stmik amikom yogyakarta keamanan komputer :...
TRANSCRIPT
12/21/2012
1
Keamanan Komputer : IDS
STMIK AMIKOM Yogyakarta
Apa itu IDS?
• Sistem untuk mendeteksi adanya
“intrusion” yang dilakukan oleh
“intruder”
• Mirip seperti alarm/camera
• Kejadian (intrusion) sudah terjadi
• Bekerjasama dengan (komplemen dari)
firewall untuk mengatasi intrusion
Melwin Syafrizal, S.Kom., M.Eng.M.Didik R.Wahyudi, MT
12/21/2012
2
Definisi
• Intrusion
– Suatu tundakan yang diarahkan untuk mengganggu
kebijakan keamanan, seperti :
• Integrity, confidentiality, atau availability, dari komputer dan
jaringan
– Kegiatan bersifat anomaly, incorrect, inappropriate
– Dapat terjadi di jaringan atau di host
• Intrusion detection
– Suatu proses mengidentifikasi dan memberikan
respon terhadap aktivitas intrusion
Apa yang sebaiknya dilakukan
• Intrusion prevention
– Temukan buffer overflow dan hentikan
– Pergunakan firewall untuk melakukan filter malicious
network traffic
• Intrusion detection adalah suatu kegiatan yang
dilakukan setelah pencegahan yang dilakukan
gagal
– Deteksi serangan yang sedang berlangsung
• Pola network traffic, akses yang mencurigakan,dll
– Temukan modifikasi sistem yang bersifat rahasia
12/21/2012
3
Apa yang harus dideteksi?
• Penyusupan dan pembacaan data yang sukses
• Serangan yang justru dilakukan “orang dalam”
– Penyalahgunaan hak akses ROOT
– Akses ilegal ke data atau suatu resource
• Trojan horses
• Viruses dan worms
• Denial of service attacks
Dimana IDS dibangun?
• Host-based
– Mengawasi aktivitas pada single host
– Kelebihan : lebih bagus dalam mengamati pola
aplikasi yang berjalan pada host (scanning)
• Network-based (NIDS)
– Biasanya ditempatkan pada router atau firewall
– Monitor traffic, menguji header paket data beserta
isinya
– Kelebihan : single NIDS dapat melindungi beberapa
host dan dapat mengamati pola secara umum
12/21/2012
4
Intrusion Detection Techniques
• Misuse detection
– Menggunakan serangan yang sudah
diketahui (memerlukan suatu model
serangan)
• Sequences of system calls, patterns of network
traffic, etc.
– Harus mengetahui sejak awal apa dan
bagaimana yang akan dilakukan attacker
– Hanya dapat mendeteksi serangan serangan
yang diketahui
Intrusion Detection Techniques
• Anomaly detection
– Mempergunakan pola sistem normal untuk
mengetahui keanehan/ketidaknormalan yang terjadi
• Menyalakan alarm, ketika sesuatu yang jarang/tidak pernah
terjadi
– Potensial untuk mendeksi unknown attacks
– Traffic / aktivitas yang tidak sesuai dgn policy:
• akses dari/ke host yang terlarang
• memiliki content terlarang (virus)
• menjalankan program terlarang (web directory traversal:
GET ../..;
cmd.exe)
12/21/2012
5
Misuse vs. Anomaly
Misuse
Percobaan Login gagal sebanyak 4 kali Anomaly
Percobaan koneksi yang gagal pada 50 port
Anomaly
Pemakai yang mencoba menyusup pada jam2 tertentu atau dari IP address tertentu
Anomaly
UDP packet pada port 1434 Misuse
“DEBUG” dalam body SMTP message
Not an attack! (most likely)
Modifikasi file Password
• Mempergunakan mekanisme auditing dan
monitoring OS untuk menemukan aplikasi yang
dijalankan attacker
– Mengamati log sistem
– Mengamati shell command dan sistem call
yang dijalankan aplikasi user dan sistem
program
• Satu host satu IDS
• Hanya menunjukkan yang terjadi di host yang
diserang
Host-Based IDS
12/21/2012
6
Level of Monitoring
• Mana yang akan dimonitoring?
– OS system calls
– Command line
– Network data (e.g., from routers and firewalls)
– Processes
– Keystrokes
– File and device accesses
Rootkit
• Rootkit adalah seperangkat software yang berguna untuk menyembunyikan jejak (proses, file, koneksi network) dan mengizinkan seseorang untuk tetap bisa mendapat akses ke sebuah sistem (backdoor).
• Biasanya dipasang oleh hacker setelah si hacker berhasil memperoleh akses root/administrator pada server melalui salah satu vulnerability yang masih dimiliki oleh server (mis: lubang pada software lama atau versi kernel OS lama yang belum diupdaet).
