ids, dingap, dan honeypotstwn/kul/pai083213/ethack-2012-12.pdf · kombinasikan dengan “shell...

Tahun Ajaran 2011/2012

IDS, Dingap,dan Honeypot

Ethical Hacking and Countermeasures (PAI 083213)Program Studi Teknik Informatika, Unsoed

Iwan Setiawan <stwn at unsoed.ac.id>

Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed

IDS, Dingap, dan Honeypot

● IDS, dingap, dan honeypot digunakan untuk mencegah penyerang tidak/relatif susah untuk mendapat akses ke sistem atau jaringan target.

● IDS dan dingap adalah perangkat yang berguna untuk memantau lalu lintas paket berdasarkan aturan terdefinisi.

● Honeypot adalah sistem target “palsu” yang digunakan untuk memancing penyerang agar tidak menyerang sistem “asli”.


Intrusion Detection System (IDS)

● Memeriksa lalu lintas data & mendeteksi tandatanda serangan atau perilaku yang tidak umum, berdasarkan basis data pola yang terdefinisi. “analisisdeteksi”

● Terdiri dari pengendus paket, basis data tanda/pola serangan, dan pemberitahuan melalui bermacam media seperti pager, surel, pesan singkat, dll.

● Intrusion Prevention System (IPS) digunakan untuk melakukan penanggulangan serangan, seperti memblok lalu lintas data yang terdeteksi “nakal”.

● IPS merespon tanda/pola serangan secara otomatis untuk menolak atau memblok akses ke sistem/jaringan target.


False alarm.

Tipe-Tipe IDS


Tipe-Tipe IDS

● Berbasis host: program IDS yang dipasang di sebuah sistem dan memantau tanda/pola serangan ke sistem tersebut.

● Berbasis jaringan: program IDS yang dipasang di segmen jaringan yang digunakan untuk memantau lalu lintas data terhadap tanda/pola serangan.● Termasuk serangan terhadap layanan yang lemah, data

pada aplikasi, eksploitasi akses jarak jauh, percobaan login, akses ke berkas yang sensitif, malware, dan lainlain.


IDS bersifat pasif. Sensor IDS akan mendeteksi kejadian, mencatat informasinya, dan melapor- kan ke konsol/media yang digunakan admin.


AIDE.


Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide


stwn, 2003.

Snorthttp://snort.org/


Snort (1)

● Snort adalah sebuah NIDS yang memiliki kemampuan sniffing secara realtime dan merekam lalu lintas data di dalam jaringan. Berlisensi GNU GPL.

● Dapat menganalisis protokol, melakukan pencarian konten, dan mendeteksi bermacam serangan dan prob seperti buffer overflow, pemindaian SYN stealth, penjejakan sistem operasi, dan lainlain.

● Terdiri dari:● mesin Snort: mesin deteksi IDS yang menggunakan arsitektur

pengaya yang modular.

● aturan Snort: bahasa aturan untuk menggambarkan pola lalu lintas yang akan ditangkap.


Snort (2)

● Memiliki 3 mode: sniffer, packet logger, dan NIDS.● Menggunakan berkas konfigurasi snort.conf.● Variabelvariabel di dalam berkas konfigurasi

dikategorikan menjadi:● Variabel jaringan● Preprocessor.● Postprocessor.● Aturan.


var HOME_NET 192.168.1.0/24var EXTERNAL_NET anyvar SMTP $HOME_NETvar HTTP_SERVERS $HOME_NETvar SQL_SERVERS $HOME_NETvar DNS_SERVERS $HOME_NETvar RULE_PATH /etc/snort/rules


include $RULE_PATH/exploit.rulesinclude $RULE_PATH/scan.rulesinclude $RULE_PATH/ftp.rulesinclude $RULE_PATH/telnet.rulesinclude $RULE_PATH/smtp.rulesinclude $RULE_PATH/rpc.rulesinclude $RULE_PATH/dos.rulesinclude $RULE_PATH/ddos.rulesinclude $RULE_PATH/dns.rulesinclude $RULE_PATH/webcgi.rules


Snort (3)

● Aturan Snort mempunyai header yang terdiri dari bagian: <aturan aksi>, <protokol>, <alamat dan porta sumber>, <alamat dan porta tujuan>.● alert tcp $EXTERNAL_NET any > $HOME_NET 23

● Mengirim pemberitahuan ke konsol dan mencatat pesan setiap aktivitas pada protokol TCP dari alamat selain NIDS dengan porta apa saja ke alamat tujuan lokal pada porta 23.

● Header aturan snort diikuti oleh opsi aturan.● msg: “TELNET telnetd format bug”, pencatatan/pemberitahuan.

● flags: A+, cocok dengan flag TCP ACK.

● content: /bin/sh, pola konten payload paket.

● classtype: attemptedadmin, kelas serangan attemptedadmin.


Keluaran Snort

● Waktu.

06/1808:23:13.325017

● Alamat MAC sumber dan tujuan.

00:08:02:FB:33:C2 > 00:02:9B:15:A4:6F

● Tipe frame dan panjangnya.

type:0x800 len:0x3B

● Alamat IP:porta sumber dan tujuan.

202.108.43.14:445 > 202.105.43.28:2112

● Protokol TCP dengan Time To Live (TTL) 128.

TCP TTL:128


Flag dan nomor porta TCP.

Bagaimana cara“menipu” IDS?

Teknik “Menipu” IDS


Teknik “Menipu” IDS

● IDS dapat melakukan analisis tanda/pola tertentu yang sudah terdefinisi atau dapat pula mendeteksi kejadian anomali.

● Penyerang dapat “menipu” IDS dengan mengubah lalu lintas data yang dipakai agar tidak sesuai dengan tanda/pola yang diketahui IDS.● Penggunaan protokol yang berbeda. Contoh: UDP, HTTP.● Membuat serangan menjadi “modular”.● Menyisipkan data tambahan.● Mengubah pola atau perintah serangan.● Mengenkripsi serangan ;)

Dingap danHoneypot


Dingap dan Honeypot

● Dingap: program atau perangkat yang digunakan untuk penyaringan lalu lintas dari dan ke dalam jaringan, sesuai dengan aturan yang ditentukan oleh administrator. Umumnya di letakkan di “depan” jaringan. “perijinan”

● Honeypot: sistem yang digunakan sebagai “umpan” untuk menangkap, mempelajari, atau mengalihkan penyerang dari sistem target.● Umumnya ditempatkan di DMZ.● Terdapat pencatatan aktivitas di dalam sistem.● Seperti peladen “asli” dan menarik untuk diserang ;)



Honeynet


The Honeynet Projecthttp://honeynet.org/


Virtualisasi.

Teknik MelewatiDingap dan Honeypot


Teknik Melewati Dingap/Honeypot

● Menguasai sistem internal atau yang dipercaya oleh si dingap ;)

● Ingat porta yang hampir selalu terbuka: 80.

● Buat “lorong”/tunnel melewati porta yang terbuka.● Kombinasikan dengan “shell www” dan enkripsi

komunikasi.● Membekali dengan pengetahuan target sistem dan

program yang umum digunakan.● Contoh program untuk membuat honeypot: honeyd.

● Menggunakan program pendeteksi honeypot.


Daftar Bacaan

● ECCouncil. 2008. Module XXIII: Evading IDS, Firewalls, and Honeypots, Ethical Hacking and Countermeasures Version 6

● Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide, Sybex

ids, dingap, dan honeypotstwn/kul/pai083213/ethack-2012-12.pdf · kombinasikan dengan “shell...

Documents