•
Information Security Engineer
•
Natural Born Junker
•
OpenSource Developer
•
FreeBSD
Project
•
OpenBSD
Project
•
High Quality
Jomblo
•
nanosleep(2);
•
“will
hack
for
bandwidth
”
•
...
•
you
name
it
•
Mengenal tipikal attacks
•
Mengenal fase-fase terjadinya sebuah attack
•
Membangun sistim pertahanan yang baik
•
Pengenalan security tools dan eksploit
•
Vulnerability Scanning di Internet sering kali terjadi
dan terus meningkat jumlahnya
•
Tidak diimbangi dengan peningkatan Network &
Host security
•
Semakin banyak komputer yang konek ke Internet•
Tidak ada resep mujarab untuk menulis Secure Software•
Dimungkinkan untuk meningkatkan kemampuan
infrastruktur menghadapi “musuh”
•
Etika hacking
•
pro: semua informasi adalah free•
kontra: jika semua informasi adalah free, tidak ada lagi privacy•
Aspek security
•
pro: “intrusion” adalah ilustrasi kelemahan sistim•
kontra: tidak perlu jadi pencuri untuk menunjukkan pintu yang tidak terkunci•
Idle machines
•
pro: hacking hanya pada idle machines•
kontra: “idle machines” milik siapa?•
Science education
•
pro: hanya membobol tapi tidak merusak•
kontra: “hacker wannabe” berpotensi sangat besar untuk merusak•
Melihat network security dari sudut pandang
“attackers”
•
Meningkatkan kewaspadaan staff IT terhadap
bahaya yang mungkin terjadi setiap waktu
•
Membangun desain network yang cenderung aman
•
Merencanakan langkah antisipasi terhadap setiap
insiden
•
Buffer Overflow Attacks
•
Victim adalah aplikasi yang ditulis dengan tidak baik•
Memanfaatkan kesalahan programming untuk mengeksekusi sisipan code•
Dapat dieksploitasi secara remote atau local, tergantung aplikasi•
Spesifik pada Processor & Operating System tertentu•
Denial of Service
•
Menjadikan service tidak dapat dipergunakan•
Target DoS:•
koneksi jaringan penghubung antar service dan user•
sistim operasi yang digunakan•
aplikasi yang menyediakan service•
Distributed Denial of Service (DDoS) Attacks
•
Sama seperti DoS, namun menggunakan banyak hosts untuk menyerang satu target•
Hosts yang digunakan untuk menyerang biasanya hosts yang telah berhasil dikuasai•
Eksekusi DDoS dilakukan secara bersama-sama (menggunakan master hosts)•
Efek yang ditimbulkan lebih berbahaya•
Penyalahgunaan Trust
•
Hanya berlaku pada jaringan berskala kecil dan menggunakan tipikal arsitektur jaringan yang lama•
Memanfaatkan trust antar hosts / systems•
Sulit dibedakan antara intruder dan user biasa•
Brute Force Attacks
•
Secara berulang melakukan percobaan otentifikasi•
Menebak username dan password•
Cracking password file•
CGI/WWW Attacks
•
Terbagi dalam 3 (tiga) kategori:•
buffer overflow: tidak melakukan validasi pada user input•
command execution: dapat mengeksekusi perintah tambahan•
subverting client-side scripting: dapat dimanfaatkan untuk mengeksekusi buffer overflow dan command execution disisi client•
Backdoors & Trojans
•
Memperdayai user atau sysadmin untuk memberikan password mereka tanpa diketahui•
Dapat berupa program yang umum dikenal dan sering digunakan sehingga tidak menimbulkan kecurigaan•
Fase persiapan
•
mengumpulkan informasi sebanyak-banyaknya•
secara pasif•
via Internet Registries (informasi domain, IP Address)•
website yang menjadi target•
mailing list / newsgroup•
secara aktif•
scanning•
mengolah informasi yang didapat•
membuat “map” dari network target•
menentukan host yang paling lemah•
mengaudit source-code dari service yang diduga vulnerable dan membuat eksploitnya•
mencari eksploit yang sudah tersedia di Internet•
Fase eksekusi
•
melakukan testing di localhost•
eksploitasi pada remote services yang vulnerable•
network level services•
network devices (router/gateway)•
host level services•
exploitasi daemon yang menjalankan services•
Fase post-attack
•
menginstal backdoor/rootkit/trojan•
mengawasi dan memastikan target telah “berubah” sesuai dengan yang diinginkan•
menjadikan target yang telah dikuasai sebagai “zombie” untuk menyerang target yang lainnyaouch!! (1/2)
ouch!!
(2/2)
•
Components of a secure network architecture
•
Incident Management & Response
•
Security Checklist
•
Network Segmentation
•
Firewalls
•
Classification
•
Authentification
•
Encryption
•
Intrusion Detection System
•
Host-Based Security
•
Sekurang-kurangnya memiliki satu DMZ
(Demilitarized Zone) network
•
terletak diantara hostile outside network dan internal network•
semakin tinggi “tingkatan” network, jumlah DMZ semakin banyak•
DMZ mengandung sistim yang dapat diakses oleh publik: webserver, mailserver, dsb•
terlindungi dari outside network oleh firewall, dimonitor olehIntrusion Detection System, dan dibatasi aksesnya oleh
authentification methods.
