topik presentasi
Embed Size (px)
DESCRIPTION
TOPIK PRESENTASI. Latar Belakang Apa itu SNORT? Bagaimana menggunakan SNORT Desain dan Arsitektur SNORT. INTRUSION DETECTION. Intrusion Detection, didefinisikan sebagai: “masalah mengidentifikasi akses individu yang menggunakan sebuah sistim komputer tanpa hak” - PowerPoint PPT PresentationTRANSCRIPT
• Latar Belakang
• Apa itu SNORT?
• Bagaimana menggunakan SNORT
• Desain dan Arsitektur SNORT
TOPIK PRESENTASI
• Intrusion Detection, didefinisikan sebagai:“masalah mengidentifikasi akses individu yang menggunakan sebuah sistim komputer tanpa hak”
• Percobaan untuk masuk secara paksa juga harus teridentifikasi
• Intrusion Detection bukanlah Intrusion Prevention
INTRUSION DETECTION
• Kesuksesan Intrusion Detection tidak hanya tergantung kepada teknologi, namun juga kepada policy dan management
• Security policymendefinisikan apa yang boleh atau tidak boleh dilakukan
• Notifikasi
• Koordinasi dalam memberikan respon
POLICY
• Apa itu SNORT?
• SNORT adalah multi-mode packet analysis tool
• Sniffer
• Packet Logger
• Forensic Data Analysis Tool
• Network Intrusion Detection System
• Darimana datangnya?
• Dibuat dan dikembangkan pertama kali oleh Martin Roesh, lalu menjadi sebuah opensource project. Versi komersial dibuat oleh SOURCEFIRE.
PERKENALAN DENGAN SNORT
• Berukuran kecil Source code dan rules untuk rilis 2.1.1 hanya 2256k
• Portable untuk banyak OStelah diporting ke Linux, Windows, OSX, Solaris, BSD, IRIX, Tru64, HP-UX, dll
• Cepatmampu mendeteksi serangan pada 100Mbps network
• Mudah dikonfigurasi
• FreeOpensource software with GPL license
MATRIKS
• Packet sniffing yang “sangat ringan”
• Sniffing interface berbasis libpcap
• Rules-based detection engine
• Memiliki plug-in systems menjadikannya sangat fleksibel
DESAIN SNORT
• Memiliki signatures dalam bentuk rules
• Memiliki elemen-elemen deteksi modular terkombinasi untuk membentuk signatures
• Memiliki kapabilitas deteksi yang sangat luas
• Stealth scans, OS fingerprinting, buffer overflows, shellcodes, backdoors, CGI exploits, SQL injections, dll
• Rules system sangatlah fleksibel, dan untuk membuat sebuah rules relatif sangat mudah
DETECTION ENGINE
• Pre-Processor
• Dilakukan analisis dan/atau manipulasi terhadap packets sebelum dikirimkan ke detection engine
• Detection
• Melakukan sebuah atau beberapa test pada sebuah bagian dari packet
• Output
• Memberikan report dan alert
PLUG-INS
• Standard packet sniffing
• Policy Enforcement
• Honeypot monitor
• Scan detections
PENGGUNAAN SNORT
IMPLEMENTASI NIDS
FilteringRouter
(Perimeter Logs)
Firewall(Perimeter
Logs)
Generic Server(Host-Based ID)
Network IDS(Snort)
Internet
Statistical IDS (Snort)
• Modus operasi utama
• Sniffer mode
• Packet Logger Mode
• NIDS mode
• Forensic Data Analysis Mode
• Modus operasi yang dikonfigurasi dari CLI (Command Line Interface)
• SNORT akan secara otomatis masuk ke modus NIDS jika tidak diberikan command switches dan kemudian mencari serta menggunakan konfigurasi pada file snort.conf
MENGGUNAKAN SNORT
• Bekerja seperti tcpdump
• Melakukan dekoding terhadap packets dan menampilkan hasilnya ke stdout
• BPF filtering interface tersedia memilah-milah network traffic
SNIFFER MODE
