I t
t N t
k S
it
Int ro t o Net work Securit y
and Scanning
and Scanning
Muhammad Zen Samsono Hadi, ST. MSc.
Network Security
Politeknik Elektronika Negeri Surabaya
Politeknik Elektronika Negeri Surabaya
2011
Net work Securit y In Act ion
Net work Securit y In Act ion
Client
Configuration DNS Network Services FTP/Telnet SMTP/POP Web Server
IP & Port Scanning
Web Server
Exploit Email Exploit DoS Attack Trojan Attack
Sniffing Traffic
KeyStroke Logging
Password
Cracking MITM Attack
Hardening
GPG/PGP Using SSH
Using
Certificate Using IPSec
System Log Analysis
Intrusion
Detection HoneyPot
Spyware
Detection and Backup and Restore
Mengapa perlu Securit y Jar ?
Mengapa perlu Securit y Jar. ?
External attacker Internal
attacker
Corporate Assets Incorrect permissions Virus
Desain security jaringan melindungi aset perusahaan dari pencurian dan titik2 kelemahan dari suatu organisasi.
Untuk mendesain security, analisa resiko yang timbul ke aset Untuk mendesain security, analisa resiko yang timbul ke aset perusahaan dan untuk membuat respon jika ada pencurian.
Prinsip Keamanan Jaringan
Prinsip Keamanan Jaringan
• Confidentiality (Kerahasiaan pesan)
Confidentiality (Kerahasiaan pesan)
– Melindungi informasi dari serangan.
• Integrity (keaslian pesan)
g y (
p
)
– Menurunkan problem yang mungkin muncul yang
disebabkan oleh data yang hilang/dirubah.
Exploit s (1)
Exploit s (1)
• What is an Exploit?
– Crackers break into a computer network by exploiting weaknesses in operating system services.
• Types of attacks
– Local – Remote
• Categories of exploitsg p
– zero-day attack (pada bug-bug software/patch dimasuki virus) – Account cracking
– Buffer overflow – Denial of service – Impersonation
Exploit s (2)
Exploit s (2)
•
Categories of exploits (cont.)
g
p
(
)
– Man in the middle – Misconfiguration
N t k iffi – Network sniffing – Session hijacking
SANS Securit y Threat s
SANS Securit y Threat s
• SANS/FBI top 20 security th t
threats
– http://www.sans.org/top20/ • Goals attackers try to
achieve achieve
– Gain unauthorized access
– Obtain administrative or
root level
i l d
– Destroy vital data
– Deny legitimate users
service
– Individual selfish goalsg
– Criminal intent
d
Trends
•
Computer Security Institute (
p
y
(
http://www.gocsi.com
p
g
)
)
•
Growing Incident Frequency
– Incidents reported to the Computer Emergency Response T /C di ti C t
Team/Coordination Center – 1997: 2,134
1998 3 474 (75% th f i )
– 1998: 3,474 (75% growth from previous year) – 1999: 9,859 (164% growth)
2000 21 756 (121% th) – 2000: 21,756 (121% growth) – 2001: 52,658 (142% growth)
T ?
At t ack Target s
At t ack Target s
• SecurityFocus
SecurityFocus
– 31 million Windows-specific attacks
– 22 million UNIX/LINUX attacks
illi
i
k
– 7 million Cisco IOS attacks
– All operating systems are attacked!
p
g y
Hackers Vs Crackers
Hackers Vs Crackers
• Ethical Hackers vs. Crackers
– Hacker usually is a programmer constantly seeks
further knowledge, freely share what they have
discovered and never intentionally damage data
discovered, and never intentionally damage data.
– Cracker breaks into or otherwise violates system
integrity with malicious intent. They destroy vital
data or cause problems for their targets
A
tt
a
c
k
T
y
p
e
Types of At t acks
Types of At t acks
Attacks
Physical Access
Attacks Social Engineering
Social Engineering
Social Engineering
• Definisi Social enginering (dikenalkan Kevin Mitnick)
– seni dan ilmu memaksa orang untuk memenuhi harapan anda ( Bernz ), – Suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user
legitimate dari sebuah sistem komputer (Palumbo)
Mendapatkan informasi yang diperlukan (misalnya sebuah password) – Mendapatkan informasi yang diperlukan (misalnya sebuah password)
dari seseorang daripada merusak sebuah sistem (Berg).