•
Tipe firewall:
•
Packet Filtering Routers/Firewalls•
membatasi source & destination address dari setiap network packet•
Proxy/Circuit Level Gateway Firewalls•
media dari user requests pada level koneksi dengan syarat user harus terkoneksi terlebih dahulu ke firewall•
firewall akan melanjutkan koneksi request tersebut ke destination address•
Application Proxy Firewalls•
pengembangan proxy/circuit level gateway pada level aplikasi•
Kontrol firewall:
•
Permitted services•
services yang boleh melintasi firewall harus dibatasi pada aplikasi yang benar-benar diijinkan•
Restricted communication flow•
komunikasi langsung harus dibatasi dan dikontrol oleh firewall•
Access control•
akses user dibatasi, darimana dan mau kemana•
Network Address Translation (NAT)•
NAT memungkinkan internal network address tersembunyi•
Control Messages•
memungkinkan firewall untuk tidak mereply scanning terhadap suatu protokol atau mengirimkan pesan seperti: “host unreachable”, “port unavailable”, “time exceeded”, dsb•
Commercial
•
Ascend, http://www.ascend.com/•
Cisco PIX, http://www.cisco.com/•
Firewall-1, http://www.checkpoint.com/•
Netscreen, http://www.netscreen.com/•
...dll•
Free/OpenSource
•
IP Filter, http://coombs.anu.edu.au/~avalon/•
IPFW, http://www.freebsd.org/doc/en/books/handbook/firewalls.html•
IP Tables, http://www.netfilter.org/•
Packet Filter (PF), http://www.benzedrine.cx/pf.html•
...dll•
Data, sistim, dan network harus terklasifikasi dalam
terminologi:
•
confidentiality•
intergrity•
availability•
critical to a organization•
Sebagai tindak-lanjut, organisasi harus
mendokumentasikan policies dan prosedur untuk
mengidentifikasi setiap klasifikasi data
•
authentification berarti mengidentifikasi object
seperti user, aplikasi, sistim, dsb
•
jika proses identifikasi berjalan lancar, object
tersebut dapat diijinkan melintasi network dan
kemudian dimonitor
•
metode authentification beragam, mulai dari sistim
berbasis password sampai biometric
•
merupakan bagian terpenting terlebih jika
confidentiality menjadi isu utama
•
umumnya, enkripsi hanya melindungi pada proses
transit
•
pada implementasi yang lebih secure, data yang
telah disimpan pada tujuan akhir juga dienkrip
•
IDS mencari tanda-tanda penggunaan dan akses
ilegal pada network
•
NIDS, Network IDS, memeriksa tipe dan konten
network packets
•
HIDS, Host-based IDS, memeriksa log sistim dan
aktifitas
•
Penggunaan akses ilegal dapat diketahui dengan
metode:
•
misuse detection, dengan mencari “signatures” yang sudah dikenali•
anomali detection, dengan mengamati perilaku yang tidak wajar oleh user atau aktifitas aplikasi•
Pertimbangan penggunaan NIDS
•
sebaiknya menggunakan 2 NIC untuk mengawasi traffic(passive sniffing) dan mengirimkan alert ke IDS management console
•
jika sensor yang disebar berjumlah banyak, penggunaan IDS Balancer dapat membantu mempercepat proses reporting•
Pertimbangan penggunaan HIDS
•
sebaiknya ditempatkan pada host yang dinilai berisiko tinggi; banyak diakses oleh user atau aktifitas aplikasi yang cukup tinggi•
dikonfigurasi agar dapat melakukan full auditing dan activity logging•
dialokasikan ekstra memory dan disk space•
memiliki sistim authentifikasi dan encryption yang baik•
Commercial
•
NFR HID, http://www.nfr.com/products/HID/•
NFR NID, http://www.nfr.com/products/NID/•
Entercept, http://www.clicknet.com/products/entercept/•
Snare, http://www.intersectalliance.com/projects/Snare/index.html•
Bro, http://www.icir.org/vern/bro-manual/entire.html•
Dragon IDS, http://www.enterasys.com/products/ids/•
...dll•
Free/OpenSource
•
Snort, http://www.snort.org/•
Prelude IDS, http://www.prelude-ids.org/•
Swatch, ftp://ftp.stanford.edu/general/security-tools/swatch•
Snips, http://www.navya.com/software/snips/•
...dll•
sebagai perlindungan terakhir dalam network
protection
•
melibatkan unsur operating system dan
applications
•
selalu up-to-date•
sinkronisasi waktu antar host yang satu dengan yang lain (memudahkan auditing)•
aktifasi logging & full auditing•
siap-siaga terhadap insiden
•
mendefinisikan tugas dan tanggung-jawab personil yang akan menangani insiden•
edukasi dan training•
skenario testing dan validasi data•
alerting
•
menentukan potensi source alerts•
laporan dan notifikasi
•
menentukan metode pelaporan dan logging alerts•
menentukan metode hubungan antar alerts•
investigasi awal
•
mengambil langkah awal investigasi•
memilah insiden yang terjadi berdasarkan faktor emergency•
memutuskan dan mengalokasikan sumber-daya
•
deklarasi emergency•
menentukan koordinator lapangan•
menentukan langkah hukum yang perlu diambil jika dibutuhkan•
respon
•
investigasi lebih dalam•
isolasi•
secara hukum•
komunikasi•
recovery
•
pembasmian rootkits, trojans atau malware kits lainnya yang tertinggal•
restorasi•
mengatasi kemungkinan terulangnya insiden•
bahasan yang harus dipelajari
•
dokumentasi•
proses update•
analisis dampak finansial•
kebutuhan staff•
anggaran dana•
kualitas dalam Information Security•
metode update operating system dan applications
•
dukungan update vendor atau developer•
kemudahan dalam mengupdate•
konfigurasi
•
hanya menjalankan services yang benar-benar perlu dan digunakan•
networking
•
posisi “mesin” dalam network•
policy yang diterapkan•
sistim monitoring dan tools tambahan
•
implementasi IDS•
security audit secara berkalaPrintable version:
http://corebsd.or.id/talks/network-defense-bcc-expo-03.pdf
