Network Security
Network Security
Intrusion Detection System
(Portsentry dan Honeypot)
(Portsentry dan Honeypot)
N t
k I t
i
D t
ti
Network Intrusion Detection
Memahasi dasar intrusion detection systems (portsentry)
Fi
ll S j Tdk C k
Firewall Saja Tdk Cukup
Tidak semua akses melalui firewall
Ada beberapa aplikasi yang memang diloloskan
l h fi
ll (W b E
il dll)
oleh firewall (Web, Email, dll)
Tidak semua ancaman berasal dari luar firewall,
tapi dari dalam jaringan sendiri
tapi dari dalam jaringan sendiri
Firewall kadang merupakan object serangan
Perlu suatu aplikasi sebagai pelengkap Firewall
Perlu suatu aplikasi sebagai pelengkap Firewall
D S
ti
DoS preventive
IDS IPS
Honeypots
I t
i
D t
ti
S
t
(IDS)
Intrusion Detection System (IDS)
Examining system logs (host based)
Examining network traffic (network based) A Combination of the two
Implementation:
snort
I t
i
P
ti
S
t
(IPS)
Intrusion Prevention System (IPS)
Upgrade application
Active reaction (IDS = passive) Implementation:
P
ti
IDS
Pengertian IDS
IDS kepanjangan Intrusion Detection System
Sistem untuk mendeteksi dan merespons adanya
“intrusionintrusion” yang dilakukan oleh “ yang dilakukan oleh intruderintruder”
Pendeteksian bisa dilakukan sebelum, selama dan
sesudah kejadian.
T d k i b l k bi l k k i d k
Terdeteksi sebelum, maka bisa melakukan tindakan pencegahan
Terdeteksi selama : bisa diputuskan untuk diblok dan alarm
T d t k i t l h lih t kib t diti b lk
Terdeteksi setelah : melihat akibat yang ditimbulkan
IDS mengumpulkan info dari dari berbagai sistem dan
source network kemudian melakukan analisa terhadap
i f b i d l d h di k
P
ti
IDS (C
t
)
Pengertian IDS (Cont…)
Intrusion
Didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau di host
Klasifikasi intrusi :
Klasifikasi intrusi :
Attempted Break-ins Masquerade attacks
Penetration of Security Control Systems Leakage
Leakage
Denial of Service Malicious Use
Anomaly merupakan Traffic/aktivitas yang tidak sesuai
d li
dgn policy:
akses dari/ke host yang terlarang
memiliki content terlarang (virus)
menjalankan program terlarang (web directory traversal:GET
menjalankan program terlarang (web directory traversal:GET
I t
i
D t
ti
S
t
(IDS)
Intrusion Detection System (IDS)
Intrusion detection adalah proses notifikasi ketika
seseorang ingin masuk ke sebuah sistem.
K t i d i ft i i di b t i t i d t ti
Kategori dari software ini disebut intrusion detection
systems (IDS)
PortSentry, oleh Psionic, melihat port network ketikaPortSentry, oleh Psionic, melihat port network ketika
paket melakukan port scan.
Tool yang lebih kompleks dari PortSentry adalah Linux
IDS t LIDS d t b h Li k l
Penggunaan Software Intrusion
Penggunaan Software Intrusion
Detection
Penggunaan yang disarankan untuk tool intrusion
detection :
Gunakan nmap untuk scan system setelah konfigurasi untuk
Gunakan nmap untuk scan system setelah konfigurasi untuk mengecek security holes.
Selanjutnya, gunakan PortSentry untuk melihat host luar yang mencoba melakukan port scan ke server
mencoba melakukan port scan ke server.
Gunakan LIDS untuk mengamankan file system anda, sehingga seseorang yang ingin untuk masuk ke server akan mempunyai akses yang dibatasi
B
i I t
i
D t
ti
Basic Intrusion Detection
Target
Intrusion Detection System Infrastructure
Respond Report
I t
i
D t
ti
S
t
IDS
Intrusion Detection System IDS
Port : Pelabuhan Sentry : Penjaga
P S d l h b h k l k di
PortSentry adalah sebuah perangkat lunak yang di
rancang untuk mendeteksi adanya port scanning &
meresponds secara aktif jika ada port scanning secara p j p g real time
portsentry – mencegah portscan
Jalankan sebagai daemon pada host yang terproteksi, hal ini akan mendengarkan ke port TCP/UDP dan akan memblok scanning host dari server yang terkoneksi. g y g
P tS
t
PortSentry
Pl tf
P t S
t
Platform Port Sentry
FreeBSD
Open BSD
K
t
P t S
t
Keuntungan Port Sentry
Deteksi portscan TCP/UDP berbasis
host-based dan mengaktifkan sistem pertahanan
Deteksi Stealth scan
Bereaksi ke portscan dengan memblok host
Internal state engine untuk mengingat host
yang terkoneksi sebelumnya
K k
P t S
t
Kekurangan Port Sentry
Portsentry dibinding ke port sehingga diperlukan
pengecekan menyeluruh
Tid k d t d t k i fi
Di
P t S
t
Dil t kk
Dimana Port Sentry Diletakkan
Dibelakang Firewall
1
Fit
P tS
t
Fiture PortSentry
Mendeteksi scan
Melakukan aksi terhadap host yg melakukan pelanggaran Mengemail admin system bila di integrasikan dengan
Ak i
dil k k
P t S
t
Aksi yang dilakukan Port Sentry
Stealth setting ????g
Melogging semua pelanggaran di syslog dan
mengindikasikan nama system, waktu serangan, IP mesin
TCP / UDP t t t dil k k
penyerang, TCP / UDP port tempat serangan dilakukan.
