Upgrade to Pro — share decks privately, control downloads, hide ads and more …

IDS, Dingap, dan Honeypot

stwn
June 18, 2012

IDS, Dingap, dan Honeypot

Materi kuliah Ethical Hacking tahun ajaran 2011/2012.

Saya diminta mengajar mata kuliah ini di program studi Teknik Informatika[1], Unsoed. Tadinya menempatkan diri sebagai "ban serep" saja, ternyata memang tidak ada yang "berani".

Jadi, akhirnya saya mengajar dengan riang gembira, membaca buku serta menuliskan dan menceritakan sedikit pengalaman saya di dunia keamanan.

[1] Program studi "rumah" saya adalah Teknik Elektro

stwn

June 18, 2012
Tweet

More Decks by stwn

Other Decks in Technology

Transcript

  1. Tahun Ajaran 2011/2012 IDS, Dingap, dan Honeypot Ethical Hacking and

    Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id>
  2. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed IDS, Dingap, dan Honeypot • IDS, dingap, dan honeypot digunakan untuk mencegah penyerang tidak/relatif susah untuk mendapat akses ke sistem atau jaringan target. • IDS dan dingap adalah perangkat yang berguna untuk memantau lalu lintas paket berdasarkan aturan terdefinisi. • Honeypot adalah sistem target “palsu” yang digunakan untuk memancing penyerang agar tidak menyerang sistem “asli”.
  3. IDS

