12/21/2012
STMIK AMIKOM Yogyakarta
Keamanan Komputer : IDS M.Didik R.Wahyudi, MT
Melwin Syafrizal, S.Kom., M.Eng.
Apa itu IDS? • Sistem untuk mendeteksi adanya “intrusion” yang dilakukan oleh “intruder” • Mirip seperti alarm/camera • Kejadian (intrusion) sudah terjadi • Bekerjasama dengan (komplemen dari) firewall untuk mengatasi intrusion
1
12/21/2012
Definisi • Intrusion – Suatu tundakan yang diarahkan untuk mengganggu kebijakan keamanan, seperti : • Integrity, confidentiality, atau availability, dari komputer dan jaringan
– Kegiatan bersifat anomaly, incorrect, inappropriate – Dapat terjadi di jaringan atau di host
• Intrusion detection – Suatu proses mengidentifikasi dan memberikan respon terhadap aktivitas intrusion
Apa yang sebaiknya dilakukan • Intrusion prevention – Temukan buffer overflow dan hentikan – Pergunakan firewall untuk melakukan filter malicious network traffic
• Intrusion detection adalah suatu kegiatan yang dilakukan setelah pencegahan yang dilakukan gagal – Deteksi serangan yang sedang berlangsung • Pola network traffic, akses yang mencurigakan,dll
– Temukan modifikasi sistem yang bersifat rahasia
2
12/21/2012
Apa yang harus dideteksi? • Penyusupan dan pembacaan data yang sukses • Serangan yang justru dilakukan “orang dalam” – Penyalahgunaan hak akses ROOT – Akses ilegal ke data atau suatu resource
• Trojan horses • Viruses dan worms • Denial of service attacks
Dimana IDS dibangun? • Host-based – Mengawasi aktivitas pada single host – Kelebihan : lebih bagus dalam mengamati pola aplikasi yang berjalan pada host (scanning)
• Network-based (NIDS) – Biasanya ditempatkan pada router atau firewall – Monitor traffic, menguji header paket data beserta isinya – Kelebihan : single NIDS dapat melindungi beberapa host dan dapat mengamati pola secara umum
3
12/21/2012
Intrusion Detection Techniques • Misuse detection – Menggunakan serangan yang sudah diketahui (memerlukan suatu model serangan) • Sequences of system calls, patterns of network traffic, etc.
– Harus mengetahui sejak awal apa dan bagaimana yang akan dilakukan attacker – Hanya dapat mendeteksi serangan serangan yang diketahui
Intrusion Detection Techniques • Anomaly detection – Mempergunakan pola sistem normal untuk mengetahui keanehan/ketidaknormalan yang terjadi • Menyalakan alarm, ketika sesuatu yang jarang/tidak pernah terjadi
– Potensial untuk mendeksi unknown attacks – Traffic / aktivitas yang tidak sesuai dgn policy: • akses dari/ke host yang terlarang • memiliki content terlarang (virus) • menjalankan program terlarang (web directory traversal: GET ../..; cmd.exe)
4
12/21/2012
Misuse vs. Anomaly Modifikasi file Password
Misuse
Percobaan Login gagal sebanyak 4 kali
Anomaly
Percobaan koneksi yang gagal pada 50 port
Anomaly
Pemakai yang mencoba menyusup pada jam2 tertentu atau dari IP address tertentu
Anomaly
UDP packet pada port 1434
Misuse
“DEBUG” dalam body SMTP
Not an attack! (most likely)
message
Host-Based IDS • Mempergunakan mekanisme auditing dan monitoring OS untuk menemukan aplikasi yang dijalankan attacker – Mengamati log sistem – Mengamati shell command dan sistem call yang dijalankan aplikasi user dan sistem program • Satu host satu IDS • Hanya menunjukkan yang terjadi di host yang diserang
5
12/21/2012
Level of Monitoring • Mana yang akan dimonitoring? – OS system calls – Command line – Network data (e.g., from routers and firewalls) – Processes – Keystrokes – File and device accesses
Rootkit • Rootkit adalah seperangkat software yang berguna untuk menyembunyikan jejak (proses, file, koneksi network) dan mengizinkan seseorang untuk tetap bisa mendapat akses ke sebuah sistem (backdoor). • Biasanya dipasang oleh hacker setelah si hacker berhasil memperoleh akses root/administrator pada server melalui salah satu vulnerability yang masih dimiliki oleh server (mis: lubang pada software lama atau versi kernel OS lama yang belum diupdaet). • Rootkit digolongkan dalam kategori malware. • Tool deteksi rootkit di Linux: – chkrootkit – rkhunter – Host based IDS
