Keamanan Komputer :

IDS

STMIK AMIKOM

Yogyakarta

Apa itu IDS?

• Sistem untuk mendeteksi adanya

“intrusion” yang dilakukan oleh

“intruder”

• Mirip seperti alarm/camera

• Kejadian (intrusion) sudah terjadi

• Bekerjasama dengan (komplemen dari)

firewall untuk mengatasi intrusion

Melwin Syafrizal, S.Kom., M.Eng.

M.Didik R.Wahyudi, MT

Definisi

• Intrusion

– Suatu tundakan yang diarahkan untuk mengganggu kebijakan keamanan, seperti :

• Integrity, confidentiality, atau availability, dari komputer dan jaringan

– Kegiatan bersifat anomaly, incorrect, inappropriate – Dapat terjadi di jaringan atau di host

• Intrusion detection

– Suatu proses mengidentifikasi dan memberikan respon terhadap aktivitas intrusion

Apa yang sebaiknya dilakukan

• Intrusion prevention

– Temukan buffer overflow dan hentikan

– Pergunakan firewall untuk melakukan filter malicious network traffic

• Intrusion detection adalah suatu kegiatan yang dilakukan setelah pencegahan yang dilakukan gagal

– Deteksi serangan yang sedang berlangsung • Pola network traffic, akses yang mencurigakan,dll – Temukan modifikasi sistem yang bersifat rahasia

Apa yang harus dideteksi?

• Penyusupan dan pembacaan data yang

sukses

• Serangan yang justru dilakukan “orang

dalam”

– Penyalahgunaan hak akses ROOT

– Akses ilegal ke data atau suatu resource

• Trojan horses

• Viruses dan worms

• Denial of service attacks

Dimana IDS dibangun?

• Host-based

– Mengawasi aktivitas pada single host

– Kelebihan : lebih bagus dalam mengamati pola aplikasi yang berjalan pada host (scanning)

• Network-based (NIDS)

– Biasanya ditempatkan pada router atau firewall – Monitor traffic, menguji header paket data beserta

isinya

– Kelebihan : single NIDS dapat melindungi beberapa host dan dapat mengamati pola secara umum

Intrusion Detection Techniques

• Misuse detection

– Menggunakan serangan yang sudah diketahui (memerlukan suatu model serangan)

• Sequences of system calls, patterns of network traffic, etc.

– Harus mengetahui sejak awal apa dan bagaimana yang akan dilakukan attacker – Hanya dapat mendeteksi serangan serangan

yang diketahui

Intrusion Detection Techniques

• Anomaly detection

– Mempergunakan pola sistem normal untuk

mengetahui keanehan/ketidaknormalan yang terjadi • Menyalakan alarm, ketika sesuatu yang jarang/tidak pernah

terjadi

– Potensial untuk mendeksi unknown attacks – Traffic / aktivitas yang tidak sesuai dgn policy:

• akses dari/ke host yang terlarang • memiliki content terlarang (virus)

• menjalankan program terlarang (web directory traversal: GET ../..;

Misuse vs. Anomaly

Misuse

Percobaan Login gagal sebanyak 4 kali Anomaly

Percobaan koneksi yang gagal

pada 50 port Anomaly

Pemakai yang mencoba menyusup pada jam2 tertentu atau dari IP address tertentu

Anomaly

UDP packet pada port 1434 Misuse

“DEBUG” dalam body SMTP

message Not an attack! (most likely)

Modifikasi file Password

• Mempergunakan mekanisme auditing dan

monitoring OS untuk menemukan aplikasi yang dijalankan attacker

– Mengamati log sistem

– Mengamati shell command dan sistem call yang dijalankan aplikasi user dan sistem program

• Satu host satu IDS

• Hanya menunjukkan yang terjadi di host yang

Level of Monitoring

• Mana yang akan dimonitoring?

– OS system calls – Command line

– Network data (e.g., from routers and firewalls)

– Processes – Keystrokes

– File and device accesses

Rootkit

• Rootkit adalah seperangkat software yang berguna untuk menyembunyikan jejak (proses, file, koneksi network) dan mengizinkan seseorang untuk tetap bisa mendapat akses ke sebuah sistem (backdoor).

• Biasanya dipasang oleh hacker setelah si hacker berhasil memperoleh akses root/administrator pada server melalui salah satu vulnerability yang masih

dimiliki oleh server (mis: lubang pada software lama atau versi kernel OS lama yang belum diupdaet).

