Bab III Implementasi Ossim

Transkripsi

1 Bab III Implementasi Ossim 3.1 Implementasi OSSIM dalam Jaringan Dahulu, berdasarkan tingkat keamanannya, jaringan komputer dibagi menjadi dua buah kategori, yaitu area aman dan area tidak aman. Bagi beberapa kalangan, hal tersebut juga diartikan sebagai jaringan komputer yang berada di dalam firewall atau router gateway dan jaringan di luar router gateway. Akan tetapi seiring dengan berjalannya waktu, jaringan dalam sebuah organisasi dibagi menjadi beberapa area keamanan yang berbeda-beda dan setiap area keamanan tersebut memiliki tingkat kebijakan keamanan dan tingkat kepercayaan yang berbeda-beda. Dengan adanya tingkat-tingkat kepercayaan dan kebijakan keamanan yang berbeda-beda tersebut, seorang administrator jaringan harus memiliki kebijakan dan aturan yang berbeda pula jika dideteksi adanya intruder pada jaringan area yang berbeda. Segmen jaringan dengan perbedaan tingkat keamanan dan kepercayaan biasanya secara fisik terpisah satu sama lainnya, sehingga seorang administrator jaringan dapat memasang sistem sensor di setiap segmen dengan mengimplementasi aturan yang berbeda-beda jika mendeteksi adanya intruder. Dalam Tugas Akhir ini Ossim akan diimplementasikan dalam jaringan dengan tingkat keamanan dan tingkat kepercayaan yang rendah dalam suatu organisasi. Karena dalam penelitian Tugas Akhir ini Ossim dibatasi hanya untuk mencegah penyebaran suatu malware dalam jaringan komputer. Implementasi sensor dalam jaringan adalah sebagai berikut. 17

2 Berdasarkan topologinya, Ossim terbagi menjadi 3 bagian, yaitu : Sensors Servers Console Database merupakan bagian terpisah dari ketiga bagian di atas dan dapat dikatakan juga sebagai bagian ke-empat Sensor Sensor merupakan ujung tombak dari Ossim. Sensor berfungsi untuk mengumpulkan informasi-informasi yang nantinya akan dikirim dan diproses oleh server Ossim. Sensor dapat berjumlah lebih dari satu untuk tiap server. Sehingga sensor dapat di-install pada beberapa segmen jaringan komputer yang berbeda-beda. Sensor menggabungkan beberapa software yang sangat powerful dalam rangka menyediakan kemampuan untuk: Intrution Detection System Tool yang terintegrasi pada Ossim adalah software Snort yang dapat menerima dan memproses alerts dari software-software IDS yang lain. Anomaly Detection Tool yang terintegrasi pada Ossim adalah software Ntop yang menyediakan data cukup detail. Terdapat 3 tipe dari anomali yang dapat dideteksi: o Koneksi yang mencurigakan pada port asal atau pada port tujuan o Penggunaan bandwith jaringan yang menyimpang dari batas threshold o Penyimpangan penggunaan bandwith berdasarkan algoritma prakiraan holtwinters Keanomalian yang terdeteksi tersebut dapat dikorelasikan untuk mengidentifikasi penggunaan atau kelakuan penyalahan sumber daya jaringan. Sebagai contoh, terdapat worm yang mengirimkan lebih dari 300% trafik, 400% koneksi dan banyak membangun koneksi yang abnormal ke suatu host dan port-port tertentu. 18

3 Real Time Monitoring Sensor juga dapat melaksanakan fungsi lainnya seperti traffic consolidation pada suatu segmen dan event normalization. Sensor juga berhubungan dan menerima perintah dari server melalui protokol tertentu Server Server pada Ossim memiliki kemampuan berikut ini: Correlation Prioritization Online inventory Risk assessment Normalization Console Interface pada console disusun berdasarkan hirarki di bawah ini: Control Panel Risk and usage monitors Forensic console The Configuration Framework Databases Ossim menggunakan open interface yang memberikan kemampuan untuk berkomunikasi dengan beberapa database SQL. Database tersebut dapat menggunakan Postgress atau Mysql. 19