• Rootkit digolongkan dalam kategori malware.
• Tool deteksi rootkit di Linux:
– chkrootkit
– rkhunter
– Host based IDS
12/21/2012
7
Tripwire
• Merupakan tool untuk memeriksa integritas sistem
• Digunakan untuk memonitor perubahan yang terjadi
pada sebuah sistem
• Bekerja dengan membuat sebuah database infomasi
semua file sistem dan menyimpannya pada suatu file
• Setiap kali tripwire dijalankan untuk melakukan
pengecekan file sistem, hasil pemeriksaan akan
dibandingkan dengan database yang pernah dibuat
• Tool yang cukup baik untuk mendeteksi rootkit
Nuke Nabber
• Nuke Nabber didesain untuk "menangkap"
sekaligus memberikan informasi tentang
tamu tak diundang (hacker atau cracker)
yang masuk ke komputer yang bertujuan
untuk menyerang, mengacau atau
mengambil data-data tanpa permisi.
• IP address hacker atau cracker yang datang
otomatis akan ditampilkan oleh Nuke Nabber
12/21/2012
8
Tampilan NukeNabber
Port yang
dimasukiIP address
Penyusup
Status Nuke
NabberStatus port
yang dimonitor
Penyusup terdeteksi
• Ketika penyusup terdeteksi, Nuke
Nabber akan memberi tahu kepada
operator bahwa ada penyusup yang
masuk dengan cara icon Nuke Nabber
yang sudah diinstall akan berkedip-
kedip.
Icon Nuke Nabber
12/21/2012
9
Penyusup terdeteksi
• Jika komputer yang dipasang Nuke Nabber memiliki kartu suara (sound card) maka akan muncul suara sesuai dengan file suara yang dipasang
Penyusup terdeteksi
• Ketika penyusup terdeteksi, maka port dimana penyusup terhubung akan disable (non aktif) selama 60 detik.
• Pilihan Copy addres to Cliboard secara otomatis meng-copy IP addresspenyusup, dan Flash icon bermaksud icon Nuke Nabber di toolbar kanan bawah akan berkedip jika ada penyusup yang masuk.
12/21/2012
10
Blokir IP address
• Nuke Nabber dapat memblokir IP address tertentu agar tidak dapat terhubung (diabaikan) dengan jalan memasukkan IP address yang dimaksud kedalam pilihan ignore pada pilihan option yang lain
Nukenabber untuk IRC relay
• Nuke Nabber dapat berperan IRC
Relay, dimana setiap komputer yang
masuk kedalam IRC server dengan
mempergunakan firewall komputer yang
terinstall Nuke Nabber, maka identitas
yang akan keluar bukan client
melainkan identitas komputer yang
berperan seperti firewall
12/21/2012
11
Nukenabber untuk IRC relay
Report Nukenabber
12/21/2012
12
PORTSENTRY
• PortSentry merupakan bagian dari Abacus
Poject sistem keamanan yang dapat
diandalkan dan terjangkau (gratis) yang
berbasis pada software pendeteksi gangguan
komunitas internet
• PortSentry adalah sebuah perangkat lunak
yang di rancang untuk mendeteksi adanya
port scanning & meresponds secara aktif jika
ada port scanning
PORTSENTRY
• Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet.
• Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan.
• Jika ada mesin yang tertangkap basah melakukan port scan terhadap Server yang kita miliki, maka secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita.
• Bagi mesin yang sial tersebut, maka jangan berharap untuk melakukan hubungan ke Server yang kita miliki
12/21/2012
13
Sekilas Portsentry
• Programmer PortSentry (Craig H.
Rowland/Psionic) sangat cermat dalam
memberi komentar source code –nya,
sehingga pemakai mengetahui bagaimana
konsep script/program ini dibangun.
• Hal ini menjadikan PortSentry melebihi dari
fungsinya sebagai “benteng” namun juga
dapat dipergunakan oleh setiap orang yang
ingin belajar mengenai socket programing
Fitur Porsentry
Berikut ini fitur portsentry
• Berjalan di atas soket TCP & UDP untuk mendeteksi scan port
• Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
• PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang.
• Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
12/21/2012
14
Fitur Porsentry
• PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir.
• PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan.
• Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail.
Deteksi penyusup oleh portsentry
• Ketika ada penyusup yang masuk dan PortSentry sudah dijalankan pada salah satu mode proteksi maka PortSentry akan memberikan reaksi sebagai berikut :– Sebuah log indikasi dari suatu kejadian akan dibuat melalui
syslog().