• Rootkit digolongkan dalam kategori malware. • Tool deteksi rootkit di Linux:

– chkrootkit – rkhunter

Tripwire

• Merupakan tool untuk memeriksa integritas sistem • Digunakan untuk memonitor perubahan yang terjadi

pada sebuah sistem

• Bekerja dengan membuat sebuah database infomasi semua file sistem dan menyimpannya pada suatu file • Setiap kali tripwire dijalankan untuk melakukan

pengecekan file sistem, hasil pemeriksaan akan dibandingkan dengan database yang pernah dibuat • Tool yang cukup baik untuk mendeteksi rootkit

Nuke Nabber

• Nuke Nabber didesain untuk "menangkap" sekaligus memberikan informasi tentang tamu tak diundang (hacker atau cracker) yang masuk ke komputer yang bertujuan untuk menyerang, mengacau atau

mengambil data-data tanpa permisi.

• IP address hacker atau cracker yang datang otomatis akan ditampilkan oleh Nuke Nabber

Tampilan NukeNabber

Port yang dimasuki IP address Penyusup Status Nuke Nabber Status port yang dimonitor

Penyusup terdeteksi

• Ketika penyusup terdeteksi, Nuke

Nabber akan memberi tahu kepada

operator bahwa ada penyusup yang

masuk dengan cara icon Nuke Nabber

yang sudah diinstall akan

berkedip-kedip.

Penyusup terdeteksi

• Jika komputer yang dipasang Nuke Nabber memiliki kartu suara (sound card) maka akan muncul suara sesuai dengan file suara yang dipasang

Penyusup terdeteksi

• Ketika penyusup terdeteksi, maka port

dimana penyusup terhubung akan

disable (non aktif) selama 60 detik.

• Pilihan Copy addres to Cliboard secara

otomatis meng-copy IP address

penyusup, dan Flash icon bermaksud

icon Nuke Nabber di toolbar kanan

bawah akan berkedip jika ada penyusup

yang masuk.

Blokir IP address

• Nuke Nabber dapat memblokir IP

address tertentu

agar tidak dapat terhubung

(diabaikan) dengan jalan memasukkan

IP address yang

dimaksud kedalam pilihan ignore pada pilihan option yang lain

Nukenabber untuk IRC relay

• Nuke Nabber dapat berperan IRC

Relay, dimana setiap komputer yang

masuk kedalam IRC server dengan

mempergunakan firewall komputer yang

terinstall Nuke Nabber, maka identitas

yang akan keluar bukan client

melainkan identitas komputer yang

berperan seperti firewall

Nukenabber untuk IRC relay

PORTSENTRY

• PortSentry merupakan bagian dari Abacus

Poject sistem keamanan yang dapat

diandalkan dan terjangkau (gratis) yang

berbasis pada software pendeteksi gangguan komunitas internet

• PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning

PORTSENTRY

• Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet.

• Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan.

• Jika ada mesin yang tertangkap basah melakukan port scan terhadap Server yang kita miliki, maka secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita.

• Bagi mesin yang sial tersebut, maka jangan berharap untuk melakukan hubungan ke Server yang kita miliki

Sekilas Portsentry

• Programmer PortSentry (Craig H.

Rowland/Psionic) sangat cermat dalam memberi komentar source code –nya, sehingga pemakai mengetahui bagaimana konsep script/program ini dibangun.

• Hal ini menjadikan PortSentry melebihi dari fungsinya sebagai “benteng” namun juga dapat dipergunakan oleh setiap orang yang ingin belajar mengenai socket programing

Fitur Porsentry

Berikut ini fitur portsentry

• Berjalan di atas soket TCP & UDP untuk mendeteksi scan port

• Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.

• PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang.

• Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP

Fitur Porsentry

• PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect. Dengan cara itu, hanya mesin / host yang terlalu sering

melakukan sambungan (karena melakukan scanning) yang akan di blokir.

• PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan.

• Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail.

Deteksi penyusup oleh portsentry

• Ketika ada penyusup yang masuk dan PortSentry sudah dijalankan pada salah satu mode proteksi maka PortSentry akan memberikan reaksi sebagai berikut :

– Sebuah log indikasi dari suatu kejadian akan dibuat melalui syslog().