Menambahkan entry untuk penyerang di /etc/hosts.deny Mengeblok akses ke sistem berbasis iptables atau
Mengeblok akses ke sistem berbasis iptables atau
Fil K
fi
i P tS
t
File Konfigurasi PortSentry
fil / t / t t / t t f
file /etc/portsentry/portsentry.conf
merupakan konfigurasi utama portsentry. Disini secara bertahap diset port mana saja yang perlu di monitor, responds apa yang harus di lakukan ke mesin yang melakukan portscan, mekanisme menghilangkan mesin dari routing table, masukan ke host.deny.
file /etc/default/portsentryp y
set mode deteksi yang dilakukan portsentry.
Semakin baik mode deteksi yang dipilih (advanced stealth
TCP/UP scanning) biasanya PortSentry akan semakin sensitif & TCP/UP scanning), biasanya PortSentry akan semakin sensitif & semakin rewel karena sedikit-sedikit akan memblokir mesin.
file /etc/portsentry/portsentry.ignore
M
j l
k
t
t
Menjalankan portsentry
/usr/sbin/portsentry
/etc/init.d/portsentry start
portsentry udp (normal scan detection)
portsentry -udp (normal scan detection) portsentry -tcp (normal scan detection)
portsentry -sudp (normal stealth scan detection)p y p ( ) portsentry -stcp (normal stealth scan detection)
portsentry -audp (advanced stealth scan detection)
t t t ( d d t lth d t ti )
K
fi
i P t S
t
Konfigurasi Port Sentry
Un-comment these if you are really anal:
#TCP PORTS="1 7 9 11 15 70 79 80 109 110 111 119 138 139 143 5 1335 32770 32771 32772 32773 32774 31337 54321“
1335,32770,32771,32772,32773,32774,31337,54321“ # # Use these for just bare-bones
#TCP_PORTS="1,11,15,110,111,143,540,635,1080,1524,2000,12345, 12346,20034,32771,32772,32773,32774,49724,54320" , , , , , , ,
Bl
ki
H
t
Blocking Host
file /etc/portsentry/portsentry.conf Blocking dengan iptables :
KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s $TARGET$ -j DROP“
Blocking dengan tcpwrapper : Blocking dengan tcpwrapper :
D ft
L
S
Daftar Log Serangan
/etc/hosts.deny
O t
t P tS
t
Output PortSentry
Sep 19 01:50:19 striker portsentry[129]:
attackalert: \ Host 192.168.0.1 has been blocked
via dropped route using command: \ "/sbin/ipfw
add 1 deny all from
192 168 0 1:255 255 255 255 to any"
192.168.0.1:255.255.255.255 to any
Sep 19 01:50:19 striker portsentry[129]:
attackalert: \ Connect from host:
attackalert: \ Connect from host:
192.168.0.1/192.168.0.1 to TCP port: 9 Sep 19
01:50:19 striker portsentry[129]: attackalert: \
0 50 9 s
e po se
y[
9] a ac a e
\
H
t
Honeypot
Merupakan sebuah resource yang berpura-pura menjadi
sebuah target real, yang diharapkan untuk diserang.
T j t
Tujuan utamanya :
membelokkan attacker dari serangan ke productive system
mendapatkan informasi tentang jenis-jenis serangan dan p g j j g penyerang.
Penempatan honeypot
Penempatan secara tidak langsung antara firewall dan internet
Penempatan secara tidak langsung antara firewall dan internet
HoneypotsHoneypots
(http://www.honeynet.org)
2
Vi t
l H
t
Virtual Honeynet
I t t
Implement
VMware
Internet
Host Operating System
Ti
H
t
Tipe Honeypot
Hi h I t ti H t
High Interaction Honeypot
adalah sistem yang mengoperasikan Sistem Operasi penuh sehingga penyerang akan melihatnya sebagai penuh sehingga penyerang akan melihatnya sebagai
sebuah sistem operasi/host yang siap untuk dieksploitasi
Low Interaction Honeypot
mensimulasikan sebuah sistem operasi dengan service-service tertentu(misalnya SSH,HTTP,FTP) atau dengan kata lain sistem yang bukan merupakan sistem operasi kata lain sistem yang bukan merupakan sistem operasi secara keseluruhan, service yang berjalan tidak bisa
dieksploitasi untuk mendapatkan akses penuh terhadap
h t
T j
H
t
Tujuan Honeypot
Early Detection
Pendeteksian ancaman baru
Mengenal si attacker (know your enemy)
Menyelamatkan sistem
M k l fiki tt k
Mengacaukan pola fikir attacker
Membangun pertahanan
Mencegah proses hacking