Sistem Deteksi Intrusion Sistem Deteksi Intrusion Berbasis JaringanBerbasis Jaringan

Kelompok Kelompok Duwinowo NTDuwinowo NT : 09.01.53.0008: 09.01.53.0008Eko PurwantoEko Purwanto : 09.01.53.0050: 09.01.53.0050SubaediSubaedi : 09.01.53.0053: 09.01.53.0053Taufan Arif MTaufan Arif M : 09.01.53.0065: 09.01.53.0065Miftahul AnwarMiftahul Anwar : 09.01.53.0064: 09.01.53.0064

KEGUNAANKEGUNAANMemantau jaringan berdasar Memantau jaringan berdasar

anomali (gejala menyimpang) dari anomali (gejala menyimpang) dari tanda-tanda sebuah serangan atau tanda-tanda sebuah serangan atau

gangguan pada jaringan kitagangguan pada jaringan kita

Kebutuhan akan Deteksi Intrusi Kebutuhan akan Deteksi Intrusi Berbasis JaringanBerbasis Jaringan

Serangan dari pihak dalam (intern attack ) Serangan dari pihak dalam (intern attack ) cenderung lebih merugikan karena mereka cenderung lebih merugikan karena mereka mempunyai pengetahuan yang lebih mendalam mempunyai pengetahuan yang lebih mendalam tentang jaringan internal.tentang jaringan internal.

Serangan dari luar (misal dari jaringan internet ) Serangan dari luar (misal dari jaringan internet ) tetap lebih banyak volumenya dibanding tetap lebih banyak volumenya dibanding serangan dari dalamserangan dari dalam

Kebutuhan akan Deteksi Intrusi Kebutuhan akan Deteksi Intrusi Berbasis JaringanBerbasis Jaringan

Begitu banyak volume serangan yang Begitu banyak volume serangan yang diterima,bisa menembus Firewall juga. diterima,bisa menembus Firewall juga.

Network-based Intrusion Detecting System Network-based Intrusion Detecting System (NIDS) atau Sistem Deteksi Intusi berbasis (NIDS) atau Sistem Deteksi Intusi berbasis Jaringan dapat digunakan sebagai deteksi awal Jaringan dapat digunakan sebagai deteksi awal terhadap gejala-gejala serangan yang muncul.terhadap gejala-gejala serangan yang muncul.

NIDS akan melakukan langkah penyelidikan NIDS akan melakukan langkah penyelidikan gangguan, analisa ancaman dan penanggulangan gangguan, analisa ancaman dan penanggulangan terhadap ancaman tersebut. terhadap ancaman tersebut.

WinNuke WinNuke

Salah satu serangan klasik terhadap jaringanSalah satu serangan klasik terhadap jaringan WinNuke mengirimkan sebuah paket tunggal , WinNuke mengirimkan sebuah paket tunggal ,

disusun dengan data OOB menggunakan jalur disusun dengan data OOB menggunakan jalur port TCP 139 port TCP 139

Mengakibatkan layar Windows “Blue Screen of Mengakibatkan layar Windows “Blue Screen of Death”. Death”.

WinNukeWinNuke

WinNukeWinNuke

Nuke eM bekerja dengan cara mengirimkan Nuke eM bekerja dengan cara mengirimkan sebuah paket ilegal melalui koneksi TCP, sebuah paket ilegal melalui koneksi TCP, membuat kinerja Windows 95 melemah.membuat kinerja Windows 95 melemah.

BlackIce – Nuke ‘Em DetectionBlackIce – Nuke ‘Em Detection

Pada gambar tersebut menunjukkan serangan Pada gambar tersebut menunjukkan serangan Nuke eM terdeteksi dan diblokir oleh Protection Nuke eM terdeteksi dan diblokir oleh Protection PC BlackIce, sebuah firewall terkemuka.PC BlackIce, sebuah firewall terkemuka.

Area yang disorot menggambarkan NetBIOS Area yang disorot menggambarkan NetBIOS probe dari alamat IP 192.168.1.100 terdeteksi probe dari alamat IP 192.168.1.100 terdeteksi sebagai sebuah ancaman dan berhasil diblokir sebagai sebuah ancaman dan berhasil diblokir oleh mesin firewall sebanyak 6 kali.oleh mesin firewall sebanyak 6 kali.

Dari dua gambar tadi bisa kita lihat sebuah serangan Dari dua gambar tadi bisa kita lihat sebuah serangan jaringan tunggal terhadap rentannya jaringan Microsoft. jaringan tunggal terhadap rentannya jaringan Microsoft.

WinNuke menjatuhkan sistem Microsoft, oleh WinNuke menjatuhkan sistem Microsoft, oleh Microsoft di respon dengan sebuah patch yaitu merilis Microsoft di respon dengan sebuah patch yaitu merilis berbagai kemungkinan penyerang sistem. berbagai kemungkinan penyerang sistem.

Para penyerang membalas dengan modifikasi tools Para penyerang membalas dengan modifikasi tools serangan mereka, dan oleh Microsoft di rilis patch yang serangan mereka, dan oleh Microsoft di rilis patch yang lebih lengkap lagi untuk menyelesaikan serangan ini.lebih lengkap lagi untuk menyelesaikan serangan ini.

Deteksi Intrusi Jaringan 101Deteksi Intrusi Jaringan 101

Screen shot tersebut menggambarkan sebuah Screen shot tersebut menggambarkan sebuah aktifitas di jaringan yang sangat sibuk dan di aktifitas di jaringan yang sangat sibuk dan di deteksi terjadi penyerangan (ping nmap,probe deteksi terjadi penyerangan (ping nmap,probe port SNMP dan zona DNS transfer)port SNMP dan zona DNS transfer)

Logging merupakan bagian integral dari deteksi Logging merupakan bagian integral dari deteksi intrusi. Akan sangat berguna ketika anda intrusi. Akan sangat berguna ketika anda mencari kerusakan atau penuntutan dari mencari kerusakan atau penuntutan dari serangan pada jaringan anda.serangan pada jaringan anda.

