topik presentasi

25

Upload: nirav

Post on 15-Jan-2016

76 views

Category:

Documents


3 download

DESCRIPTION

TOPIK PRESENTASI. Latar Belakang Apa itu SNORT? Bagaimana menggunakan SNORT Desain dan Arsitektur SNORT. INTRUSION DETECTION. Intrusion Detection, didefinisikan sebagai: “masalah mengidentifikasi akses individu yang menggunakan sebuah sistim komputer tanpa hak” - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: TOPIK PRESENTASI
Page 2: TOPIK PRESENTASI

• Latar Belakang

• Apa itu SNORT?

• Bagaimana menggunakan SNORT

• Desain dan Arsitektur SNORT

TOPIK PRESENTASI

Page 3: TOPIK PRESENTASI

• Intrusion Detection, didefinisikan sebagai:“masalah mengidentifikasi akses individu yang menggunakan sebuah sistim komputer tanpa hak”

• Percobaan untuk masuk secara paksa juga harus teridentifikasi

• Intrusion Detection bukanlah Intrusion Prevention

INTRUSION DETECTION

Page 4: TOPIK PRESENTASI

• Kesuksesan Intrusion Detection tidak hanya tergantung kepada teknologi, namun juga kepada policy dan management

• Security policymendefinisikan apa yang boleh atau tidak boleh dilakukan

• Notifikasi

• Koordinasi dalam memberikan respon

POLICY

Page 5: TOPIK PRESENTASI

• Apa itu SNORT?

• SNORT adalah multi-mode packet analysis tool

• Sniffer

• Packet Logger

• Forensic Data Analysis Tool

• Network Intrusion Detection System

• Darimana datangnya?

• Dibuat dan dikembangkan pertama kali oleh Martin Roesh, lalu menjadi sebuah opensource project. Versi komersial dibuat oleh SOURCEFIRE.

PERKENALAN DENGAN SNORT

Page 6: TOPIK PRESENTASI

• Berukuran kecil Source code dan rules untuk rilis 2.1.1 hanya 2256k

• Portable untuk banyak OStelah diporting ke Linux, Windows, OSX, Solaris, BSD, IRIX, Tru64, HP-UX, dll

• Cepatmampu mendeteksi serangan pada 100Mbps network

• Mudah dikonfigurasi

• FreeOpensource software with GPL license

MATRIKS

Page 7: TOPIK PRESENTASI

• Packet sniffing yang “sangat ringan”

• Sniffing interface berbasis libpcap

• Rules-based detection engine

• Memiliki plug-in systems menjadikannya sangat fleksibel

DESAIN SNORT

Page 8: TOPIK PRESENTASI

• Memiliki signatures dalam bentuk rules

• Memiliki elemen-elemen deteksi modular terkombinasi untuk membentuk signatures

• Memiliki kapabilitas deteksi yang sangat luas

• Stealth scans, OS fingerprinting, buffer overflows, shellcodes, backdoors, CGI exploits, SQL injections, dll

• Rules system sangatlah fleksibel, dan untuk membuat sebuah rules relatif sangat mudah

DETECTION ENGINE

Page 9: TOPIK PRESENTASI

• Pre-Processor

• Dilakukan analisis dan/atau manipulasi terhadap packets sebelum dikirimkan ke detection engine

• Detection

• Melakukan sebuah atau beberapa test pada sebuah bagian dari packet

• Output

• Memberikan report dan alert

PLUG-INS

Page 10: TOPIK PRESENTASI

• Standard packet sniffing

• Policy Enforcement

• Honeypot monitor

• Scan detections

PENGGUNAAN SNORT

Page 11: TOPIK PRESENTASI

IMPLEMENTASI NIDS

FilteringRouter

(Perimeter Logs)

Firewall(Perimeter

Logs)

Generic Server(Host-Based ID)

Network IDS(Snort)

Internet

Statistical IDS (Snort)

Page 12: TOPIK PRESENTASI

• Modus operasi utama

• Sniffer mode

• Packet Logger Mode

• NIDS mode

• Forensic Data Analysis Mode

• Modus operasi yang dikonfigurasi dari CLI (Command Line Interface)

• SNORT akan secara otomatis masuk ke modus NIDS jika tidak diberikan command switches dan kemudian mencari serta menggunakan konfigurasi pada file snort.conf

MENGGUNAKAN SNORT

Page 13: TOPIK PRESENTASI

• Bekerja seperti tcpdump

• Melakukan dekoding terhadap packets dan menampilkan hasilnya ke stdout

• BPF filtering interface tersedia memilah-milah network traffic

SNIFFER MODE

Page 14: TOPIK PRESENTASI

TAMPILAN SNORT PACKET DUMP

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

11/09-11:12:02.954779 10.1.1.6:1032 -> 10.1.1.8:23TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20FF FC 23 FF FC 27 FF FC 24 FF FA 18 00 41 4E 53 ..#..'..$....ANS49 FF F0 I..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

11/09-11:12:02.956582 10.1.1.8:23 -> 10.1.1.6:1032TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 200D 0A 0D 0A 53 75 6E 4F 53 20 35 2E 37 0D 0A 0D ....SunOS 5.7...00 0D 0A 0D 00 .....