4 3.2 Penanganan Terhadap Serangan Malware dengan OSSIM Dalam mendeteksi adanya serangan malware ke dalam jaringan dengan menggunakan Ossim, berikut ini adalah langkah-langkahnya: Instalasi dan Konfigurasi Ossim dalam Jaringan Server Ossim berjalan dalam Operating System Linux Debian dan Fedora Core. Hal ini dikarenakan Debian dan Fedora Core juga berbasis Open Source dan masih menggunakan bahasa yang sederhana. Untuk petunjuk instalasi dan konfigurasi Ossim dapat dilihat pada lampiran Audit Jaringan Organisasi Dalam Ossim, seorang administrator jaringan dapat menganalisa pada menu Control Panel bagian Vulnerabilities. Ossim menggunakan program Nessus pada plugin tersebut. Nessus merupakan suatu program komputer yang didesain untuk melakukan tes dan menemukan masalah-masalah keamanan jaringan komputer yang telah diketahui sebelumnya secara otomatis. Di era dimana internet telah berkembang sangat pesat, seseorang dapat menemukan suatu cara untuk mengalahkan keamanan jaringan atau keamanan suatu komputer sehingga dapat menimbulkan banyak masalah. Seperti dicurinya informasi-informasi penting seperti rekening bank, password, informasi rahasia milik pengguna atau milik organisasi. Nessus didesain untuk membantu mengidentifikasi dan menyelesaikan masalah-masalah seperti ini. Pekerjaan nessus dimulai dengan melakukan scanning port-port untuk menentukan port mana saja yang terbuka dan port mana saja yang rentan dengan serangan hacker atau malware. 20

5 Beberapa fungsi yang dimiliki oleh nessus Intelligent scanning Nessus selalu akan melakukan test keamanan pada fixed port. Maksudnya jika suatu web server dijalankan pada port, misal 1234, Nessus akan mendeteksinya dan melakukan test keamanan pada pada port tersebut. Nessus tidak hanya mengetahui berapa banyak remote service tetapi juga mengetahui kemungkinan berapa banyak usaha untuk mengeksploitasi kerentanan kamanan tersebut. Modular Architecture Arsitektur dengan client / server yang dimiliki oleh nessus mempermudah fleksibilitas seorang administrator jaringan untuk memasang scanner (server) dan GUI (klien) dalam beberapa konfigurasi yang berbeda untuk meminimalkan biaya manejemen (satu server dapat digunakan oleh banyak klien). Test Multiple Host Simultaneously Tergantung dari konfigurasi pada sistem scanner nessus, seorang administrator jaringan dapat melakukan test keamanan dengan host dalam jumlah banyak dalam satu waktu Smart Service Recognition Nessus tidak percaya bahwa target host akan mengikuti port well-known berdasarkan IANA. Maksudnya, nessus akan mengetahui jika ada suatu FTP server berjalan pada port non-standar atau suatu web berjalan pada port Multiple Service Jika dalam suatu host menjalankan 2 web server, satu pada port 80 dan yang lain pada port Maka nessus akan melakukan tes keamanan pada kedua port tersebut. Test Cooperation Test kerentanan keamanan dapat dilakukan secara koperativ sehingga pengecekan yang tidak perlu tidak dilakukan. Tes kerentanan keamanan komputer ditulis dalam bentuk Nessus Attack Scripting Language (NASL), bahasa komputer yang didesain untuk dapat menuliskan skrip tes keamanan dengan mudah dan cepat. 21

6 Nessus dibangun dari server yang dapat melakukan audit keamanan komputer dan klien yang terhubung ke server tersebut dapat mengontrol server tersebut. Nessus juga dapat menentukan jenis operating system yang akan di-scan. Hasil dari scan dikumpulkan dalam bentuk berbagai format seperti menggunakan file teks, XML, HTML, ASCII, LATEX dan lainnya. Hasil laporan tersebut tidak hanya berisi macam-macam kerentanan keamanan yang terdapat pada jaringan dan tingkattingkat resiko (dari yang paling rendah sampai paling tinggi), tetapi juga memberitahu bagaimana menanggulanginya dari kemungkinan eksploitasi oleh hacker Plugin Intrusion Detection pada Ossim Intrusion detection merupakan metode yang tergolong cukup hijau dalam mendeteksi serangan hacker yang mencoba memasuki jaringan komputer internal. Dengan metode tersebut, administrator jaringan dapat mengumpulkan informasi mengenai berbagai tipe serangan, serta menggunakan informasi yang telah diketahui sebelumnya untuk mendeteksi hacker yang mencoba menyusup ke dalam jaringan internal Network Intrusion Detection System Snort merupakan salah satu software Network Intrusion Detection System (NIDS) yang bersifat Open Source dan dapat diperoleh secara bebas tanpa memerlukan biaya. NIDS merupakan tipe Intrusion Detection System (IDS) yang berfungsi untuk memeriksa data-data yang melewati jaringan untuk mencegah masuknya hal-hal yang tidak diinginkan ke dalam jaringan internal. Intrusion detection merupakan kumpulan dari teknik dan metode yang digunakan untuk mendeteksi aktivitas yang mencurigakan pada tingkat jaringan maupun tingkat komputer personal. Sistem intrusion detection dibagi menjadi dua katagori mendasar: Signature-based dan anomaly-based. Intruder memiliki signatures, termasuk malware, yang dapat dideteksi dengan menggunakan software, salah satunya Snort. Administrator 22

