IDS, Dingap, dan Honeypot Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

(1)

IDS, Dingap,

dan Honeypot

Ethical Hacking and Countermeasures (PAI 083213)

Program Studi Teknik Informatika, Unsoed

(2)

Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed

IDS, Dingap, dan Honeypot

● IDS, dingap, dan honeypot digunakan untuk

mencegah penyerang tidak/relatif susah untuk

mendapat akses ke sistem atau jaringan target.

● IDS dan dingap adalah perangkat yang berguna

untuk memantau lalu lintas paket berdasarkan

aturan terdefinisi.

● Honeypot adalah sistem target “palsu” yang

digunakan untuk memancing penyerang agar

tidak menyerang sistem “asli”.

(3)

(4)

Intrusion Detection System (IDS)

● Memeriksa lalu lintas data & mendeteksi tandatanda

serangan atau perilaku yang tidak umum, berdasarkan

basis data pola yang terdefinisi. “analisisdeteksi”

● Terdiri dari pengendus paket, basis data tanda/pola

serangan, dan pemberitahuan melalui bermacam media

seperti pager, surel, pesan singkat, dll.

● Intrusion Prevention System (IPS) digunakan untuk

melakukan penanggulangan serangan, seperti memblok

lalu lintas data yang terdeteksi “nakal”.

● IPS merespon tanda/pola serangan secara otomatis untuk

menolak atau memblok akses ke sistem/jaringan target.

(5)

(6)

(7)

Tipe-Tipe IDS

● Berbasis host: program IDS yang dipasang di sebuah

sistem dan memantau tanda/pola serangan ke sistem

tersebut.

● Berbasis jaringan: program IDS yang dipasang di

segmen jaringan yang digunakan untuk memantau lalu

lintas data terhadap tanda/pola serangan.

●

Termasuk serangan terhadap layanan yang lemah, data

pada aplikasi, eksploitasi akses jarak jauh, percobaan login,

akses ke berkas yang sensitif, malware, dan lainlain.

(8)

IDS bersifat pasif. Sensor IDS akan mendeteksi

kejadian, mencatat informasinya, dan melapor-

kan ke konsol/media yang digunakan admin.

(9)

(10)

(11)

(12)

Snort

(13)

Snort (1)

●

Snort adalah sebuah NIDS yang memiliki kemampuan sniffing

secara realtime dan merekam lalu lintas data di dalam jaringan.

Berlisensi GNU GPL.

●

Dapat menganalisis protokol, melakukan pencarian konten, dan

mendeteksi bermacam serangan dan prob seperti buffer over

flow, pemindaian SYN stealth, penjejakan sistem operasi, dan

lainlain.

●

Terdiri dari:

●

mesin Snort: mesin deteksi IDS yang menggunakan arsitektur

pengaya yang modular.

●

aturan Snort: bahasa aturan untuk menggambarkan pola lalu lintas

yang akan ditangkap.

(14)

Snort (2)

● Memiliki 3 mode: sniffer, packet logger, dan NIDS.

● Menggunakan berkas konfigurasi snort.conf.

● Variabelvariabel di dalam berkas konfigurasi

dikategorikan menjadi:

● Variabel jaringan

● Preprocessor.

● Postprocessor.

● Aturan.

(15)

var HOME_NET 192.168.1.0/24

var EXTERNAL_NET any

var SMTP $HOME_NET

var HTTP_SERVERS $HOME_NET

var SQL_SERVERS $HOME_NET

var DNS_SERVERS $HOME_NET

var RULE_PATH /etc/snort/rules

(16)

include $RULE_PATH/exploit.rules

include $RULE_PATH/scan.rules

include $RULE_PATH/ftp.rules

include $RULE_PATH/telnet.rules

include $RULE_PATH/smtp.rules

include $RULE_PATH/rpc.rules

include $RULE_PATH/dos.rules

include $RULE_PATH/ddos.rules

include $RULE_PATH/dns.rules

include $RULE_PATH/webcgi.rules

(17)

Snort (3)

●

Aturan Snort mempunyai header yang terdiri dari bagian: <aturan aksi>,

<protokol>, <alamat dan porta sumber>, <alamat dan porta tujuan>.

●

alert tcp $EXTERNAL_NET any > $HOME_NET 23

●

Mengirim pemberitahuan ke konsol dan mencatat pesan setiap aktivitas pada

protokol TCP dari alamat selain NIDS dengan porta apa saja ke alamat tujuan

lokal pada porta 23.

●

Header aturan snort diikuti oleh opsi aturan.

●

msg: “TELNET telnetd format bug”, pencatatan/pemberitahuan.

●

flags: A+, cocok dengan flag TCP ACK.

●

content: /bin/sh, pola konten payload paket.

●

classtype: attemptedadmin, kelas serangan attemptedadmin.

(18)

Keluaran Snort

●

Waktu.

06/1808:23:13.325017

●

Alamat MAC sumber dan tujuan.

00:08:02:FB:33:C2 > 00:02:9B:15:A4:6F

●

Tipe frame dan panjangnya.

type:0x800 len:0x3B

●

Alamat IP:porta sumber dan tujuan.

202.108.43.14:445 > 202.105.43.28:2112

●

Protokol TCP dengan Time To Live (TTL) 128.

TCP TTL:128

(19)

(20)

Bagaimana cara

“menipu” IDS?

(21)

(22)

Teknik “Menipu” IDS

● IDS dapat melakukan analisis tanda/pola tertentu yang

sudah terdefinisi atau dapat pula mendeteksi kejadian

anomali.

● Penyerang dapat “menipu” IDS dengan mengubah lalu lintas

data yang dipakai agar tidak sesuai dengan tanda/pola yang

diketahui IDS.

●

Penggunaan protokol yang berbeda. Contoh: UDP, HTTP.

●

Membuat serangan menjadi “modular”.

●

Menyisipkan data tambahan.

●

Mengubah pola atau perintah serangan.

●

Mengenkripsi serangan ;)

(23)

Dingap dan

(24)

Dingap dan Honeypot

● Dingap: program atau perangkat yang digunakan untuk

penyaringan lalu lintas dari dan ke dalam jaringan, sesuai

dengan aturan yang ditentukan oleh administrator.

Umumnya di letakkan di “depan” jaringan. “perijinan”

● Honeypot: sistem yang digunakan sebagai “umpan” untuk

menangkap, mempelajari, atau mengalihkan penyerang

dari sistem target.

●

Umumnya ditempatkan di DMZ.

●

Terdapat pencatatan aktivitas di dalam sistem.

●

Seperti peladen “asli” dan menarik untuk diserang ;)

(25)

(26)

(27)

Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide

(28)

The Honeynet Project

(29)

(30)

Teknik Melewati

(31)

Teknik Melewati Dingap/Honeypot

● Menguasai sistem internal atau yang dipercaya oleh si

dingap ;)

● Ingat porta yang hampir selalu terbuka: 80.

● Buat “lorong”/tunnel melewati porta yang terbuka.

● Kombinasikan dengan “shell www” dan enkripsi

komunikasi.

● Membekali dengan pengetahuan target sistem dan

program yang umum digunakan.

●

Contoh program untuk membuat honeypot: honeyd.

● Menggunakan program pendeteksi honeypot.

(32)