  4. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Intrusion Detection System (IDS) • Memeriksa lalu lintas data & mendeteksi tanda­tanda serangan atau perilaku yang tidak umum, berdasarkan basis data pola yang terdefinisi. “analisis­deteksi” • Terdiri dari pengendus paket, basis data tanda/pola serangan, dan pemberitahuan melalui bermacam media seperti pager, surel, pesan singkat, dll. • Intrusion Prevention System (IPS) digunakan untuk melakukan penanggulangan serangan, seperti memblok lalu lintas data yang terdeteksi “nakal”. • IPS merespon tanda/pola serangan secara otomatis untuk menolak atau memblok akses ke sistem/jaringan target.
  5. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Tipe-Tipe IDS • Berbasis host: program IDS yang dipasang di sebuah sistem dan memantau tanda/pola serangan ke sistem tersebut. • Berbasis jaringan: program IDS yang dipasang di segmen jaringan yang digunakan untuk memantau lalu lintas data terhadap tanda/pola serangan. • Termasuk serangan terhadap layanan yang lemah, data pada aplikasi, eksploitasi akses jarak jauh, percobaan login, akses ke berkas yang sensitif, malware, dan lain­lain.
  6. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed IDS bersifat pasif. Sensor IDS akan mendeteksi kejadian, mencatat informasinya, dan melapor- kan ke konsol/media yang digunakan admin.
  7. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
  8. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Snort (1) • Snort adalah sebuah NIDS yang memiliki kemampuan sniffing secara real­time dan merekam lalu lintas data di dalam jaringan. Berlisensi GNU GPL. • Dapat menganalisis protokol, melakukan pencarian konten, dan mendeteksi bermacam serangan dan prob seperti buffer over­ flow, pemindaian SYN stealth, penjejakan sistem operasi, dan lain­lain. • Terdiri dari: • mesin Snort: mesin deteksi IDS yang menggunakan arsitektur pengaya yang modular. • aturan Snort: bahasa aturan untuk menggambarkan pola lalu lintas yang akan ditangkap.
  9. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Snort (2) • Memiliki 3 mode: sniffer, packet logger, dan NIDS. • Menggunakan berkas konfigurasi snort.conf. • Variabel­variabel di dalam berkas konfigurasi dikategorikan menjadi: • Variabel jaringan • Preprocessor. • Postprocessor. • Aturan.
  10. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed var HOME_NET 192.168.1.0/24 var EXTERNAL_NET any var SMTP $HOME_NET var HTTP_SERVERS $HOME_NET var SQL_SERVERS $HOME_NET var DNS_SERVERS $HOME_NET var RULE_PATH /etc/snort/rules
  11. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules include $RULE_PATH/ftp.rules include $RULE_PATH/telnet.rules include $RULE_PATH/smtp.rules include $RULE_PATH/rpc.rules include $RULE_PATH/dos.rules include $RULE_PATH/ddos.rules include $RULE_PATH/dns.rules include $RULE_PATH/web­cgi.rules
  12. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Snort (3) • Aturan Snort mempunyai header yang terdiri dari bagian: <aturan aksi>, <protokol>, <alamat dan porta sumber>, <alamat dan porta tujuan>. • alert tcp $EXTERNAL_NET any ­> $HOME_NET 23 • Mengirim pemberitahuan ke konsol dan mencatat pesan setiap aktivitas pada protokol TCP dari alamat selain NIDS dengan porta apa saja ke alamat tujuan lokal pada porta 23. • Header aturan snort diikuti oleh opsi aturan. • msg: “TELNET telnetd format bug”, pencatatan/pemberitahuan. • flags: A+, cocok dengan flag TCP ACK. • content: /bin/sh, pola konten payload paket. • classtype: attempted­admin, kelas serangan attempted­admin.
  13. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Keluaran Snort • Waktu. 06/18­08:23:13.325017 • Alamat MAC sumber dan tujuan. 00:08:02:FB:33:C2 ­> 00:02:9B:15:A4:6F • Tipe frame dan panjangnya. type:0x800 len:0x3B • Alamat IP:porta sumber dan tujuan. 202.108.43.14:445 ­> 202.105.43.28:2112 • Protokol TCP dengan Time To Live (TTL) 128. TCP TTL:128
  14. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Flag dan nomor porta TCP.
  15. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Teknik “Menipu” IDS • IDS dapat melakukan analisis tanda/pola tertentu yang sudah terdefinisi atau dapat pula mendeteksi kejadian anomali. • Penyerang dapat “menipu” IDS dengan mengubah lalu lintas data yang dipakai agar tidak sesuai dengan tanda/pola yang diketahui IDS. • Penggunaan protokol yang berbeda. Contoh: UDP, HTTP. • Membuat serangan menjadi “modular”. • Menyisipkan data tambahan. • Mengubah pola atau perintah serangan. • Mengenkripsi serangan ;­)
  16. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Dingap dan Honeypot • Dingap: program atau perangkat yang digunakan untuk penyaringan lalu lintas dari dan ke dalam jaringan, sesuai dengan aturan yang ditentukan oleh administrator. Umumnya di letakkan di “depan” jaringan. “perijinan” • Honeypot: sistem yang digunakan sebagai “umpan” untuk menangkap, mempelajari, atau mengalihkan penyerang dari sistem target. • Umumnya ditempatkan di DMZ. • Terdapat pencatatan aktivitas di dalam sistem. • Seperti peladen “asli” dan menarik untuk diserang ;­)
  17. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
  18. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
  19. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide Honeynet
  20. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed The Honeynet Project http://honeynet.org/
  21. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Teknik Melewati Dingap/Honeypot • Menguasai sistem internal atau yang dipercaya oleh si dingap ;­) • Ingat porta yang hampir selalu terbuka: 80. • Buat “lorong”/tunnel melewati porta yang terbuka. • Kombinasikan dengan “shell www” dan enkripsi komunikasi. • Membekali dengan pengetahuan target sistem dan program yang umum digunakan. • Contoh program untuk membuat honeypot: honeyd. • Menggunakan program pendeteksi honeypot.
  22. Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik

    Informatika, Unsoed Daftar Bacaan • EC­Council. 2008. Module XXIII: Evading IDS, Firewalls, and Honeypots, Ethical Hacking and Countermeasures Version 6 • Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide, Sybex