STMIK AMIKOM Yogyakarta. Keamanan Komputer : IDS

Transkripsi

1 STMIK AMIKOM Yogyakarta Keamanan Komputer : IDS M.Didik R.Wahyudi, MT Melwin Syafrizal, S.Kom., M.Eng. Apa itu IDS? Sistem untuk mendeteksi adanya intrusion yang dilakukan oleh intruder Mirip seperti alarm/camera Kejadian (intrusion) sudah terjadi Bekerjasama dengan (komplemen dari) firewall untuk mengatasi intrusion 1

2 Definisi Intrusion Suatu tundakan yang diarahkan untuk mengganggu kebijakan keamanan, seperti : Integrity, confidentiality, atau availability, dari komputer dan jaringan Kegiatan bersifat anomaly, incorrect, inappropriate Dapat terjadi di jaringan atau di host Intrusion detection Suatu proses mengidentifikasi dan memberikan respon terhadap aktivitas intrusion Apa yang sebaiknya dilakukan Intrusion prevention Temukan buffer overflow dan hentikan Pergunakan firewall untuk melakukan filter malicious network traffic Intrusion detection adalah suatu kegiatan yang dilakukan setelah pencegahan yang dilakukan gagal Deteksi serangan yang sedang berlangsung Pola network traffic, akses yang mencurigakan,dll Temukan modifikasi sistem yang bersifat rahasia 2

3 Apa yang harus dideteksi? Penyusupan dan pembacaan data yang sukses Serangan yang justru dilakukan orang dalam Penyalahgunaan hak akses ROOT Akses ilegal ke data atau suatu resource Trojan horses Viruses dan worms Denial of service attacks Dimana IDS dibangun? Host-based Mengawasi aktivitas pada single host Kelebihan : lebih bagus dalam mengamati pola aplikasi yang berjalan pada host (scanning) Network-based (NIDS) Biasanya ditempatkan pada router atau firewall Monitor traffic, menguji header paket data beserta isinya Kelebihan : single NIDS dapat melindungi beberapa host dan dapat mengamati pola secara umum 3

4 Intrusion Detection Techniques Misuse detection Menggunakan serangan yang sudah diketahui (memerlukan suatu model serangan) Sequences of system calls, patterns of network traffic, etc. Harus mengetahui sejak awal apa dan bagaimana yang akan dilakukan attacker Hanya dapat mendeteksi serangan serangan yang diketahui Intrusion Detection Techniques Anomaly detection Mempergunakan pola sistem normal untuk mengetahui keanehan/ketidaknormalan yang terjadi Menyalakan alarm, ketika sesuatu yang jarang/tidak pernah terjadi Potensial untuk mendeksi unknown attacks Traffic / aktivitas yang tidak sesuai dgn policy: akses dari/ke host yang terlarang memiliki content terlarang (virus) menjalankan program terlarang (web directory traversal: GET../..; cmd.exe) 4

5 Misuse vs. Anomaly Modifikasi file Password Percobaan Login gagal sebanyak 4 kali Percobaan koneksi yang gagal pada 50 port Pemakai yang mencoba menyusup pada jam2 tertentu atau dari IP address tertentu UDP packet pada port 1434 DEBUG dalam body SMTP message Misuse Anomaly Anomaly Anomaly Misuse Not an attack! (most likely) Host-Based IDS Mempergunakan mekanisme auditing dan monitoring OS untuk menemukan aplikasi yang dijalankan attacker Mengamati log sistem Mengamati shell command dan sistem call yang dijalankan aplikasi user dan sistem program Satu host satu IDS Hanya menunjukkan yang terjadi di host yang diserang 5

6 Level of Monitoring Mana yang akan dimonitoring? OS system calls Command line Network data (e.g., from routers and firewalls) Processes Keystrokes File and device accesses Rootkit Rootkit adalah seperangkat software yang berguna untuk menyembunyikan jejak (proses, file, koneksi network) dan mengizinkan seseorang untuk tetap bisa mendapat akses ke sebuah sistem (backdoor). Biasanya dipasang oleh hacker setelah si hacker berhasil memperoleh akses root/administrator pada server melalui salah satu vulnerability yang masih dimiliki oleh server (mis: lubang pada software lama atau versi kernel OS lama yang belum diupdaet). Rootkit digolongkan dalam kategori malware. Tool deteksi rootkit di Linux: chkrootkit rkhunter Host based IDS 6

7 Tripwire Merupakan tool untuk memeriksa integritas sistem Digunakan untuk memonitor perubahan yang terjadi pada sebuah sistem Bekerja dengan membuat sebuah database infomasi semua file sistem dan menyimpannya pada suatu file Setiap kali tripwire dijalankan untuk melakukan pengecekan file sistem, hasil pemeriksaan akan dibandingkan dengan database yang pernah dibuat Tool yang cukup baik untuk mendeteksi rootkit Nuke Nabber Nuke Nabber didesain untuk "menangkap" sekaligus memberikan informasi tentang tamu tak diundang (hacker atau cracker) yang masuk ke komputer yang bertujuan untuk menyerang, mengacau atau mengambil data-data tanpa permisi. IP address hacker atau cracker yang datang otomatis akan ditampilkan oleh Nuke Nabber 7

