:/usr/local/sbin:/usr/sbin:/usr/bin’: not a valid identifier
root@gw:/usr/src#

Edit file oinkmaster.conf di /etc/snort/ dan masukan Oink Code yang sudah kita dapatkan dari situs http://www.snort.org (untuk mendapatkan Oink Code, harus melakukan registrasi di situs Snort)

Lakukan juga autodisable rules untuk rules yang saat ini kita jalankan dengan menggunakan script makesidex.pl pada direktori contrib di dalam direktori oinkmaster-2.0 yang sudah diekstrak tadi.

root@gw:/usr/src/# cd oinkmaster-2.0/contrib
root@gw:/usr/src/oinkmaster-2.0/contrib# perl makesidex.pl /etc/snort/rules > /etc/autodisable.conf

Kalo sudah, silakan jalankan :

root@gw:/usr/src# /usr/local/bin/oinkmaster.pl -C /etc/snort/oinkmaster.conf -C /etc/autodisable.conf -o /etc/snort/rules
Loading /etc/snort/oinkmaster.conf
Loading /etc/autodisable.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-CURRENT.tar.gz…

Biarkan prosesnya terus berjalan, setelah selesai maka saya sudah mempunyai VRT signature terbaru dari Snort. 🙂