6
12/21/2012
Tripwire • Merupakan tool untuk memeriksa integritas sistem • Digunakan untuk memonitor perubahan yang terjadi pada sebuah sistem • Bekerja dengan membuat sebuah database infomasi semua file sistem dan menyimpannya pada suatu file • Setiap kali tripwire dijalankan untuk melakukan pengecekan file sistem, hasil pemeriksaan akan dibandingkan dengan database yang pernah dibuat • Tool yang cukup baik untuk mendeteksi rootkit
Nuke Nabber • Nuke Nabber didesain untuk "menangkap" sekaligus memberikan informasi tentang tamu tak diundang (hacker atau cracker) yang masuk ke komputer yang bertujuan untuk menyerang, mengacau atau mengambil data-data tanpa permisi. • IP address hacker atau cracker yang datang otomatis akan ditampilkan oleh Nuke Nabber
7
12/21/2012
Tampilan NukeNabber
Port yang dimasuki
IP address Penyusup
Status port yang dimonitor
Status Nuke Nabber
Penyusup terdeteksi • Ketika penyusup terdeteksi, Nuke Nabber akan memberi tahu kepada operator bahwa ada penyusup yang masuk dengan cara icon Nuke Nabber yang sudah diinstall akan berkedipkedip. Icon Nuke Nabber
8
12/21/2012
Penyusup terdeteksi • Jika komputer yang dipasang Nuke Nabber memiliki kartu suara (sound card) maka akan muncul suara sesuai dengan file suara yang dipasang
Penyusup terdeteksi • Ketika penyusup terdeteksi, maka port dimana penyusup terhubung akan disable (non aktif) selama 60 detik. • Pilihan Copy addres to Cliboard secara otomatis meng-copy IP address penyusup, dan Flash icon bermaksud icon Nuke Nabber di toolbar kanan bawah akan berkedip jika ada penyusup yang masuk.
9
12/21/2012
Blokir IP address • Nuke Nabber dapat memblokir IP address tertentu agar tidak dapat terhubung (diabaikan) dengan jalan memasukkan IP address yang dimaksud kedalam pilihan ignore pada pilihan option yang lain
Nukenabber untuk IRC relay • Nuke Nabber dapat berperan IRC Relay, dimana setiap komputer yang masuk kedalam IRC server dengan mempergunakan firewall komputer yang terinstall Nuke Nabber, maka identitas yang akan keluar bukan client melainkan identitas komputer yang berperan seperti firewall
10
12/21/2012
Nukenabber untuk IRC relay
Report Nukenabber
11
12/21/2012
PORTSENTRY • PortSentry merupakan bagian dari Abacus Poject sistem keamanan yang dapat diandalkan dan terjangkau (gratis) yang berbasis pada software pendeteksi gangguan komunitas internet • PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning
PORTSENTRY • Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet. • Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. • Jika ada mesin yang tertangkap basah melakukan port scan terhadap Server yang kita miliki, maka secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita. • Bagi mesin yang sial tersebut, maka jangan berharap untuk melakukan hubungan ke Server yang kita miliki
12
12/21/2012
Sekilas Portsentry • Programmer PortSentry (Craig H. Rowland/Psionic) sangat cermat dalam memberi komentar source code –nya, sehingga pemakai mengetahui bagaimana konsep script/program ini dibangun. • Hal ini menjadikan PortSentry melebihi dari fungsinya sebagai “benteng” namun juga dapat dipergunakan oleh setiap orang yang ingin belajar mengenai socket programing
Fitur Porsentry Berikut ini fitur portsentry • Berjalan di atas soket TCP & UDP untuk mendeteksi scan port • Mendeteksi stealth scan, seperti SYN/halfopen, FIN, NULL, X-MAS. • PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang. • Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
13
12/21/2012
Fitur Porsentry • PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir. • PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. • Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail.