– Host target secara otomatis akan tertulis dalam /etc/host.deny untuk TCP wrappers (proteksi TCP)
– Lokal host secara otomatis dikonfigurasi ulang untuk mengabaikan paket-paket yang datang dari melalui komputer penyusup yang telah diblokir.
– Lokal host secara otomatis dikonfigurasi ulang untuk mengabaikan paket-paket yang datang dari penyusup dengan paket filter lokal
12/21/2012
15
Aplikasi untuk HIDS
• Portsentry (Linux)
• Nuke Nabber (Windows)
• SNORT (Linux dan Windows)
Kelebihan H-IDS
• Kelebihannya host-based :
o Menguji keberhasilan atau kegagalan serangan
o Memonitor aktivitas sistem tertentu
o Mendeteksi serangan yang lolos pada network-
based
o Cocok untuk lingkungan encrypt dan switch
o Deteksi dan respons secara near real-time
o Tidak memerlukan tambahan perangkat keras
• Contoh : portsentry
12/21/2012
16
• Mengawasi network traffic
– Contoh : mempergunakan tcpdump untuk sniff paket
pada router
– Passive (unlike firewalls)
– Default action: let traffic pass (unlike firewalls)
• Mengamati penyalahgunaan protocol, koneksi yang tidak
biasa dan serangan terhadap paket data
• Tidak dapat mengamati traffic yang diencrypt
• Tidak semua serangan datang dari jaringan
Network-Based IDS
Snort NIDS
• Open source IDS
– host-based
– network-based
– packet sniffer
– implementasi di UNIX & Windows
• Beroperasi berdasarkan “rules”
– Informasi lebih lengkap : http://www.snort.org
12/21/2012
17
Menangkap sesi FTP
• Buat rule snort di dalam berkas “ftp.conf”, dengan isi:
log tcp any any -> 192.168.1.0/24
21
• Perhatikan: rule header saja
• Buat direktori bernama “coba”, kemudian jalankan perintah berikut:
unix# snort –d –l coba –c ftp.conf
Lanjutan sesi FTP
• Jalankan sesi FTP yang menuju ke sebuah host di jaringan 192.168.1.0
unix$ ftp 192.168.1.101
Connected to 192.168.1.101.
220 FTP server ready.
Name: anonymous
331 Guest login ok, send your complete e-mail
address as password.
Password: [email protected]
ftp> quit
12/21/2012
18
Lanjutan …
• Hentikan sesi snort dengan ^c (ctrl c), kemudian pindah ke direktori “coba”
• Perhatikan bahwa ada direktori yang namanya merupakan nomor IP dari komputer yang menyerang (dalam hal ini yang melakukan FTP); misalnya 192.168.1.5
• Pindah ke direktori ini. Akan ditemukan sebuah berkas yang namanya kira-kira sebagai berikut:
TCP:35724-21
• Kemudian amatilah isi berkas ini.
Mengamati sesi TELNET
• Buat rule snort di dalam berkas telnet.conf, dengan isi:
var HOME_NET [192.168.1.0/24]
log tcp any any <> $HOME_NET 23
(session: printable;)
[Baris kedua ini harus ditulis dalam satu baris
panjang. Perhatikan sudah ada rule option]
• Kemudian jalankan perintah berikut:
snort –d –l coba –c telnet.conf
12/21/2012
19
Sesi TELNET [lanjutan]
• Jalankan sesi telnet yang menuju ke sebuah host di jaringan 192.168.1.0
unix$ telnet 192.168.1.101
Trying 192.168.1.101...
Connected to 192.168.1.101.
Escape character is '^]'.
Debian GNU/Linux 3.0 hurd
hurd login: user01
Password: user01
Unix% ls
Unix% exit
Sesi TELNET [lanjutan]
• Tahap selanjutnya sama seperti pada
bagian pengamatan Sesi FTP.