TAMPILAN SNORT PACKET DUMP
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/09-11:12:02.954779 10.1.1.6:1032 -> 10.1.1.8:23TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20FF FC 23 FF FC 27 FF FC 24 FF FA 18 00 41 4E 53 ..#..'..$....ANS49 FF F0 I..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/09-11:12:02.956582 10.1.1.8:23 -> 10.1.1.6:1032TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 200D 0A 0D 0A 53 75 6E 4F 53 20 35 2E 37 0D 0A 0D ....SunOS 5.7...00 0D 0A 0D 00 .....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
TAMPILAN TCPDUMP
• 11:16:35.648944 10.1.1.8.23 > 10.1.1.6.1033: P 16:34(18) ack 16 win 8760 (DF) (ttl 255, id 49913)
• 4500 003a c2f9 4000 ff06 a2b4 0a01 0108
• 0a01 0106 0017 0409 1cf9 e7f6 001a e050
• 5018 2238 31c6 0000 fffe 1fff fe23 fffe
• 27ff fe24 fffa
• 11:16:35.649457 10.1.1.6.1033 > 10.1.1.8.23: P 16:19(3) ack 34 win 8727 (DF) (ttl 128, id 57861)
• 4500 002b e205 4000 8006 02b8 0a01 0106
• 0a01 0108 0409 0017 001a e050 1cf9 e808
• 5018 2217 6f19 0000 fffc 1f20 2020
• Menyimpan packets ke disk (harddisk, removeable disk)
• Pilihan packet logging
• Flat ASCII (teks), tcpdump format, XML, database (MySQL, MsSQL, ORACLE, dsb)
• Melakukan logging semua data dan kemudian diproses untuk mendeteksi aktivitas yang dicurigai
PACKET LOGGER MODE
• Menggunakan semua fase-kerja SNORT & plug-ins’nya untuk menganalisa traffic agar mendeteksi penyalahgunaan dan anomalous activities
• Dapat melakukan deteksi portscanning, IP defragmentation, TCP stream reassembly, application layer analysis, normalisasi, dsb
NIDS MODE
• Pilihan output
• DatabaseMySQL, MsSQL, PostgreSQL, Oracle, unixODBC, dsb
• XML
• Tcpdump binary format
• Unified (snort specific) format
• ASCII (teks)
• syslog atau WinPopUp
• dsb
NIDS MODE..
• Memiliki rules yang sangat banyak yang digunakan sebagai signature dari detection engine
• Modus deteksi yang beragam
• Rules (signature)
• Statistical anomaly
• Protocol verification
NIDS MODE..
• Goals:
• Lebih cepat
• Lebih extensible
• Protocol support yang lebih baik
• Lebih baik dalam menganalisa aktivitas network intrusion secara keseluruhan
ARSITEKTUR SNORT v2.X
•Fleksibilitas• Akuisisi data
• Traffic decoders
• Protokol analisis dan verifikasi
• Multi-path traffic flows, packets & streams
• Multi-format rules input
• Database, XML, dsb
• Detection engine yang plugable
• Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS
SNORT v2.X PLUG-INS
SNORT v2.X DETECTION ENGINE
content: “”foo”;
content: “bar”;
content: “baz”;
alert tcp
Dip: 2.2.2.2
Dip: 10.1.1.0/24
Flags: A+;
Sip: 1.1.1.1
Dp: 80
• Fleksibilitas
• Akuisisi data
• Traffic decoders
• Protokol analisis dan verifikasi
• Multi-path traffic flows, packets & streams
• Multi-format rules input
• Database, XML, dsb
• Detection engine yang plugable
• Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS
SNORT v2.X PLUG-INS
• SNORT project, http://www.snort.org/
• SNORT for Windowshttp://www.datanerds.net/~mike/
• Writing SNORT rules, http://www.snort.org/snort_rules.html
• FAQ, MANUAL PAGE, README, USAGE
• SNORT mailing-list
• Commercial SNORT Network Security Applianceshttp://www.sourcefire.com/
MORE ABOUT SNORT
No PIG was harmed during the making of this presentation