Deteksi penyusup oleh portsentry • Ketika ada penyusup yang masuk dan PortSentry sudah dijalankan pada salah satu mode proteksi maka PortSentry akan memberikan reaksi sebagai berikut : – Sebuah log indikasi dari suatu kejadian akan dibuat melalui syslog(). – Host target secara otomatis akan tertulis dalam /etc/host.deny untuk TCP wrappers (proteksi TCP) – Lokal host secara otomatis dikonfigurasi ulang untuk mengabaikan paket-paket yang datang dari melalui komputer penyusup yang telah diblokir. – Lokal host secara otomatis dikonfigurasi ulang untuk mengabaikan paket-paket yang datang dari penyusup dengan paket filter lokal
14
12/21/2012
Aplikasi untuk HIDS • Portsentry (Linux) • Nuke Nabber (Windows) • SNORT (Linux dan Windows)
Kelebihan H-IDS • Kelebihannya host-based : o Menguji keberhasilan atau kegagalan serangan o Memonitor aktivitas sistem tertentu o Mendeteksi serangan yang lolos pada networkbased o Cocok untuk lingkungan encrypt dan switch o Deteksi dan respons secara near real-time o Tidak memerlukan tambahan perangkat keras • Contoh : portsentry
15
12/21/2012
Network-Based IDS • Mengawasi network traffic – Contoh : mempergunakan tcpdump untuk sniff paket pada router – Passive (unlike firewalls) – Default action: let traffic pass (unlike firewalls) • Mengamati penyalahgunaan protocol, koneksi yang tidak biasa dan serangan terhadap paket data • Tidak dapat mengamati traffic yang diencrypt • Tidak semua serangan datang dari jaringan
Snort NIDS • Open source IDS – – – –
host-based network-based packet sniffer implementasi di UNIX & Windows
• Beroperasi berdasarkan “rules” – Informasi lebih lengkap : http://www.snort.org
16
12/21/2012
Menangkap sesi FTP • Buat rule snort di dalam berkas “ftp.conf”, dengan isi: log tcp any any -> 192.168.1.0/24 21
• Perhatikan: rule header saja • Buat direktori bernama “coba”, kemudian jalankan perintah berikut: unix# snort –d –l coba –c ftp.conf
Lanjutan sesi FTP • Jalankan sesi FTP yang menuju ke sebuah host di jaringan 192.168.1.0 unix$ ftp 192.168.1.101 Connected to 192.168.1.101. 220 FTP server ready. Name: anonymous 331 Guest login ok, send your complete e-mail address as password. Password:
[email protected] ftp> quit
17
12/21/2012
Lanjutan … • Hentikan sesi snort dengan ^c (ctrl c), kemudian pindah ke direktori “coba” • Perhatikan bahwa ada direktori yang namanya merupakan nomor IP dari komputer yang menyerang (dalam hal ini yang melakukan FTP); misalnya 192.168.1.5 • Pindah ke direktori ini. Akan ditemukan sebuah berkas yang namanya kira-kira sebagai berikut: TCP:35724-21 • Kemudian amatilah isi berkas ini.
Mengamati sesi TELNET • Buat rule snort di dalam berkas telnet.conf, dengan isi: var HOME_NET [192.168.1.0/24] log tcp any any <> $HOME_NET 23 (session: printable;) [Baris kedua ini harus ditulis dalam satu baris panjang. Perhatikan sudah ada rule option] • Kemudian jalankan perintah berikut: snort –d –l coba –c telnet.conf
18
12/21/2012
Sesi TELNET [lanjutan] • Jalankan sesi telnet yang menuju ke sebuah host di jaringan 192.168.1.0 unix$ telnet 192.168.1.101 Trying 192.168.1.101... Connected to 192.168.1.101. Escape character is '^]'. Debian GNU/Linux 3.0 hurd hurd login: user01 Password: user01 Unix% ls Unix% exit
Sesi TELNET [lanjutan] • Tahap selanjutnya sama seperti pada bagian pengamatan Sesi FTP. • Berkas yang dihasilkan oleh program snort kira-kira bernama SESSION:35733-23 • Amatilah berkas ini. Anda akan dapatkan isi sesi telnet anda
19
12/21/2012
Rules yang lebih kompleks • Rules yang lebih kompleks dapat dilihat pada distribusi snort di direktori /etc/snort – Mendeteksi virus – Mendeteksi akses daerah (file) terlarang di web server – Paket yang memiliki isi aneh – Paket yang memiliki sifat aneh (flag tidak lazim) – Adanya portscanning – dan lain-lain
ACID • Analysis Console for Intrusion Databases (ACID) • Program yang dirancang untuk mengelolah data-data security event seperti; IDS, Firewall, dan Network Monitoring Tools • Data-data disimpan dalam database (MySQL)
20
12/21/2012
Manfaat ACID • Log-log yang tadinya susah dibaca menjadi mudah di baca • Data-data dapat dicari (search) dan difilter sesuai dengan kriteria tertentu • Managing Large Alert Databases (Deleting and Archiving) • Untuk kasus-kasus tertentu dapat merujukalert pada situs database security seperti Securityfocus, CVE, arachNIDS
Tampilan halaman muka ACID
21
12/21/2012
Daftar Jenis Attack
Tampilan Individual Attack
22
12/21/2012
Kelebihannya N-IDS • Kelebihannya network-based : – Biaya lebih rendah – Mampu menangani serangan yang tidak terdeteksi oleh host-based – Kesulitan bagi penyerang untuk menghapus jejak menggunakan data live netwok, sehingga mendeteksi serangan secara real-time – Deteksi dan respon secara real time – Deteksi serangan yang gagal dan kecenderungan serangan – Tidak tergantung pada sistem operasi.
