Sistem Deteksi Sistem Deteksi Intrusion Berbasis Intrusion Berbasis

JaringanJaringanKelompok Kelompok

Duwinowo NTDuwinowo NT : 09.01.53.0008: 09.01.53.0008Eko PurwantoEko Purwanto : 09.01.53.0050: 09.01.53.0050SubaediSubaedi : 09.01.53.0053: 09.01.53.0053Taufan Arif MTaufan Arif M : 09.01.53.0065: 09.01.53.0065

Miftahul AnwarMiftahul Anwar : : 09.01.53.006409.01.53.0064

KEGUNAANKEGUNAANMemantau jaringan Memantau jaringan

berdasar anomali (gejala berdasar anomali (gejala menyimpang) dari tanda-menyimpang) dari tanda-tanda sebuah serangan tanda sebuah serangan

atau gangguan pada atau gangguan pada jaringan kitajaringan kita

Kebutuhan akan Deteksi Kebutuhan akan Deteksi Intrusi Berbasis JaringanIntrusi Berbasis Jaringan

Serangan dari pihak dalam (intern Serangan dari pihak dalam (intern attack ) cenderung lebih merugikan attack ) cenderung lebih merugikan karena mereka mempunyai karena mereka mempunyai pengetahuan yang lebih mendalam pengetahuan yang lebih mendalam tentang jaringan internal.tentang jaringan internal.

Serangan dari luar (misal dari Serangan dari luar (misal dari jaringan internet ) tetap lebih jaringan internet ) tetap lebih banyak volumenya dibanding banyak volumenya dibanding serangan dari dalamserangan dari dalam

Kebutuhan akan Deteksi Kebutuhan akan Deteksi Intrusi Berbasis JaringanIntrusi Berbasis Jaringan

Begitu banyak volume serangan Begitu banyak volume serangan yang diterima,bisa menembus yang diterima,bisa menembus Firewall juga. Firewall juga.

Network-based Intrusion Detecting Network-based Intrusion Detecting System (NIDS) atau Sistem Deteksi System (NIDS) atau Sistem Deteksi Intusi berbasis Jaringan dapat Intusi berbasis Jaringan dapat digunakan sebagai deteksi awal digunakan sebagai deteksi awal terhadap gejala-gejala serangan terhadap gejala-gejala serangan yang muncul.yang muncul.

NIDS akan melakukan langkah NIDS akan melakukan langkah penyelidikan gangguan, analisa penyelidikan gangguan, analisa ancaman dan penanggulangan ancaman dan penanggulangan terhadap ancaman tersebut. terhadap ancaman tersebut.

WinNuke WinNuke

Salah satu serangan klasik terhadap Salah satu serangan klasik terhadap jaringanjaringan

WinNuke mengirimkan sebuah paket WinNuke mengirimkan sebuah paket tunggal , disusun dengan data OOB tunggal , disusun dengan data OOB menggunakan jalur port TCP 139 menggunakan jalur port TCP 139

Mengakibatkan layar Windows “Blue Mengakibatkan layar Windows “Blue Screen of Death”. Screen of Death”.

WinNukeWinNuke

WinNukeWinNuke

Nuke eM bekerja dengan cara Nuke eM bekerja dengan cara mengirimkan sebuah paket ilegal mengirimkan sebuah paket ilegal melalui koneksi TCP, membuat melalui koneksi TCP, membuat kinerja Windows 95 melemah.kinerja Windows 95 melemah.

BlackIce – Nuke ‘Em BlackIce – Nuke ‘Em DetectionDetection

Pada gambar tersebut menunjukkan Pada gambar tersebut menunjukkan serangan Nuke eM terdeteksi dan serangan Nuke eM terdeteksi dan diblokir oleh Protection PC BlackIce, diblokir oleh Protection PC BlackIce, sebuah firewall terkemuka.sebuah firewall terkemuka.

Area yang disorot menggambarkan Area yang disorot menggambarkan NetBIOS probe dari alamat IP NetBIOS probe dari alamat IP 192.168.1.100 terdeteksi sebagai 192.168.1.100 terdeteksi sebagai sebuah ancaman dan berhasil sebuah ancaman dan berhasil diblokir oleh mesin firewall diblokir oleh mesin firewall sebanyak 6 kali.sebanyak 6 kali.

Dari dua gambar tadi bisa kita lihat Dari dua gambar tadi bisa kita lihat sebuah serangan jaringan tunggal sebuah serangan jaringan tunggal terhadap rentannya jaringan Microsoft. terhadap rentannya jaringan Microsoft.

WinNuke menjatuhkan sistem Microsoft, WinNuke menjatuhkan sistem Microsoft, oleh Microsoft di respon dengan sebuah oleh Microsoft di respon dengan sebuah patch yaitu merilis berbagai kemungkinan patch yaitu merilis berbagai kemungkinan penyerang sistem. penyerang sistem.

Para penyerang membalas dengan Para penyerang membalas dengan modifikasi tools serangan mereka, dan modifikasi tools serangan mereka, dan oleh Microsoft di rilis patch yang lebih oleh Microsoft di rilis patch yang lebih lengkap lagi untuk menyelesaikan lengkap lagi untuk menyelesaikan serangan ini.serangan ini.

Deteksi Intrusi Jaringan Deteksi Intrusi Jaringan 101101

Screen shot tersebut Screen shot tersebut menggambarkan sebuah aktifitas di menggambarkan sebuah aktifitas di jaringan yang sangat sibuk dan di jaringan yang sangat sibuk dan di deteksi terjadi penyerangan (ping deteksi terjadi penyerangan (ping nmap,probe port SNMP dan zona nmap,probe port SNMP dan zona DNS transfer)DNS transfer)

Logging merupakan bagian integral Logging merupakan bagian integral dari deteksi intrusi. Akan sangat dari deteksi intrusi. Akan sangat berguna ketika anda mencari berguna ketika anda mencari kerusakan atau penuntutan dari kerusakan atau penuntutan dari serangan pada jaringan anda.serangan pada jaringan anda.