– Host target secara otomatis akan tertulis dalam /etc/host.deny untuk TCP wrappers (proteksi TCP) – Lokal host secara otomatis dikonfigurasi ulang untuk

mengabaikan paket-paket yang datang dari melalui komputer penyusup yang telah diblokir.

– Lokal host secara otomatis dikonfigurasi ulang untuk mengabaikan paket-paket yang datang dari penyusup dengan paket filter lokal

Aplikasi untuk HIDS

• Portsentry (Linux)

• Nuke Nabber (Windows)

• SNORT (Linux dan Windows)

Kelebihan H-IDS

• Kelebihannya host-based :

o Menguji keberhasilan atau kegagalan serangan o Memonitor aktivitas sistem tertentu

o Mendeteksi serangan yang lolos pada network-based

o Cocok untuk lingkungan encrypt dan switch o Deteksi dan respons secara near real-time o Tidak memerlukan tambahan perangkat keras • Contoh : portsentry

• Mengawasi network traffic

– Contoh : mempergunakan tcpdump untuk sniff paket pada router

– Passive (unlike firewalls)

– Default action: let traffic pass (unlike firewalls)

• Mengamati penyalahgunaan protocol, koneksi yang tidak biasa dan serangan terhadap paket data

• Tidak dapat mengamati traffic yang diencrypt • Tidak semua serangan datang dari jaringan

Network-Based IDS

Snort NIDS

• Open source IDS

– host-based – network-based – packet sniffer

– implementasi di UNIX & Windows

• Beroperasi berdasarkan “rules”

Menangkap sesi FTP

• Buat rule snort di dalam berkas

“ftp.conf”, dengan isi:

log tcp any any -> 192.168.1.0/24 21

• Perhatikan: rule header saja

• Buat direktori bernama “coba”,

kemudian jalankan perintah berikut:

unix# snort –d –l coba –c ftp.conf

Lanjutan sesi FTP

• Jalankan sesi FTP yang menuju ke sebuah host di jaringan 192.168.1.0

unix$ ftp 192.168.1.101 Connected to 192.168.1.101. 220 FTP server ready.

Name: anonymous

331 Guest login ok, send your complete e-mail

address as password.

Password: guest@hotmail.com ftp> quit

Lanjutan …

• Hentikan sesi snort dengan ^c (ctrl c), kemudian pindah ke direktori “coba” • Perhatikan bahwa ada direktori yang

namanya merupakan nomor IP dari komputer yang menyerang (dalam hal ini yang

melakukan FTP); misalnya 192.168.1.5 • Pindah ke direktori ini. Akan ditemukan

sebuah berkas yang namanya kira-kira sebagai berikut:

TCP:35724-21

• Kemudian amatilah isi berkas ini.

Mengamati sesi TELNET

• Buat rule snort di dalam berkas telnet.conf, dengan isi:

var HOME_NET [192.168.1.0/24] log tcp any any <> $HOME_NET 23 (session: printable;)

[Baris kedua ini harus ditulis dalam satu baris panjang. Perhatikan sudah ada rule option]

• Kemudian jalankan perintah berikut:

Sesi TELNET [lanjutan]

• Jalankan sesi telnet yang menuju ke sebuah host di jaringan 192.168.1.0

unix$ telnet 192.168.1.101 Trying 192.168.1.101... Connected to 192.168.1.101. Escape character is '^]'. Debian GNU/Linux 3.0 hurd hurd login: user01

Password: user01 Unix% ls

Unix% exit

Sesi TELNET [lanjutan]

• Tahap selanjutnya sama seperti pada

bagian pengamatan Sesi FTP.

• Berkas yang dihasilkan oleh program

snort kira-kira bernama

SESSION:35733-23

• Amatilah berkas ini. Anda akan

dapatkan isi sesi telnet anda

Rules yang lebih kompleks

• Rules yang lebih kompleks dapat dilihat pada distribusi snort di direktori /etc/snort

– Mendeteksi virus

– Mendeteksi akses daerah (file) terlarang di web server

– Paket yang memiliki isi aneh

– Paket yang memiliki sifat aneh (flag tidak lazim) – Adanya portscanning

– dan lain-lain

ACID

• Analysis Console for Intrusion

Databases (ACID)

• Program yang dirancang untuk

mengelolah data-data security event

seperti; IDS, Firewall, dan Network

Monitoring Tools

• Data-data disimpan dalam database

(MySQL)

