Network Security

Network Security

Intrusion Detection System

(Portsentry dan Honeypot)

(Portsentry dan Honeypot)

N t

k I t

i

D t

ti

Network Intrusion Detection

 Memahasi dasar intrusion detection systems (portsentry)

Fi

ll S j Tdk C k

Firewall Saja Tdk Cukup



Tidak semua akses melalui firewall



Ada beberapa aplikasi yang memang diloloskan

l h fi

ll (W b E

il dll)

oleh firewall (Web, Email, dll)



Tidak semua ancaman berasal dari luar firewall,

tapi dari dalam jaringan sendiri

tapi dari dalam jaringan sendiri



Firewall kadang merupakan object serangan



Perlu suatu aplikasi sebagai pelengkap Firewall



Perlu suatu aplikasi sebagai pelengkap Firewall

D S

ti

DoS preventive

 IDS  IPS

 Honeypots

I t

i

D t

ti

S

t

(IDS)

Intrusion Detection System (IDS)

 Examining system logs (host based)

 Examining network traffic (network based)  A Combination of the two

 Implementation:

 snort

I t

i

P

ti

S

t

(IPS)

Intrusion Prevention System (IPS)

 Upgrade application

 Active reaction (IDS = passive)  Implementation:

P

ti

IDS

Pengertian IDS

 IDS kepanjangan Intrusion Detection System

 Sistem untuk mendeteksi dan merespons adanya

“intrusionintrusion” yang dilakukan oleh “ yang dilakukan oleh intruderintruder”

 Pendeteksian bisa dilakukan sebelum, selama dan

sesudah kejadian.

T d k i b l k bi l k k i d k

 Terdeteksi sebelum, maka bisa melakukan tindakan pencegahan

 Terdeteksi selama : bisa diputuskan untuk diblok dan alarm

 T d t k i t l h lih t kib t diti b lk

 Terdeteksi setelah : melihat akibat yang ditimbulkan

 IDS mengumpulkan info dari dari berbagai sistem dan

source network kemudian melakukan analisa terhadap

i f b i d l d h di k

P

ti

IDS (C

t

)

Pengertian IDS (Cont…)

 Intrusion

 Didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect, inappropriate yang terjadi di jaringan atau di host

 Klasifikasi intrusi :

 Klasifikasi intrusi :

 Attempted Break-ins  Masquerade attacks

 Penetration of Security Control Systems  Leakage

 Leakage

 Denial of Service  Malicious Use

 Anomaly merupakan Traffic/aktivitas yang tidak sesuai

d li

dgn policy:

 akses dari/ke host yang terlarang

 memiliki content terlarang (virus)

 menjalankan program terlarang (web directory traversal:GET

 menjalankan program terlarang (web directory traversal:GET

I t

i

D t

ti

S

t

(IDS)

Intrusion Detection System (IDS)

 Intrusion detection adalah proses notifikasi ketika

seseorang ingin masuk ke sebuah sistem.

K t i d i ft i i di b t i t i d t ti

 Kategori dari software ini disebut intrusion detection

systems (IDS)

 PortSentry, oleh Psionic, melihat port network ketikaPortSentry, oleh Psionic, melihat port network ketika

paket melakukan port scan.

 Tool yang lebih kompleks dari PortSentry adalah Linux

IDS t LIDS d t b h Li k l

Penggunaan Software Intrusion

Penggunaan Software Intrusion

Detection

 Penggunaan yang disarankan untuk tool intrusion

detection :

 Gunakan nmap untuk scan system setelah konfigurasi untuk

 Gunakan nmap untuk scan system setelah konfigurasi untuk mengecek security holes.

 Selanjutnya, gunakan PortSentry untuk melihat host luar yang mencoba melakukan port scan ke server

mencoba melakukan port scan ke server.

 Gunakan LIDS untuk mengamankan file system anda, sehingga seseorang yang ingin untuk masuk ke server akan mempunyai akses yang dibatasi

B

i I t

i

D t

ti

Basic Intrusion Detection

Target

Intrusion Detection System Infrastructure

Respond Report

I t

i

D t

ti

S

t

IDS

Intrusion Detection System IDS

 Port : Pelabuhan  Sentry : Penjaga

P S d l h b h k l k di

 PortSentry adalah sebuah perangkat lunak yang di

rancang untuk mendeteksi adanya port scanning &

meresponds secara aktif jika ada port scanning secara p j p g real time

 portsentry – mencegah portscan

 Jalankan sebagai daemon pada host yang terproteksi, hal ini akan mendengarkan ke port TCP/UDP dan akan memblok scanning host dari server yang terkoneksi. g y g

P tS

t

PortSentry

Pl tf

P t S

t

Platform Port Sentry

 FreeBSD

 Open BSD

K

t

P t S

t

Keuntungan Port Sentry



_{Deteksi portscan TCP/UDP berbasis}

host-based dan mengaktifkan sistem pertahanan



_{Deteksi Stealth scan}



_{Bereaksi ke portscan dengan memblok host}



_{Internal state engine untuk mengingat host}

yang terkoneksi sebelumnya

K k

P t S

t

Kekurangan Port Sentry

 Portsentry dibinding ke port sehingga diperlukan

pengecekan menyeluruh

Tid k d t d t k i fi

Di

P t S

t

Dil t kk

Dimana Port Sentry Diletakkan

 Dibelakang Firewall

1

Fit

P tS

t

Fiture PortSentry

 Mendeteksi scan

 Melakukan aksi terhadap host yg melakukan pelanggaran  Mengemail admin system bila di integrasikan dengan

Ak i

dil k k

P t S

t

Aksi yang dilakukan Port Sentry

 Stealth setting ????g

 Melogging semua pelanggaran di syslog dan

mengindikasikan nama system, waktu serangan, IP mesin

TCP / UDP t t t dil k k

penyerang, TCP / UDP port tempat serangan dilakukan.