• Tujuan dasar social engineering sama seperti umumnya hacking: mendapatkan akses tidak resmi pada sistem atau c g: e d p ses d es p d s s e u informasi untuk melakukan penipuan, intrusi jaringan, mata-mata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau jaringan.
• Target-target tipikal termasuk perusahaan telepon dan jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan
dengan nama besar, badan-badan militer dan pemerintah dan h kit
rumah sakit.
Bent uk Social Engineering
Bent uk Social Engineering
• Social Engineering dengan telepon (IVR atau phone pishing)
S h k k l d i d l k d d k
– Seorang hacker akan menelpon dan meniru seseorang dalam suatu kedudukan berwenang atau yang relevan dan secara gradual menarik informasi dari user.
• Diving Dumpster
– Sejumlah informasi yang sangat besar bisa dikumpulkan melalui company j y g g p p y
Dumpster.
• Social engineering on-line :
– Internet adalah lahan subur bagi para teknisi sosial yang ingin mendapatkan password
p
– Berpura-pura menjadi administrator jaringan, mengirimkan e-mail melalui jaringan dan meminta password seorang user.
• Persuasi
Sasaran utamanya adalah untuk meyakinkan orang untuk memberikan – Sasaran utamanya adalah untuk meyakinkan orang untuk memberikan
informasi yang sensitif
• Reverse social engineering
Penet rat ion At t acks St eps
Penet rat ion At t acks St eps
• Footprinting (nslookup, whois, dig) • Port scanner (nmap)
• Network enumeration (nullsession) : cari account name yang sah
• Gaining & keeping root / administrator access • Using access and/or information gained
• Attack • Attack
– Denial of Services (DoS) :Network flooding – Buffer overflows : Software error
M l Vi j h
– Malware :Virus, worm, trojan horse – Brute force
• Leaving backdoorg
• Covering his tracks (hapus jejak)
w
h
o
is
w
h
o
is
Scanning (Probing) At t acks
Scanning (Probing) At t acks
Probe Packets to
172.16.99.1, 172.16.99.2, etc. Reply from
172.16.99.2 No Reply Results
172 16 99 1 is reachable
Corporate Network
l
d
k
Flooding At t ack
Message Flood
Server Server Overloaded By Message Flood
Dialog At t ack
Dialog At t ack
• Eavesdropping biasa disebut dengan spoofing
Eavesdropping, biasa disebut dengan spoofing,
cara penanganan dengan Encryption
• Impersonation dan message alteration
• Impersonation dan message alteration
ditangani dengan gabungan enkripsi dan
autentikasi
Eavesdropping on a Dialog
Eavesdropping on a Dialog
Dialog
Client PC
Hello Client PC
Bob Server
Alice
Hello
Attacker (Eve) intercepts Hello
and reads messages
Message Alt erat ion
Message Alt erat ion
Di l Dialog
Client PC Balance =$1 Server
Balance = $1,000,000
Bob $1 ServerAlice
Balance =
B l
Attacker (Eve) intercepts and alters messages
$1 Balance =
$1,000,000
and alters messages
F
la
g
F
la
g
Port Scanning
Port Scanning
• Port scanning adalah proses koneksi ke port-port TCP atau g p p p
UDP pada host yang menjadi target untuk menentukan service apa yang sedang berjalan (Listening).
D id tifik i t t li t i i i kit d t • Dengan mengidentifikasi port-port yang listening ini kita dapat
menentukan jenis aplikasi dan sistem operasi apa yang dipergunakan pada host tersebut.
• Service yang dalam status listening ini memungkinkan orang yang tidak berhak menerobos ke dalam host tersebut.
Well Known Port s
Well Known Port s
• “The Well Known Ports are assigned by the IANA and on
l b d b ( )
most systems can only be used by system (or root) processes or by programs executed by privileged users”.
• A list of commonly used well known ports are .