Dalam contoh ini, di tunjukkan cara Dalam contoh ini, di tunjukkan cara mengaktifkan logging di personal firewall mengaktifkan logging di personal firewall BlackICE.BlackICE.

Kita mempunyai beberapa tab yang Kita mempunyai beberapa tab yang memungkinkan kita merubah settingan fundsi memungkinkan kita merubah settingan fundsi dari firewalldari firewall

Untuk kali ini,kita fokus pada tab “Evidence Untuk kali ini,kita fokus pada tab “Evidence Log” dan “Packet Log”Log” dan “Packet Log”

Untuk memastikan bahwa logging diaktifkan Untuk memastikan bahwa logging diaktifkan pada tab Evidence Log.pada tab Evidence Log.

Kita juga bisa menyesuaikan ukuran file Kita juga bisa menyesuaikan ukuran file maksimum dan jumlah maksimum pengaturan maksimum dan jumlah maksimum pengaturan file untuk mencerminkan jaringan andafile untuk mencerminkan jaringan anda

Fitur Packet Log memungkinkan kita Fitur Packet Log memungkinkan kita menangkap semua lalu lintas yang datang pada menangkap semua lalu lintas yang datang pada interface.interface.

Pada screen shot tersebut menunjukkan Pada screen shot tersebut menunjukkan terjadinya lonjakan aktivita pada jendela terjadinya lonjakan aktivita pada jendela “Events” yang merupakan pengamatan gejala “Events” yang merupakan pengamatan gejala serangan di sebuah jaringan.serangan di sebuah jaringan.

Dapat membantu , menemukan waktu perkiraan Dapat membantu , menemukan waktu perkiraan dari suatu peristiwa serangan.dari suatu peristiwa serangan.

Libpcap-based SystemLibpcap-based System

Deteksi Intrusi berbasis Sistem LibpcapDeteksi Intrusi berbasis Sistem Libpcap Merupakan paket open source menangkap Merupakan paket open source menangkap

perpustakaan yang dirancang untuk mengambil perpustakaan yang dirancang untuk mengambil data dari kernel dan menyebarkannya ke lapisan data dari kernel dan menyebarkannya ke lapisan aplikasiaplikasi

Libpcap memiliki keuntungan menjadi bebas Libpcap memiliki keuntungan menjadi bebas untuk menggunakan dan telah terbukti, sejak untuk menggunakan dan telah terbukti, sejak awal, menjadi sangat diandalkan awal, menjadi sangat diandalkan

menggunakan library Libpcap termasuk Shadow, menggunakan library Libpcap termasuk Shadow, Snort, Cisco IDS (sebelumnya NetRanger), dan Snort, Cisco IDS (sebelumnya NetRanger), dan NFR.NFR.

Deteksi Intrusi Jaringan dengan Deteksi Intrusi Jaringan dengan SnortSnort

Snort adalah tagihan sebagai sistem deteksi Snort adalah tagihan sebagai sistem deteksi intrusi jaringan ringan. Ini diperkenalkan kepada intrusi jaringan ringan. Ini diperkenalkan kepada komunitas open-source pada tahun 1998 oleh komunitas open-source pada tahun 1998 oleh pengembang, Marty Roesch. Snort telah cepat pengembang, Marty Roesch. Snort telah cepat memperoleh reputasi untuk menjadi solusi NIDS memperoleh reputasi untuk menjadi solusi NIDS sangat efisien, ringan, dan rendah-biaya dan sangat efisien, ringan, dan rendah-biaya dan berutang popularitas dan fitur yang luas untuk tim berutang popularitas dan fitur yang luas untuk tim dikhususkan pengembang inti dan basis pengguna dikhususkan pengembang inti dan basis pengguna aktif.aktif.

Menganalisis Snort sebuah Menganalisis Snort sebuah MendeteksiMendeteksi

Aturan Menulis SnortAturan Menulis Snort

Pass - Ini berarti Anda ingin drop paket dan Pass - Ini berarti Anda ingin drop paket dan mengambil tindakan apapun.mengambil tindakan apapun.

Log - Pilihan ini memungkinkan Anda untuk log Log - Pilihan ini memungkinkan Anda untuk log tindakan tertentu ke lokasi yang Anda tentukan tindakan tertentu ke lokasi yang Anda tentukan dalam file konfigurasi snort Anda (misalnya dalam file konfigurasi snort Anda (misalnya snort.conf).snort.conf).

Alert - Pilihan ini memungkinkan Anda untuk Alert - Pilihan ini memungkinkan Anda untuk mengirimkan alert ke server syslog pusat, jendela mengirimkan alert ke server syslog pusat, jendela pop-up melalui SMB atau menulis file ke file pop-up melalui SMB atau menulis file ke file terpisah waspada. File waspada umumnya terpisah waspada. File waspada umumnya digunakan dengan alat seperti Swatch (Watcher digunakan dengan alat seperti Swatch (Watcher Sederhana).Sederhana).

Activate - Opsi ini menentukan bahwa Snort Activate - Opsi ini menentukan bahwa Snort adalah untuk mengirim peringatan dan kemudian adalah untuk mengirim peringatan dan kemudian mengaktifkan aturan lain yang dinamis. Misalnya, mengaktifkan aturan lain yang dinamis. Misalnya, Snort dapat dikonfigurasi untuk secara dinamis Snort dapat dikonfigurasi untuk secara dinamis memblokirmemblokir