Dalam contoh ini, di tunjukkan cara Dalam contoh ini, di tunjukkan cara mengaktifkan logging di personal mengaktifkan logging di personal firewall BlackICE.firewall BlackICE.

Kita mempunyai beberapa tab yang Kita mempunyai beberapa tab yang memungkinkan kita merubah memungkinkan kita merubah settingan fundsi dari firewallsettingan fundsi dari firewall

Untuk kali ini,kita fokus pada tab Untuk kali ini,kita fokus pada tab “Evidence Log” dan “Packet Log”“Evidence Log” dan “Packet Log”

Untuk memastikan bahwa logging Untuk memastikan bahwa logging diaktifkan pada tab Evidence Log.diaktifkan pada tab Evidence Log.

Kita juga bisa menyesuaikan ukuran Kita juga bisa menyesuaikan ukuran file maksimum dan jumlah file maksimum dan jumlah maksimum pengaturan file untuk maksimum pengaturan file untuk mencerminkan jaringan andamencerminkan jaringan anda

Fitur Packet Log memungkinkan kita Fitur Packet Log memungkinkan kita menangkap semua lalu lintas yang menangkap semua lalu lintas yang datang pada interface.datang pada interface.

Pada screen shot tersebut Pada screen shot tersebut menunjukkan terjadinya lonjakan menunjukkan terjadinya lonjakan aktivita pada jendela “Events” yang aktivita pada jendela “Events” yang merupakan pengamatan gejala merupakan pengamatan gejala serangan di sebuah jaringan.serangan di sebuah jaringan.

Dapat membantu , menemukan Dapat membantu , menemukan waktu perkiraan dari suatu peristiwa waktu perkiraan dari suatu peristiwa serangan.serangan.

Libpcap-based SystemLibpcap-based System

Deteksi Intrusi berbasis Deteksi Intrusi berbasis Sistem LibpcapSistem Libpcap

Merupakan paket open source Merupakan paket open source menangkap perpustakaan yang menangkap perpustakaan yang dirancang untuk mengambil data dirancang untuk mengambil data dari kernel dan menyebarkannya ke dari kernel dan menyebarkannya ke lapisan aplikasilapisan aplikasi

Libpcap memiliki keuntungan Libpcap memiliki keuntungan menjadi bebas untuk menggunakan menjadi bebas untuk menggunakan dan telah terbukti, sejak awal, dan telah terbukti, sejak awal, menjadi sangat diandalkan menjadi sangat diandalkan

menggunakan library Libpcap menggunakan library Libpcap termasuk Shadow, Snort, Cisco IDS termasuk Shadow, Snort, Cisco IDS (sebelumnya NetRanger), dan NFR.(sebelumnya NetRanger), dan NFR.

Deteksi Intrusi Jaringan Deteksi Intrusi Jaringan dengan Snortdengan Snort

Snort adalah tagihan sebagai Snort adalah tagihan sebagai sistem deteksi intrusi jaringan ringan. sistem deteksi intrusi jaringan ringan. Ini diperkenalkan kepada komunitas Ini diperkenalkan kepada komunitas open-source pada tahun 1998 oleh open-source pada tahun 1998 oleh pengembang, Marty Roesch. Snort pengembang, Marty Roesch. Snort telah cepat memperoleh reputasi telah cepat memperoleh reputasi untuk menjadi solusi NIDS sangat untuk menjadi solusi NIDS sangat efisien, ringan, dan rendah-biaya dan efisien, ringan, dan rendah-biaya dan berutang popularitas dan fitur yang berutang popularitas dan fitur yang luas untuk tim dikhususkan luas untuk tim dikhususkan pengembang inti dan basis pengguna pengembang inti dan basis pengguna aktif.aktif.

Menganalisis Snort sebuah Menganalisis Snort sebuah MendeteksiMendeteksi

Aturan Menulis SnortAturan Menulis Snort

Pass - Ini berarti Anda ingin drop Pass - Ini berarti Anda ingin drop paket dan mengambil tindakan paket dan mengambil tindakan apapun.apapun.

Log - Pilihan ini memungkinkan Log - Pilihan ini memungkinkan Anda untuk log tindakan tertentu ke Anda untuk log tindakan tertentu ke lokasi yang Anda tentukan dalam file lokasi yang Anda tentukan dalam file konfigurasi snort Anda (misalnya konfigurasi snort Anda (misalnya snort.conf).snort.conf).

Alert - Pilihan ini memungkinkan Alert - Pilihan ini memungkinkan Anda untuk mengirimkan alert ke Anda untuk mengirimkan alert ke server syslog pusat, jendela pop-up server syslog pusat, jendela pop-up melalui SMB atau menulis file ke file melalui SMB atau menulis file ke file terpisah waspada. File waspada terpisah waspada. File waspada umumnya digunakan dengan alat umumnya digunakan dengan alat seperti Swatch (Watcher seperti Swatch (Watcher Sederhana).Sederhana).

Activate - Opsi ini menentukan Activate - Opsi ini menentukan bahwa Snort adalah untuk mengirim bahwa Snort adalah untuk mengirim peringatan dan kemudian peringatan dan kemudian mengaktifkan aturan lain yang mengaktifkan aturan lain yang dinamis. Misalnya, Snort dapat dinamis. Misalnya, Snort dapat dikonfigurasi untuk secara dinamis dikonfigurasi untuk secara dinamis memblokirmemblokir