• Berkas yang dihasilkan oleh program
snort kira-kira bernama
SESSION:35733-23
• Amatilah berkas ini. Anda akan
dapatkan isi sesi telnet anda
12/21/2012
20
Rules yang lebih kompleks
• Rules yang lebih kompleks dapat dilihat pada
distribusi snort di direktori /etc/snort
– Mendeteksi virus
– Mendeteksi akses daerah (file) terlarang di web
server
– Paket yang memiliki isi aneh
– Paket yang memiliki sifat aneh (flag tidak lazim)
– Adanya portscanning
– dan lain-lain
ACID
• Analysis Console for Intrusion
Databases (ACID)
• Program yang dirancang untuk
mengelolah data-data security event
seperti; IDS, Firewall, dan Network
Monitoring Tools
• Data-data disimpan dalam database
(MySQL)
12/21/2012
21
Manfaat ACID
• Log-log yang tadinya susah dibaca menjadi
mudah di baca
• Data-data dapat dicari (search) dan difilter
sesuai dengan kriteria tertentu
• Managing Large Alert Databases (Deleting
and Archiving)
• Untuk kasus-kasus tertentu dapat
merujukalert pada situs database security
seperti Securityfocus, CVE, arachNIDS
Tampilan halaman muka ACID
12/21/2012
22
Daftar Jenis Attack
Tampilan Individual Attack
12/21/2012
23
Kelebihannya N-IDS
• Kelebihannya network-based :– Biaya lebih rendah
– Mampu menangani serangan yang tidak terdeteksi oleh host-based
– Kesulitan bagi penyerang untuk menghapus jejak menggunakan data live netwok, sehingga mendeteksi serangan secara real-time
– Deteksi dan respon secara real time
– Deteksi serangan yang gagal dan kecenderungan serangan
– Tidak tergantung pada sistem operasi.
• Contoh network-based :– snort
Hibrid IDS
• Masih berupa wacana
• Fitur yang diharapkan dari Hibrid IDS– Integrasi antara network-based IDS dan host-
based IDS
– Manajemen konsol yang generik untuk semua produk
– Integrasi basis data event
– Integrasi sistem report
– Kemampuan menghubungkan event dengan serangan
– Integrasi dengan on-line help untuk respon insiden
– Prosedur instalasi yang ringkas dan terintegrasi di seluruh produk yang ada
12/21/2012
24
Kelebihan IDS
1. Monitoring dan analisis sistem dan prolaku pengguna
2. Pengujian terhadap konfigurasi keamanan sistem
3. Memberikan acuan pelaksanaan keamanan sistem
4. Penanganan serangan terhadap pola yang sudah diketahui
5. Penanganan pola aktivitas yang tidak normal
Kelebihan IDS (2)
6. Manajemen audit SO dan mekanisme logging pada data
7. Memberikan peringatan kepada admin jika ada serangan
8. Mengukur kemampuan kebijakan keamanan yang terdapat pada mesin analisis IDS
9. Menyediakan informasi konfigurasi default pengamanan sistem
10. Memudahkan pengawasan pada sistem
12/21/2012
25
Keterbatasan IDS
1. Kurang cepat mengenali serangan pada
segmen yang memiliki traffic yang besar
dan load prosesor yang besar
2. Tidak dapat mengenali teknik baru yang
belum terdapat basis data pada pola
serangan yang dimiliki
3. Tidak dapat bekerja secara efektif pada
jaringan yang mempergunkaan switch-hub
Respon IDS terhadap “serangan”
• Rekonfigurasi firewall
• Membunyikan speaker
• Log Event, baik linux maupun windows
• Mengirim e-mail pada administrator
• Menyimpan bukti
• Menjalankan program tertentu program untuk menangani serangan
• Menghentikan sesi TCP yang dipakai
12/21/2012
26
Letak IDS
• Berhubungan langsung dengan firewall
• Dipergunakan untuk mendeteksi paket-paket yang melalui firewall
• Mendeteksi serangan-serangan terhadap firewall
• Diletakkan di jaringan internal, dipergunkaan mendeteksi serangan yang berasal dari jaringan internal
• IDS host-based diletakkan pada host yang diinginkan web server, database server
Mencegah Serangan
1. Desain sistem. Sistem yang baik tidak
meninggalkan lubang keamanan yang
memungkinkan terjadinya penyusupan
• Contoh : enkripsi caesar cipher
2. Aplikasi yang dipakai. Aplikasi yang dipakai
sudah dijamin bebas dari backdoor.
• Batas (bound) array yang dapat menyebabkan
buffer overflow
• Kealpaan memfilter karakter aneh yang
dimasukkan sebagai input
12/21/2012
27
Mencegah Serangan (2)
3. Manajemen. Dengan menerapkan
Standard Operating Procedure dan
Security Policy.
4. Manusia. Merupakan faktor utama
masalah keamanan. “sebagian besar
celah diperoleh melalui rekayasa
sosial yang menunjukkan kelemahan
pengguna” (kevin mitnick).
Strategi dan taktik
keamanan komputer
1. Keamanan fisik
2. Kunci komputer
3. Keamanan bios
4. Keamanan boot loader
5. Xlock dan vlock
• Xlock : pengunci tampilan X pada linux
• Vlock : program kecil untuk mengunci beberapa atau seluruh konsol virtual
6. Mendeteksi ganguan keamanan fisik
12/21/2012
28
Pustaka
• http://www.engagesecurity.com
• http://www.snort.org
• http://www.sans.org
• http://sourceforge.net