Manfaat ACID

• Log-log yang tadinya susah dibaca menjadi mudah di baca

• Data-data dapat dicari (search) dan difilter sesuai dengan kriteria tertentu

• Managing Large Alert Databases (Deleting and Archiving)

• Untuk kasus-kasus tertentu dapat

merujukalert pada situs database security seperti Securityfocus, CVE, arachNIDS

Daftar Jenis Attack

Kelebihannya N-IDS

• Kelebihannya network-based :

– Biaya lebih rendah

– Mampu menangani serangan yang tidak terdeteksi oleh

host-based

– Kesulitan bagi penyerang untuk menghapus jejak  menggunakan data live netwok, sehingga mendeteksi serangan secara real-time

– Deteksi dan respon secara real time

– Deteksi serangan yang gagal dan kecenderungan serangan – Tidak tergantung pada sistem operasi.

• Contoh network-based : – snort

Hibrid IDS

• Masih berupa wacana

• Fitur yang diharapkan dari Hibrid IDS

– Integrasi antara network-based IDS dan host-based IDS

– Manajemen konsol yang generik untuk semua produk

– Integrasi basis data event – Integrasi sistem report

– Kemampuan menghubungkan event dengan serangan

– Integrasi dengan on-line help untuk respon insiden – Prosedur instalasi yang ringkas dan terintegrasi di

Kelebihan IDS

1. Monitoring dan analisis sistem dan prolaku

pengguna

2. Pengujian terhadap konfigurasi keamanan

sistem

3. Memberikan acuan pelaksanaan keamanan

sistem

4. Penanganan serangan terhadap pola yang

sudah diketahui

5. Penanganan pola aktivitas yang tidak

normal

Kelebihan IDS (2)

6. Manajemen audit SO dan mekanisme logging pada data

7. Memberikan peringatan kepada admin jika ada serangan

8. Mengukur kemampuan kebijakan keamanan yang terdapat pada mesin analisis IDS

9. Menyediakan informasi konfigurasi default pengamanan sistem

Keterbatasan IDS

1. Kurang cepat mengenali serangan pada segmen yang memiliki traffic yang besar dan load prosesor yang besar

2. Tidak dapat mengenali teknik baru yang belum terdapat basis data pada pola serangan yang dimiliki

3. Tidak dapat bekerja secara efektif pada jaringan yang mempergunkaan switch-hub

Respon IDS terhadap “serangan”

• Rekonfigurasi firewall

• Membunyikan speaker

• Log Event, baik linux maupun windows

• Mengirim e-mail pada administrator

• Menyimpan bukti

• Menjalankan program tertentu 

program untuk menangani serangan

• Menghentikan sesi TCP yang dipakai

Letak IDS

• Berhubungan langsung dengan firewall

• Dipergunakan untuk mendeteksi paket-paket yang melalui firewall

• Mendeteksi serangan-serangan terhadap firewall

• Diletakkan di jaringan internal, dipergunkaan mendeteksi serangan yang berasal dari jaringan internal

• IDS host-based diletakkan pada host yang diinginkan  web server, database server

Mencegah Serangan

1. Desain sistem. Sistem yang baik tidak meninggalkan lubang keamanan yang memungkinkan terjadinya penyusupan

• Contoh : enkripsi caesar cipher

2. Aplikasi yang dipakai. Aplikasi yang dipakai sudah dijamin bebas dari backdoor.

• Batas (bound) array yang dapat menyebabkan buffer overflow

• Kealpaan memfilter karakter aneh yang dimasukkan sebagai input

Mencegah Serangan (2)

3. Manajemen. Dengan menerapkan

Standard Operating Procedure dan

Security Policy.

4. Manusia. Merupakan faktor utama

masalah keamanan. “sebagian besar

celah diperoleh melalui rekayasa

sosial yang menunjukkan kelemahan

pengguna” (kevin mitnick).

Strategi dan taktik

keamanan komputer

1. Keamanan fisik

2. Kunci komputer

3. Keamanan bios

4. Keamanan boot loader

5. Xlock dan vlock

• Xlock : pengunci tampilan X pada linux • Vlock : program kecil untuk mengunci

beberapa atau seluruh konsol virtual

Pustaka

•

http://www.engagesecurity.com

•

http://www.snort.org

•

http://www.sans.org