7 jaringan dapat memeriksa data yang terdapat dalam paket, apakah mengandung intrusionrelated signature yang telah diketahui sebelumnya atau tidak, juga termasuk anomali yang berhubungan dengan protokol internet. Berdasarkan pada signatures dan rules, sistem deteksi Snort dapat menemukan dan mencatat aktivitas yang mencurigakan dan kemudian menjalankan sistem alarm yang telah terintegrasi. Sedangkan Anomaly-based intrusion detection biasanya bergantung pada keanomalian paket yang terletak pada bagian header dari protokol. Dalam beberapa kasus, metode berdasarkan adnomali tersebut dapat menghasilkan hasil yang lebih baik dibandingkan dengan signature-based. Biasanya, IDS mengambil data dari jaringan kemudian mengaplikasikan rule ke paket kemudian mendeteksi apakah ada anomali dalam paket tersebut. Snort merupakan pelopor penggunaan rule-based IDS. Snort menggunakan rules yang disimpan dalam file teks yang dapat dimodifikasi dengan editor teks. Rules terbagi-bagi dalam beberapa kategori yang tersimpan dalam file-file yang berbeda-beda. File-file tersebut merupakan bagian dari file konfigurasi Snort, yang secara default disimpan dengan nama file konfigurasi snort.conf. Snort membaca rules tersebut pada waktu start-up kemudian membangun struktur data internal untuk mengaplikasikan rules tersebut pada paket yang melewati sensor Snort. Penggunaan signatures dan memodifikasikannya dalam rules memerlukan keahlian tersendiri. Karena penggunaan banyak rules bagai pisau bermata dua. Semakin banyak rules yang digunakan, semakin banyak aktivitas yang mencurigakan dapat dideteksi, akan tetapi dengan banyak rules yang digunakan, semakin banyak pula sumber daya yang digunakan untuk memproses data yang diperoleh secara real-time. Sangat penting untuk mengimplementasi sebanyak mungkin signature dalam rules yang sesedikit mungkin. Snort dilengkapi dengan banyak pre-defined rules untuk mendeteksi aktivitas penyusupan dan administrator dapat menambahkan dan menghapus rules sesuai dengan keinginan administrator sendiri untuk mengurangi adanya false alarm. 23

8 Beberapa Definisi Sebelum melangkah lebih jauh, berikut ini akan dijelaskan beberapa definisi yang kerap kali diulang dalam makalah ini. IDS Intrusion Detection System atau IDS merupakan software, hardware atau kombinasi dari keduanya yang berfungsi untuk mendeteksi aktivitas intruder [6]. Snort merupakan IDS yang berupa Open Source dan tersedia untuk umum. Tiap-tiap IDS memiliki kemampuan yang berbeda-beda tergantung dari seberapa kompleks dari komponen-komponen yang digunakan. Signatures Signature merupakan pattern yang diperiksa di dalam sebuah paket data. Signature digunakan untuk mendeteksi satu atau lebih tipe-tipe serangan. Sebagai contoh, adanya skrip skrip/iisadmin dalam paket yang menuju ke server web, mengindikasikan adanya aktivitas penyusup yang ingin menge-hack server web dalam jaringan internal. Signature bisa saja terletak di bagian yang berbeda-beda dari paket data, tergantung dari tipe serangannya. Sebagai contoh, administrator dapat menemukan signature dalam header IP, Transport layer header (TCP/UDP) dan Application layer header atau payload. Biasanya, IDS bergantung pada signature untuk memperoleh informasi tentang adanya aktivitas penyusup. Beberapa vendor-spesific IDS memerlukan updates dari vendor untuk menambah signature ketika tipe serangan baru ditemukan. Di IDS lainnya, seperti Snort, Administrator dapat menambah signature sendiri. Alerts Alert merupakan beberapa pemberitahuan kepada user jika ada aktivitas penyusupan, termasuk apabila malware masuk ke dalam jaringan internal. Ketika IDS mendeteksi adanya penyusup, IDS harus menginformasikan hal tersebut kepada Administrator melalui mekanisme alert. Alert dapat berupa pop-up windows, logging ke konsol, mengirimkan dan lainnya. Alert juga disimpan dalam file log atau database dimana mereka dapat diakses oleh Administrator jika diperlukan. 24