• Port 20 – FTP, datao t 0 , data • Port 21 – FTP, control • Port 22 – SSH
Tools Scanning
Tools Scanning
• Netstat
Netstat merupakan utility yang powerfull untuk menngamati current state pada server, service apa yang listening untuk incomming
connection, interface mana yang listening, siapa saja yang terhubung.
• Nmap
Merupakan software scanner yang paling tua yang masih dipakai Merupakan software scanner yang paling tua yang masih dipakai sampai sekarang.
• Nessus
Nessus merupakan suatu tools yang powerfull untuk melihat
kelemahan port yang ada pada komputer kita dan komputer lain. Nessus akan memberikan report secara lengkap apa kelemahan komputer kita dan bagaimana cara mengatasinya.
Scan Result
Scan Result
Hasil dari scan dibagi dalam 3 kategori berikutg g
a. Open atau Accepted:
Host mengirim reply yang menunjukkan service “listening” pada port
b. Closed atau Denied atau Not Listening:
Host mengirim reply yang menunjukkan koneksi akan ditolak pada port tsb.
c. Filtered Dropped atau Blocked:
Type Scanning
Type Scanning
a. TCP connect scan -sT
Jenis scan ini terhubung ke port host target dan menyelesaikan three-way handshake (SYN, SYN/ACK dan ACK) .
Scan ini mudah terdeteksi oleh pengelola host target.
b. TCP SYN Scan -sS
Teknik ini dikenal sebagai half-opening scanning karena suatu koneksi penuh tidak sampai terbentuk. Suatu paket SYN dikirimkan ke port host
il S /AC di i d i h k ki d
target. Bila SYN/ACK diterima dari port host target, maka kita dapat mengambil kesimpulan bahwa port tersebut dalam status listening.
Jika RST/ACK diterima, biasanya menunjukkan bahwa port tersebut tidak listening
listening.
Suatu RST/ACK akan dikirim oleh mesin yang melakukan scanning
Type Scanning (Cont -)
c. TCP FIN scan –sF
Type Scanning (Cont )
Teknik ini mengirimkan suatu paket FIN ke port host target. Berdasarkan RFC 793, host target akan mengirim balik suatu RST untuk setiap port yang tertutup.
k ik i i h d di k i d k / b b i i
Teknik ini hanya dapat dipakai pada stack TCP/IP berbasis Unix.
d. TCP Xmas tree scan -sX
Teknik ini mengirimkan suatu paket FIN, URG dan PUSH ke port host
d k C 93 h k b lik S
target. Berdasarkan RFC 793,host target akan mengembalikan suatu RST untuk semua port yang tertutup.
e. TCP Null scan -sN
T k ik i i b ff fl B d k RFC 793 h k
Teknik ini membuat off semua flag. Berdasarkan RFC 793, host target akan mengirim balik suatu RST untuk semua port yang tertutup.
Type Scanning (Cont -)
f. TCP ACK scan -sA
T k ik i i di k k k fi ll H l i i b d l
Type Scanning (Cont )
Teknik ini digunakan untuk memetakan set aturan firewall. Hal ini sangat membantu dalam menentukan apakah firewall yang dipergunakan adalah simple packet filter yang
membolehkan hanya koneksi penuh saja (koneksi dengan bit set ACK) atau suatu firewall yang menjalankan advance packet filtering.
g. TCP Windows scan -sW
Teknik ini dapat mendeteksi port-port terbuka maupun terfilter/tidak terfilter pada sistem-sistem tertentu seperti pada AIX dan Free BSD sehubungan dengan anomali dari ukuran windows TCPnya.
h. TCP RPC Scan -sR
Teknik ini spesifik hanya pada sistem Unix dan digunakan untuk mendeteksi dan
mengidentifikasi port RPC dan program serta nomor versi yang berhubungan dengannya i. UDP Scan -sU
i. UDP Scan sU
Teknik ini mengirimkan suatu paket UDP ke port host target. Bila port host target memberikan response pesan berupa “ICMP port unreachable” artinya port ini tertutup.
Sebaliknya bila tidak menerima pesan tersebut, kita dapat menyimpulkan bahwa port tersebut terbuka.