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

Page 15: TOPIK PRESENTASI

TAMPILAN TCPDUMP

• 11:16:35.648944 10.1.1.8.23 > 10.1.1.6.1033: P 16:34(18) ack 16 win 8760 (DF) (ttl 255, id 49913)

• 4500 003a c2f9 4000 ff06 a2b4 0a01 0108

• 0a01 0106 0017 0409 1cf9 e7f6 001a e050

• 5018 2238 31c6 0000 fffe 1fff fe23 fffe

• 27ff fe24 fffa

• 11:16:35.649457 10.1.1.6.1033 > 10.1.1.8.23: P 16:19(3) ack 34 win 8727 (DF) (ttl 128, id 57861)

• 4500 002b e205 4000 8006 02b8 0a01 0106

• 0a01 0108 0409 0017 001a e050 1cf9 e808

• 5018 2217 6f19 0000 fffc 1f20 2020

Page 16: TOPIK PRESENTASI

• Menyimpan packets ke disk (harddisk, removeable disk)

• Pilihan packet logging

• Flat ASCII (teks), tcpdump format, XML, database (MySQL, MsSQL, ORACLE, dsb)

• Melakukan logging semua data dan kemudian diproses untuk mendeteksi aktivitas yang dicurigai

PACKET LOGGER MODE

Page 17: TOPIK PRESENTASI

• Menggunakan semua fase-kerja SNORT & plug-ins’nya untuk menganalisa traffic agar mendeteksi penyalahgunaan dan anomalous activities

• Dapat melakukan deteksi portscanning, IP defragmentation, TCP stream reassembly, application layer analysis, normalisasi, dsb

NIDS MODE

Page 18: TOPIK PRESENTASI

• Pilihan output

• DatabaseMySQL, MsSQL, PostgreSQL, Oracle, unixODBC, dsb

• XML

• Tcpdump binary format

• Unified (snort specific) format

• ASCII (teks)

• syslog atau WinPopUp

• dsb

NIDS MODE..

Page 19: TOPIK PRESENTASI

• Memiliki rules yang sangat banyak yang digunakan sebagai signature dari detection engine

• Modus deteksi yang beragam

• Rules (signature)

• Statistical anomaly

• Protocol verification

NIDS MODE..

Page 20: TOPIK PRESENTASI

• Goals:

• Lebih cepat

• Lebih extensible

• Protocol support yang lebih baik

• Lebih baik dalam menganalisa aktivitas network intrusion secara keseluruhan

ARSITEKTUR SNORT v2.X

Page 21: TOPIK PRESENTASI

•Fleksibilitas• Akuisisi data

• Traffic decoders

• Protokol analisis dan verifikasi

• Multi-path traffic flows, packets & streams

• Multi-format rules input

• Database, XML, dsb

• Detection engine yang plugable

• Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS

SNORT v2.X PLUG-INS

Page 22: TOPIK PRESENTASI

SNORT v2.X DETECTION ENGINE

content: “”foo”;

content: “bar”;

content: “baz”;

alert tcp

Dip: 2.2.2.2

Dip: 10.1.1.0/24

Flags: A+;

Sip: 1.1.1.1

Dp: 80

Page 23: TOPIK PRESENTASI

• Fleksibilitas

• Akuisisi data

• Traffic decoders

• Protokol analisis dan verifikasi

• Multi-path traffic flows, packets & streams

• Multi-format rules input

• Database, XML, dsb

• Detection engine yang plugable

• Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS

SNORT v2.X PLUG-INS

Page 24: TOPIK PRESENTASI

• SNORT project, http://www.snort.org/

• SNORT for Windowshttp://www.datanerds.net/~mike/

• Writing SNORT rules, http://www.snort.org/snort_rules.html

• FAQ, MANUAL PAGE, README, USAGE

• SNORT mailing-list

• Commercial SNORT Network Security Applianceshttp://www.sourcefire.com/

MORE ABOUT SNORT

Page 25: TOPIK PRESENTASI

No PIG was harmed during the making of this presentation