9 Log Pesan log biasanya disimpan dalam sebuah file. Secara default, Snort menyimpan pesanpesan log dalam direktori /var/log/snort. Pesan dalam log dapat dilihat dalam format teks atau biner. File dengan format biner dapat dilihat melalui program snort atau tcpdump. Logging dalam format biner lebih cepat karena menghemat sumber daya untuk mengubah format dari file biner ke teks. False Alarms False alarms merupakan alert yang dihasilkan oleh IDS ketika terindikasi adanya penyusupan, akan tetapi pada kenyataanya tidak ada aktivitas penyusupan. Sebagai contoh, adanya miskonfigurasi host internal yang mem-broadcast pesan sehingga memicu rule untuk membangkitkan alert yang salah. Sensor Merupakan mesin komputer atau devais lain dimana IDS berjalan. Letak sensor yang ideal adalah tepat di belakang firewall atau router gateway jaringan Host Intrusion Detection System HIDS berfungsi untuk melakukan kegiatan monitor file, file system, log atau bagian lain dari sistem komputer yang dapat diperoleh data-data tentang adanya aktivitas yang mencurigakan sebagai indikasi adanya intrusion pada komputer tersebut. Seorang administrator jaringan mendapat peringatan jika terjadi suatu anomali atau masalah pada komputer yang dimonitor. Monitoring Incoming Connections Proses monitoring pada tiap paket yang mengakses komputer klien, dilakukan pada layer data link tepat sebelum layer networking. Mekanisme tersebut bertujuan untuk 25

10 melindungi komputer klien dengan cara mengintersep paket yang datang pada komputer klien sebelum paket tersebut melakukan sesuatu yang berbahaya. HIDS dapat melakukan aksi-aksi seperti berikut: Deteksi koneksi yang masuk melalui port TCP atau UDP melalui cara ilegal, seperti adanya koneksi yang berusaha masuk melalui port yang tidak diaktifkan layanannya. Deteksi adanya aktivitas portscans. Monitoring Login Activity Walaupun seorang administrator jaringan telah mengimplementasikan IDS untuk menjaga jaringan dari serangan, kadang-kadang masih saja ada penyusup yang berhasil menembus tingkat keamanan dan masuk ke dalam sistem komputer klien dengan cara yang sama sekali baru. Ada kemungkinan penyusup tersebut telah mendapatkan password dengan cara tertentu dan sehingga memiliki kemampuan untuk masuk ke dalam sistem dari jarak jauh (remote). HIDS akan memonitor aktivitas log-in dan log-out serta mengirimkan peringatan kepada administrator jaringan mengenai adanya aktivitas yang aneh. Monitoring Root Activity Tujuan utama dari penyusup adalah untuk memperoleh akses super-user (root) atau administrator dalam sistem komputer korban. Dengan HIDS, semua aktivitas yang dilakukan oleh root atau administrator sistem dapat dimonitor dan semuanya disimpan dalam log. Aktivitas-aktivitas yang tidak biasa atau aneh dapat dilihat dalam log tersebut. 26

