IDS, Dingap, dan Honeypot

Transcript

1. Tahun Ajaran 2011/2012 IDS, Dingap, dan Honeypot Ethical Hacking and

   Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id>

2. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

   Informatika, Unsoed IDS, Dingap, dan Honeypot • IDS, dingap, dan honeypot digunakan untuk mencegah penyerang tidak/relatif susah untuk mendapat akses ke sistem atau jaringan target. • IDS dan dingap adalah perangkat yang berguna untuk memantau lalu lintas paket berdasarkan aturan terdefinisi. • Honeypot adalah sistem target “palsu” yang digunakan untuk memancing penyerang agar tidak menyerang sistem “asli”.

3. IDS

4. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

   Informatika, Unsoed Intrusion Detection System (IDS) • Memeriksa lalu lintas data & mendeteksi tanda­tanda serangan atau perilaku yang tidak umum, berdasarkan basis data pola yang terdefinisi. “analisis­deteksi” • Terdiri dari pengendus paket, basis data tanda/pola serangan, dan pemberitahuan melalui bermacam media seperti pager, surel, pesan singkat, dll. • Intrusion Prevention System (IPS) digunakan untuk melakukan penanggulangan serangan, seperti memblok lalu lintas data yang terdeteksi “nakal”. • IPS merespon tanda/pola serangan secara otomatis untuk menolak atau memblok akses ke sistem/jaringan target.

5. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

   Informatika, Unsoed False alarm.

6. Tipe-Tipe IDS

7. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

   Informatika, Unsoed Tipe-Tipe IDS • Berbasis host: program IDS yang dipasang di sebuah sistem dan memantau tanda/pola serangan ke sistem tersebut. • Berbasis jaringan: program IDS yang dipasang di segmen jaringan yang digunakan untuk memantau lalu lintas data terhadap tanda/pola serangan. • Termasuk serangan terhadap layanan yang lemah, data pada aplikasi, eksploitasi akses jarak jauh, percobaan login, akses ke berkas yang sensitif, malware, dan lain­lain.

8. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

   Informatika, Unsoed IDS bersifat pasif. Sensor IDS akan mendeteksi kejadian, mencatat informasinya, dan melapor- kan ke konsol/media yang digunakan admin.

9. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

   Informatika, Unsoed AIDE.

10. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide

11. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed stwn, 2003.

12. Snort http://snort.org/

13. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Snort (1) • Snort adalah sebuah NIDS yang memiliki kemampuan sniffing secara real­time dan merekam lalu lintas data di dalam jaringan. Berlisensi GNU GPL. • Dapat menganalisis protokol, melakukan pencarian konten, dan mendeteksi bermacam serangan dan prob seperti buffer over­ flow, pemindaian SYN stealth, penjejakan sistem operasi, dan lain­lain. • Terdiri dari: • mesin Snort: mesin deteksi IDS yang menggunakan arsitektur pengaya yang modular. • aturan Snort: bahasa aturan untuk menggambarkan pola lalu lintas yang akan ditangkap.

14. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Snort (2) • Memiliki 3 mode: sniffer, packet logger, dan NIDS. • Menggunakan berkas konfigurasi snort.conf. • Variabel­variabel di dalam berkas konfigurasi dikategorikan menjadi: • Variabel jaringan • Preprocessor. • Postprocessor. • Aturan.

15. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed var HOME_NET 192.168.1.0/24 var EXTERNAL_NET any var SMTP $HOME_NET var HTTP_SERVERS $HOME_NET var SQL_SERVERS $HOME_NET var DNS_SERVERS $HOME_NET var RULE_PATH /etc/snort/rules

16. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules include $RULE_PATH/ftp.rules include $RULE_PATH/telnet.rules include $RULE_PATH/smtp.rules include $RULE_PATH/rpc.rules include $RULE_PATH/dos.rules include $RULE_PATH/ddos.rules include $RULE_PATH/dns.rules include $RULE_PATH/web­cgi.rules

17. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Snort (3) • Aturan Snort mempunyai header yang terdiri dari bagian: <aturan aksi>, <protokol>, <alamat dan porta sumber>, <alamat dan porta tujuan>. • alert tcp $EXTERNAL_NET any ­> $HOME_NET 23 • Mengirim pemberitahuan ke konsol dan mencatat pesan setiap aktivitas pada protokol TCP dari alamat selain NIDS dengan porta apa saja ke alamat tujuan lokal pada porta 23. • Header aturan snort diikuti oleh opsi aturan. • msg: “TELNET telnetd format bug”, pencatatan/pemberitahuan. • flags: A+, cocok dengan flag TCP ACK. • content: /bin/sh, pola konten payload paket. • classtype: attempted­admin, kelas serangan attempted­admin.

18. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Keluaran Snort • Waktu. 06/18­08:23:13.325017 • Alamat MAC sumber dan tujuan. 00:08:02:FB:33:C2 ­> 00:02:9B:15:A4:6F • Tipe frame dan panjangnya. type:0x800 len:0x3B • Alamat IP:porta sumber dan tujuan. 202.108.43.14:445 ­> 202.105.43.28:2112 • Protokol TCP dengan Time To Live (TTL) 128. TCP TTL:128

19. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Flag dan nomor porta TCP.

20. Bagaimana cara “menipu” IDS?

21. Teknik “Menipu” IDS

22. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Teknik “Menipu” IDS • IDS dapat melakukan analisis tanda/pola tertentu yang sudah terdefinisi atau dapat pula mendeteksi kejadian anomali. • Penyerang dapat “menipu” IDS dengan mengubah lalu lintas data yang dipakai agar tidak sesuai dengan tanda/pola yang diketahui IDS. • Penggunaan protokol yang berbeda. Contoh: UDP, HTTP. • Membuat serangan menjadi “modular”. • Menyisipkan data tambahan. • Mengubah pola atau perintah serangan. • Mengenkripsi serangan ;­)

23. Dingap dan Honeypot

24. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Dingap dan Honeypot • Dingap: program atau perangkat yang digunakan untuk penyaringan lalu lintas dari dan ke dalam jaringan, sesuai dengan aturan yang ditentukan oleh administrator. Umumnya di letakkan di “depan” jaringan. “perijinan” • Honeypot: sistem yang digunakan sebagai “umpan” untuk menangkap, mempelajari, atau mengalihkan penyerang dari sistem target. • Umumnya ditempatkan di DMZ. • Terdapat pencatatan aktivitas di dalam sistem. • Seperti peladen “asli” dan menarik untuk diserang ;­)

25. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide

26. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide

27. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide Honeynet

28. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed The Honeynet Project http://honeynet.org/

29. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Virtualisasi.

30. Teknik Melewati Dingap dan Honeypot

31. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Teknik Melewati Dingap/Honeypot • Menguasai sistem internal atau yang dipercaya oleh si dingap ;­) • Ingat porta yang hampir selalu terbuka: 80. • Buat “lorong”/tunnel melewati porta yang terbuka. • Kombinasikan dengan “shell www” dan enkripsi komunikasi. • Membekali dengan pengetahuan target sistem dan program yang umum digunakan. • Contoh program untuk membuat honeypot: honeyd. • Menggunakan program pendeteksi honeypot.

32. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Daftar Bacaan • EC­Council. 2008. Module XXIII: Evading IDS, Firewalls, and Honeypots, Ethical Hacking and Countermeasures Version 6 • Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide, Sybex