8 Tampilan NukeNabber Port yang dimasuki IP address Penyusup Status port yang dimonitor Status Nuke Nabber Penyusup terdeteksi Ketika penyusup terdeteksi, Nuke Nabber akan memberi tahu kepada operator bahwa ada penyusup yang masuk dengan cara icon Nuke Nabber yang sudah diinstall akan berkedipkedip. Icon Nuke Nabber 8

9 Penyusup terdeteksi Jika komputer yang dipasang Nuke Nabber memiliki kartu suara (sound card) maka akan muncul suara sesuai dengan file suara yang dipasang Penyusup terdeteksi Ketika penyusup terdeteksi, maka port dimana penyusup terhubung akan disable (non aktif) selama 60 detik. Pilihan Copy addres to Cliboard secara otomatis meng-copy IP address penyusup, dan Flash icon bermaksud icon Nuke Nabber di toolbar kanan bawah akan berkedip jika ada penyusup yang masuk. 9

10 Blokir IP address Nuke Nabber dapat memblokir IP address tertentu agar tidak dapat terhubung (diabaikan) dengan jalan memasukkan IP address yang dimaksud kedalam pilihan ignore pada pilihan option yang lain Nukenabber untuk IRC relay Nuke Nabber dapat berperan IRC Relay, dimana setiap komputer yang masuk kedalam IRC server dengan mempergunakan firewall komputer yang terinstall Nuke Nabber, maka identitas yang akan keluar bukan client melainkan identitas komputer yang berperan seperti firewall 10

11 Nukenabber untuk IRC relay Report Nukenabber 11

12 PORTSENTRY PortSentry merupakan bagian dari Abacus Poject sistem keamanan yang dapat diandalkan dan terjangkau (gratis) yang berbasis pada software pendeteksi gangguan komunitas internet PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning PORTSENTRY Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet. Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. Jika ada mesin yang tertangkap basah melakukan port scan terhadap Server yang kita miliki, maka secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita. Bagi mesin yang sial tersebut, maka jangan berharap untuk melakukan hubungan ke Server yang kita miliki 12

13 Sekilas Portsentry Programmer PortSentry (Craig H. Rowland/Psionic) sangat cermat dalam memberi komentar source code nya, sehingga pemakai mengetahui bagaimana konsep script/program ini dibangun. Hal ini menjadikan PortSentry melebihi dari fungsinya sebagai benteng namun juga dapat dipergunakan oleh setiap orang yang ingin belajar mengenai socket programing Fitur Porsentry Berikut ini fitur portsentry Berjalan di atas soket TCP & UDP untuk mendeteksi scan port Mendeteksi stealth scan, seperti SYN/halfopen, FIN, NULL, X-MAS. PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper. 13

14 Fitur Porsentry PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir. PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui . Deteksi penyusup oleh portsentry Ketika ada penyusup yang masuk dan PortSentry sudah dijalankan pada salah satu mode proteksi maka PortSentry akan memberikan reaksi sebagai berikut : Sebuah log indikasi dari suatu kejadian akan dibuat melalui syslog(). Host target secara otomatis akan tertulis dalam /etc/host.deny untuk TCP wrappers (proteksi TCP) Lokal host secara otomatis dikonfigurasi ulang untuk mengabaikan paket-paket yang datang dari melalui komputer penyusup yang telah diblokir. Lokal host secara otomatis dikonfigurasi ulang untuk mengabaikan paket-paket yang datang dari penyusup dengan paket filter lokal 14

15 Aplikasi untuk HIDS Portsentry (Linux) Nuke Nabber (Windows) SNORT (Linux dan Windows) Kelebihan H-IDS Kelebihannya host-based : o Menguji keberhasilan atau kegagalan serangan o Memonitor aktivitas sistem tertentu o Mendeteksi serangan yang lolos pada networkbased o Cocok untuk lingkungan encrypt dan switch o Deteksi dan respons secara near real-time o Tidak memerlukan tambahan perangkat keras Contoh : portsentry 15

16 Network-Based IDS Mengawasi network traffic Contoh : mempergunakan tcpdump untuk sniff paket pada router Passive (unlike firewalls) Default action: let traffic pass (unlike firewalls) Mengamati penyalahgunaan protocol, koneksi yang tidak biasa dan serangan terhadap paket data Tidak dapat mengamati traffic yang diencrypt Tidak semua serangan datang dari jaringan Snort NIDS Open source IDS host-based network-based packet sniffer implementasi di UNIX & Windows Beroperasi berdasarkan rules Informasi lebih lengkap : 16