11 Monitoring File System Ketika penyusup telah berhasil masuk ke dalam komputer korban, mereka akan mengubah beberapa file pada sistem komputer. Misal, seorang penyusup kemungkinan besar akan menginstal packet sniffer atau portscan detector, atau mengubah system file untuk menghentikan sistem IDS. Menginstal software dalam sistem akan mengubah dan memodifikasi beberapa bagian dalam sistem tersebut. Modifikasi tersebut akan mengubah beberapa file atau libraries pada sisem. Berikut ini beberapa cara pendekatan dalam memonitor file system: Mengaplikasikan teknik kriptografi checksum seperti MD5 untuk semua system file dan menyimpan checksum-nya dalam satu database. Ketika file berubah, maka cheksum juga akan berubah. Menyimpan semua tanggal dan waktu setiap aktivitas modifikasi system file. Menyimpan catatan dari setiap program suid pada sistem. Jika ada perubahan maka pada komputer tersebut ada masalah Monitoring Jaringan Organisasi Seperti yang telah dibahas sebelumnya, teknik intrusion detection dapat dikategorikan menjadi signature detection dan anomaly detection [7]. Sistem deteksi berdasarkan signature menggunakan pola serangan yang telah diketahui sebelumnya dalam rangka mengidentifikasi adanya serangan malware. Sistem tersebut melakukan pencarian kecocokan pola-pola tertentu pada trafik jaringan yang diambil dengan signature-signature serangan malware yang telah diketahui sebelumnya. Jika ditemukan kecocokan maka sistem akan membangkitkan alarm. Salah satu contoh 27

12 dari sistem tersebut adalah program Snort yang telah dibahas di atas. Kelebihan utama dari sistem berdasarkan pola signature adalah sistem tersebut dapat mendeteksi malware yang telah diketahui sebelumnya dengan akurat dan efisien. Akan tetapi kekurangannya, sistem ini tidak punya kemampuan untuk mendeteksi serangan yang baru ditemukan. Sistem deteksi berdasarkan anomali mengamati aktivitas trafik jaringan yang menyimpang secara signifikan dari penggunaan trafik normal. Sistem ini menganggap sesuatu yang tidak normal -sebagaimana mustinya- sebagai anomali. Konstruksi dari sistem deteksi ini dimulai dengan membangun model kondisi normal dari jaringan yang diamati yang kemudian dilanjutkan dengan menentukan berapa persentase penyimpangan aktivitas untuk ditetapkan sebagai kondisi abnormal. Kelebihan dari sistem deteksi berdasarkan anomali adalah tidak diperlukannya pengetahuan mendalam mengenai malware dan dapat mendeteksi serangan malware yang baru. Kekurangannya adalah tidak diketahuinya tipe serangan seperti apa yang menyerang jaringan dan tingginya tingkat false positive. Ada beberapa malware yang dapat memerintahkan komputer korban untuk membangkitkan banyak trafik tidak penting untuk dikirimkan kepada satu host korban sehingga membuat komputer atau jaringan korban down untuk sementara. Kejadian tersebut disebut juga serangan Denial of Service (DOS). Beberapa serangan serupa dengan diatas memiliki tanda-tanda seperti berikut: Paket dikirim dari suatu alamat IP yang tidak benar menuju alamat IP yang invalid (seperti alamat broadcast atau alamat jaringan) dalam tujuannya untuk membuat penuh trafik jaringan (seperti serangan smurf). Badai paket (seperti SYN flood) yang semuanya berasal dan ditujukan pada host atau jaringan yang sama. Penutupan dari sebuah sesi TCP ( forged TCP RST packet) dengan mengeksploitasi kelemahan dari protokol TCP/IP Banjirnya paket yang berasal dari beberapa sumber dan ditujukan kepada korban yang sama. 28

13 Pada Ossim, seorang administrator jaringan dapat mengamati sessions yang aktif dari tiap-tiap host dalam jaringan pada menu Monitors bagian Sessions sebagaimana terlihat pada gambar dibawah ini. Gambar 3. 1 Plugin Ntop Session Sedangkan untuk mengamati keadaan jaringan, seorang administrator jaringan dapat mengamatinya melalui menu Monitors bagian Network seperti pada gambar di bawah ini. 29

14 Gambar 3. 2 Plugin Ntop Traffik Kedua fungsi di atas, Ossim menggunakan tools Ntop sebagai agennya. Ntop Ntop merupakan software monitoring dan pengukuran trafik jaringan yang sederhana, free dan portable. Hampir sama seperti halnya tool Unix top yang melaporkan kinerja proses-proses CPU, Network top atau biasa disingkat menjadi Ntop mengidentifikasi host yang menggunakan sumber daya jaringan. Versi dari Ntop sampai saat ini memiliki fitur dengan interface command line dan web-based serta dapat digunakan pada platform UNIX dan Win32. Ntop fokus pada : Traffic Measurement Traffic measurement merupakan fungsi pengukuran penggunaan segala sesuatu yang berhubungan dengan aktivitas trafik jaringan. Ntop mencatat penggunaan 30

