Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
Tahun Ajaran 2011/2012
IDS, Dingap,dan Honeypot
Ethical Hacking and Countermeasures (PAI 083213)Program Studi Teknik Informatika, Unsoed
Iwan Setiawan <stwn at unsoed.ac.id>
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
IDS, Dingap, dan Honeypot
● IDS, dingap, dan honeypot digunakan untuk mencegah penyerang tidak/relatif susah untuk mendapat akses ke sistem atau jaringan target.
● IDS dan dingap adalah perangkat yang berguna untuk memantau lalu lintas paket berdasarkan aturan terdefinisi.
● Honeypot adalah sistem target “palsu” yang digunakan untuk memancing penyerang agar tidak menyerang sistem “asli”.
IDS
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Intrusion Detection System (IDS)
● Memeriksa lalu lintas data & mendeteksi tandatanda serangan atau perilaku yang tidak umum, berdasarkan basis data pola yang terdefinisi. “analisisdeteksi”
● Terdiri dari pengendus paket, basis data tanda/pola serangan, dan pemberitahuan melalui bermacam media seperti pager, surel, pesan singkat, dll.
● Intrusion Prevention System (IPS) digunakan untuk melakukan penanggulangan serangan, seperti memblok lalu lintas data yang terdeteksi “nakal”.
● IPS merespon tanda/pola serangan secara otomatis untuk menolak atau memblok akses ke sistem/jaringan target.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
False alarm.
Tipe-Tipe IDS
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Tipe-Tipe IDS
● Berbasis host: program IDS yang dipasang di sebuah sistem dan memantau tanda/pola serangan ke sistem tersebut.
● Berbasis jaringan: program IDS yang dipasang di segmen jaringan yang digunakan untuk memantau lalu lintas data terhadap tanda/pola serangan.● Termasuk serangan terhadap layanan yang lemah, data
pada aplikasi, eksploitasi akses jarak jauh, percobaan login, akses ke berkas yang sensitif, malware, dan lainlain.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
IDS bersifat pasif. Sensor IDS akan mendeteksi kejadian, mencatat informasinya, dan melapor- kan ke konsol/media yang digunakan admin.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
AIDE.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
stwn, 2003.
Snorthttp://snort.org/
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Snort (1)
● Snort adalah sebuah NIDS yang memiliki kemampuan sniffing secara realtime dan merekam lalu lintas data di dalam jaringan. Berlisensi GNU GPL.
● Dapat menganalisis protokol, melakukan pencarian konten, dan mendeteksi bermacam serangan dan prob seperti buffer overflow, pemindaian SYN stealth, penjejakan sistem operasi, dan lainlain.
● Terdiri dari:● mesin Snort: mesin deteksi IDS yang menggunakan arsitektur
pengaya yang modular.
● aturan Snort: bahasa aturan untuk menggambarkan pola lalu lintas yang akan ditangkap.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Snort (2)
● Memiliki 3 mode: sniffer, packet logger, dan NIDS.● Menggunakan berkas konfigurasi snort.conf.● Variabelvariabel di dalam berkas konfigurasi
dikategorikan menjadi:● Variabel jaringan● Preprocessor.● Postprocessor.● Aturan.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
var HOME_NET 192.168.1.0/24var EXTERNAL_NET anyvar SMTP $HOME_NETvar HTTP_SERVERS $HOME_NETvar SQL_SERVERS $HOME_NETvar DNS_SERVERS $HOME_NETvar RULE_PATH /etc/snort/rules
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
include $RULE_PATH/exploit.rulesinclude $RULE_PATH/scan.rulesinclude $RULE_PATH/ftp.rulesinclude $RULE_PATH/telnet.rulesinclude $RULE_PATH/smtp.rulesinclude $RULE_PATH/rpc.rulesinclude $RULE_PATH/dos.rulesinclude $RULE_PATH/ddos.rulesinclude $RULE_PATH/dns.rulesinclude $RULE_PATH/webcgi.rules
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Snort (3)
● Aturan Snort mempunyai header yang terdiri dari bagian: <aturan aksi>, <protokol>, <alamat dan porta sumber>, <alamat dan porta tujuan>.● alert tcp $EXTERNAL_NET any > $HOME_NET 23
● Mengirim pemberitahuan ke konsol dan mencatat pesan setiap aktivitas pada protokol TCP dari alamat selain NIDS dengan porta apa saja ke alamat tujuan lokal pada porta 23.
● Header aturan snort diikuti oleh opsi aturan.● msg: “TELNET telnetd format bug”, pencatatan/pemberitahuan.
● flags: A+, cocok dengan flag TCP ACK.
● content: /bin/sh, pola konten payload paket.
● classtype: attemptedadmin, kelas serangan attemptedadmin.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Keluaran Snort
● Waktu.
06/1808:23:13.325017
● Alamat MAC sumber dan tujuan.
00:08:02:FB:33:C2 > 00:02:9B:15:A4:6F
● Tipe frame dan panjangnya.
type:0x800 len:0x3B
● Alamat IP:porta sumber dan tujuan.
202.108.43.14:445 > 202.105.43.28:2112
● Protokol TCP dengan Time To Live (TTL) 128.
TCP TTL:128
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Flag dan nomor porta TCP.
Bagaimana cara“menipu” IDS?
Teknik “Menipu” IDS
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Teknik “Menipu” IDS
● IDS dapat melakukan analisis tanda/pola tertentu yang sudah terdefinisi atau dapat pula mendeteksi kejadian anomali.
● Penyerang dapat “menipu” IDS dengan mengubah lalu lintas data yang dipakai agar tidak sesuai dengan tanda/pola yang diketahui IDS.● Penggunaan protokol yang berbeda. Contoh: UDP, HTTP.● Membuat serangan menjadi “modular”.● Menyisipkan data tambahan.● Mengubah pola atau perintah serangan.● Mengenkripsi serangan ;)
Dingap danHoneypot
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Dingap dan Honeypot
● Dingap: program atau perangkat yang digunakan untuk penyaringan lalu lintas dari dan ke dalam jaringan, sesuai dengan aturan yang ditentukan oleh administrator. Umumnya di letakkan di “depan” jaringan. “perijinan”
● Honeypot: sistem yang digunakan sebagai “umpan” untuk menangkap, mempelajari, atau mengalihkan penyerang dari sistem target.● Umumnya ditempatkan di DMZ.● Terdapat pencatatan aktivitas di dalam sistem.● Seperti peladen “asli” dan menarik untuk diserang ;)
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
Honeynet
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
The Honeynet Projecthttp://honeynet.org/
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Virtualisasi.
Teknik MelewatiDingap dan Honeypot
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Teknik Melewati Dingap/Honeypot
● Menguasai sistem internal atau yang dipercaya oleh si dingap ;)
● Ingat porta yang hampir selalu terbuka: 80.
● Buat “lorong”/tunnel melewati porta yang terbuka.● Kombinasikan dengan “shell www” dan enkripsi
komunikasi.● Membekali dengan pengetahuan target sistem dan
program yang umum digunakan.● Contoh program untuk membuat honeypot: honeyd.
● Menggunakan program pendeteksi honeypot.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
Daftar Bacaan
● ECCouncil. 2008. Module XXIII: Evading IDS, Firewalls, and Honeypots, Ethical Hacking and Countermeasures Version 6
● Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide, Sybex