• Contoh network-based : – snort
Hibrid IDS • Masih berupa wacana • Fitur yang diharapkan dari Hibrid IDS – Integrasi antara network-based IDS dan hostbased IDS – Manajemen konsol yang generik untuk semua produk – Integrasi basis data event – Integrasi sistem report – Kemampuan menghubungkan event dengan serangan – Integrasi dengan on-line help untuk respon insiden – Prosedur instalasi yang ringkas dan terintegrasi di seluruh produk yang ada
23
12/21/2012
Kelebihan IDS 1. Monitoring dan analisis sistem dan prolaku pengguna 2. Pengujian terhadap konfigurasi keamanan sistem 3. Memberikan acuan pelaksanaan keamanan sistem 4. Penanganan serangan terhadap pola yang sudah diketahui 5. Penanganan pola aktivitas yang tidak normal
Kelebihan IDS (2) 6. Manajemen audit SO dan mekanisme logging pada data 7. Memberikan peringatan kepada admin jika ada serangan 8. Mengukur kemampuan kebijakan keamanan yang terdapat pada mesin analisis IDS 9. Menyediakan informasi konfigurasi default pengamanan sistem 10. Memudahkan pengawasan pada sistem
24
12/21/2012
Keterbatasan IDS 1. Kurang cepat mengenali serangan pada segmen yang memiliki traffic yang besar dan load prosesor yang besar 2. Tidak dapat mengenali teknik baru yang belum terdapat basis data pada pola serangan yang dimiliki 3. Tidak dapat bekerja secara efektif pada jaringan yang mempergunkaan switch-hub
Respon IDS terhadap “serangan” • • • • • •
Rekonfigurasi firewall Membunyikan speaker Log Event, baik linux maupun windows Mengirim e-mail pada administrator Menyimpan bukti Menjalankan program tertentu program untuk menangani serangan • Menghentikan sesi TCP yang dipakai
25
12/21/2012
Letak IDS • Berhubungan langsung dengan firewall • Dipergunakan untuk mendeteksi paket-paket yang melalui firewall • Mendeteksi serangan-serangan terhadap firewall • Diletakkan di jaringan internal, dipergunkaan mendeteksi serangan yang berasal dari jaringan internal • IDS host-based diletakkan pada host yang diinginkan web server, database server
Mencegah Serangan 1. Desain sistem. Sistem yang baik tidak meninggalkan lubang keamanan yang memungkinkan terjadinya penyusupan •
Contoh : enkripsi caesar cipher
2. Aplikasi yang dipakai. Aplikasi yang dipakai sudah dijamin bebas dari backdoor. • •
Batas (bound) array yang dapat menyebabkan buffer overflow Kealpaan memfilter karakter aneh yang dimasukkan sebagai input
26
12/21/2012
Mencegah Serangan (2) 3. Manajemen. Dengan menerapkan Standard Operating Procedure dan Security Policy. 4. Manusia. Merupakan faktor utama masalah keamanan. “sebagian besar celah diperoleh melalui rekayasa sosial yang menunjukkan kelemahan pengguna” (kevin mitnick).
Strategi dan taktik keamanan komputer 1. 2. 3. 4. 5.
Keamanan fisik Kunci komputer Keamanan bios Keamanan boot loader Xlock dan vlock • •
Xlock : pengunci tampilan X pada linux Vlock : program kecil untuk mengunci beberapa atau seluruh konsol virtual
6. Mendeteksi ganguan keamanan fisik
27
12/21/2012
Pustaka • • • •
http://www.engagesecurity.com http://www.snort.org http://www.sans.org http://sourceforge.net
28