15 jaringan, membuat statistik untuk setiap host dalam subnet lokal dan subnet secara keseluruhan. Semua informasi tersebut dikumpulkan pada host yang menjalankan program ntop. Berikut ini tabel yang menunjukkan informasi yang dikumpulkan oleh ntop untuk setiap host yang terhubung dalam jaringan. Tabel 3. 1 Informasi Host Spesifik Data sent/received Bandwith IP multicast Log sesi TCP Trafik UDP Servis TCP/UDP Distribusi Trafik Distribusi Trafik IP Trafik total (volume dan paket) yang dikirim dan diterima oleh host. Diklasifikasikan berdasarkan Network protokol dan IP protokol Penggunaan bandwith secara aktual, rata-rata dan peak Jumlah total trafik multicast yang dikirim atau diterima oleh host Sesi TCP aktif pada host Jumlah total trafik UDP Daftar catatan servis IP-based yang disediakan oleh host dan 5 host terakhir yang menggunakannya Trafik lokal, trafik lokal ke remote, trafik remote ke lokal Perbandingan trafik UDP dengan TCP Ntop juga mengumpulkan statistik trafik global, termasuk: Tabel 3. 2 Statistik Trafik Global Distribusi Trafik Distribusi Paket Bandwith Utilisasi dan Distribusi Protookol Matriks Trafik Subnet Flow Network Trafik lokal, trafik lokal ke remote, trafik remote ke lokal Jumlah total paket yang disusun berdasarkan ukuran paket Penggunaan bandwith secara aktual, rata-rata dan peak Distribusi trafik yang diamati berdasarkan protokol dan sumber/tujuan Trafik yang dimonitor antara pasangan host dalam subnet Statistik trafik untuk user-defined Selain informasi yang disediakan diatas, versi yang terdapat pada Ossim memperbolehkan adanya instalasi plugin untuk menyediakan statistik yang lebih mendetail tentang beberapa protokol yang tidak disediakan oleh versi standar. Traffic Monitoring 31

16 Traffic monitoring merupakan kemampuan untuk mengidentifikasi keadaan dimana trafik jaringan tidak mengikuti kebijakan organisasi atau ketika jaringan melebihi batas threshold yang telah ditetapkan sebelumnya. Umumnya, seorang administrator jaringan menentukan kebijakan yang diterapkan pada suatu segmen organisasi dalam rangka mengatur jaringan. Walaupun begitu, tidak menutup kemungkinan adanya salah satu atau beberapa pengguna komputer yang tidak mengindahkan kebijakan yang berlaku. Ntop menyediakan informasi untuk mendeteksi beberapa masalah pada konfigurasi jaringan, termasuk: Penggunaan alamat IP yang sama Identifikasi host lokal yang menggunakan promiscuous mode Miskonfigurasi aplikasi software dengan menganalisa data trafik protokol Deteksi penyalahgunaan servis Penyalahgunaan protokol Identifikasi router subnet Utilisasi bandwith jaringan yang berlebihan Network Optimization and Planning Konfigurasi host yang kurang optimal dapat berpengaruh negatif performa jaringan secara keseluruhan. Ntop membantu administrator jaringan untuk mengidentifikasi host yang menggunakan bandwith dengan tidak bijaksana, penggunaan protokol yang tidak penting dan masalah routing yang tidak optimal. Secara tidak langsung, melalui data-data karakter dan distribusi trafik jaringan, seorang administrator jaringan dapat merevisi kebijakan yang berlaku agar penggunaan bandwith lebih bijaksana. Detection of Network Security Violations Dalam jaringan, sebagian besar serangan keamanan jaringan datang dari dalam jaringan itu sendiri. Untuk alasan seperti ini, ntop menyediakan informasin untuk melakukan tracking serangan keluar dan identifikasi celah keamanan termasuk IP 32

17 spoofing, network card in promiscuous mode, denial of service, trojan horses dan portscan attacks. Ketika terjadi serangan terhadap keamanan atau miskonfigurasi jaringan teridentifikasi, ntop memiliki fasilitas untuk membangkitkan alarm ke administrator jaringan (via , SNMP atau Short Messaging Systems) dan melakukan suatu tindakan tertentu dalam rangka melawan serangan. Ntop juga dapat menyimpan informasi trafik dalam database, informasi tadi dapat digunakan untuk menganalisa serangan dan mencegah terjadinya serangan serupa di kemudian hari. 33