 Menambahkan entry untuk penyerang di /etc/hosts.deny  Mengeblok akses ke sistem berbasis iptables atau

 Mengeblok akses ke sistem berbasis iptables atau

Fil K

fi

i P tS

t

File Konfigurasi PortSentry

fil / t / t t / t t f

 file /etc/portsentry/portsentry.conf

merupakan konfigurasi utama portsentry. Disini secara bertahap diset port mana saja yang perlu di monitor, responds apa yang harus di lakukan ke mesin yang melakukan portscan, mekanisme menghilangkan mesin dari routing table, masukan ke host.deny.

 file /etc/default/portsentryp y

 set mode deteksi yang dilakukan portsentry.

 Semakin baik mode deteksi yang dipilih (advanced stealth

TCP/UP scanning) biasanya PortSentry akan semakin sensitif & TCP/UP scanning), biasanya PortSentry akan semakin sensitif & semakin rewel karena sedikit-sedikit akan memblokir mesin.

 file /etc/portsentry/portsentry.ignore

M

j l

k

t

t

Menjalankan portsentry

 /usr/sbin/portsentry

 /etc/init.d/portsentry start

portsentry udp (normal scan detection)

 portsentry -udp (normal scan detection)  portsentry -tcp (normal scan detection)

 portsentry -sudp (normal stealth scan detection)p y p ( )  portsentry -stcp (normal stealth scan detection)

 portsentry -audp (advanced stealth scan detection)

t t t ( d d t lth d t ti )

K

fi

i P t S

t

Konfigurasi Port Sentry

 Un-comment these if you are really anal:

#TCP PORTS="1 7 9 11 15 70 79 80 109 110 111 119 138 139 143 5 1335 32770 32771 32772 32773 32774 31337 54321“

1335,32770,32771,32772,32773,32774,31337,54321“  # # Use these for just bare-bones

#TCP_PORTS="1,11,15,110,111,143,540,635,1080,1524,2000,12345, 12346,20034,32771,32772,32773,32774,49724,54320" , , , , , , ,

Bl

ki

H

t

Blocking Host

 file /etc/portsentry/portsentry.conf  Blocking dengan iptables :

KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s $TARGET$ -j DROP“

 Blocking dengan tcpwrapper :  Blocking dengan tcpwrapper :

D ft

L

S

Daftar Log Serangan

 /etc/hosts.deny

O t

t P tS

t

Output PortSentry



Sep 19 01:50:19 striker portsentry[129]:

attackalert: \ Host 192.168.0.1 has been blocked

via dropped route using command: \ "/sbin/ipfw

add 1 deny all from

192 168 0 1:255 255 255 255 to any"

192.168.0.1:255.255.255.255 to any



Sep 19 01:50:19 striker portsentry[129]:

attackalert: \ Connect from host:

attackalert: \ Connect from host:

192.168.0.1/192.168.0.1 to TCP port: 9 Sep 19

01:50:19 striker portsentry[129]: attackalert: \

0 50 9 s

e po se

y[

9] a ac a e

\

H

t

Honeypot

 Merupakan sebuah resource yang berpura-pura menjadi

sebuah target real, yang diharapkan untuk diserang.

T j t

 Tujuan utamanya :

 membelokkan attacker dari serangan ke productive system

 mendapatkan informasi tentang jenis-jenis serangan dan p g j j g penyerang.

 Penempatan honeypot

 Penempatan secara tidak langsung antara firewall dan internet

 Penempatan secara tidak langsung antara firewall dan internet

HoneypotsHoneypots

(http://www.honeynet.org)

2

Vi t

l H

t

Virtual Honeynet

I t t

 Implement

 VMware

Internet

Host Operating System

Ti

H

t

Tipe Honeypot

Hi h I t ti H t

 High Interaction Honeypot

adalah sistem yang mengoperasikan Sistem Operasi penuh sehingga penyerang akan melihatnya sebagai penuh sehingga penyerang akan melihatnya sebagai

sebuah sistem operasi/host yang siap untuk dieksploitasi

 Low Interaction Honeypot

mensimulasikan sebuah sistem operasi dengan service-service tertentu(misalnya SSH,HTTP,FTP) atau dengan kata lain sistem yang bukan merupakan sistem operasi kata lain sistem yang bukan merupakan sistem operasi secara keseluruhan, service yang berjalan tidak bisa

dieksploitasi untuk mendapatkan akses penuh terhadap

h t

T j

H

t

Tujuan Honeypot

 Early Detection

 Pendeteksian ancaman baru

 Mengenal si attacker (know your enemy)

 Menyelamatkan sistem

M k l fiki tt k

 Mengacaukan pola fikir attacker

 Membangun pertahanan

 Mencegah proses hacking