17 Menangkap sesi FTP Buat rule snort di dalam berkas ftp.conf, dengan isi: log tcp any any -> /24 21 Perhatikan: rule header saja Buat direktori bernama coba, kemudian jalankan perintah berikut: unix# snort d l coba c ftp.conf Lanjutan sesi FTP Jalankan sesi FTP yang menuju ke sebuah host di jaringan unix$ ftp Connected to FTP server ready. Name: anonymous 331 Guest login ok, send your complete address as password. Password: [email protected] ftp> quit 17

18 Lanjutan Hentikan sesi snort dengan ^c (ctrl c), kemudian pindah ke direktori coba Perhatikan bahwa ada direktori yang namanya merupakan nomor IP dari komputer yang menyerang (dalam hal ini yang melakukan FTP); misalnya Pindah ke direktori ini. Akan ditemukan sebuah berkas yang namanya kira-kira sebagai berikut: TCP: Kemudian amatilah isi berkas ini. Mengamati sesi TELNET Buat rule snort di dalam berkas telnet.conf, dengan isi: var HOME_NET [ /24] log tcp any any <> $HOME_NET 23 (session: printable;) [Baris kedua ini harus ditulis dalam satu baris panjang. Perhatikan sudah ada rule option] Kemudian jalankan perintah berikut: snort d l coba c telnet.conf 18

19 Sesi TELNET [lanjutan] Jalankan sesi telnet yang menuju ke sebuah host di jaringan unix$ telnet Trying Connected to Escape character is '^]'. Debian GNU/Linux 3.0 hurd hurd login: user01 Password: user01 Unix% ls Unix% exit Sesi TELNET [lanjutan] Tahap selanjutnya sama seperti pada bagian pengamatan Sesi FTP. Berkas yang dihasilkan oleh program snort kira-kira bernama SESSION: Amatilah berkas ini. Anda akan dapatkan isi sesi telnet anda 19

20 Rules yang lebih kompleks Rules yang lebih kompleks dapat dilihat pada distribusi snort di direktori /etc/snort Mendeteksi virus Mendeteksi akses daerah (file) terlarang di web server Paket yang memiliki isi aneh Paket yang memiliki sifat aneh (flag tidak lazim) Adanya portscanning dan lain-lain ACID Analysis Console for Intrusion Databases (ACID) Program yang dirancang untuk mengelolah data-data security event seperti; IDS, Firewall, dan Network Monitoring Tools Data-data disimpan dalam database (MySQL) 20

21 Manfaat ACID Log-log yang tadinya susah dibaca menjadi mudah di baca Data-data dapat dicari (search) dan difilter sesuai dengan kriteria tertentu Managing Large Alert Databases (Deleting and Archiving) Untuk kasus-kasus tertentu dapat merujukalert pada situs database security seperti Securityfocus, CVE, arachnids Tampilan halaman muka ACID 21

22 Daftar Jenis Attack Tampilan Individual Attack 22

23 Kelebihannya N-IDS Kelebihannya network-based : Biaya lebih rendah Mampu menangani serangan yang tidak terdeteksi oleh host-based Kesulitan bagi penyerang untuk menghapus jejak menggunakan data live netwok, sehingga mendeteksi serangan secara real-time Deteksi dan respon secara real time Deteksi serangan yang gagal dan kecenderungan serangan Tidak tergantung pada sistem operasi. Contoh network-based : snort Hibrid IDS Masih berupa wacana Fitur yang diharapkan dari Hibrid IDS Integrasi antara network-based IDS dan hostbased IDS Manajemen konsol yang generik untuk semua produk Integrasi basis data event Integrasi sistem report Kemampuan menghubungkan event dengan serangan Integrasi dengan on-line help untuk respon insiden Prosedur instalasi yang ringkas dan terintegrasi di seluruh produk yang ada 23

24 Kelebihan IDS 1. Monitoring dan analisis sistem dan prolaku pengguna 2. Pengujian terhadap konfigurasi keamanan sistem 3. Memberikan acuan pelaksanaan keamanan sistem 4. Penanganan serangan terhadap pola yang sudah diketahui 5. Penanganan pola aktivitas yang tidak normal Kelebihan IDS (2) 6. Manajemen audit SO dan mekanisme logging pada data 7. Memberikan peringatan kepada admin jika ada serangan 8. Mengukur kemampuan kebijakan keamanan yang terdapat pada mesin analisis IDS 9. Menyediakan informasi konfigurasi default pengamanan sistem 10. Memudahkan pengawasan pada sistem 24

25 Keterbatasan IDS 1. Kurang cepat mengenali serangan pada segmen yang memiliki traffic yang besar dan load prosesor yang besar 2. Tidak dapat mengenali teknik baru yang belum terdapat basis data pada pola serangan yang dimiliki 3. Tidak dapat bekerja secara efektif pada jaringan yang mempergunkaan switch-hub Respon IDS terhadap serangan Rekonfigurasi firewall Membunyikan speaker Log Event, baik linux maupun windows Mengirim pada administrator Menyimpan bukti Menjalankan program tertentu program untuk menangani serangan Menghentikan sesi TCP yang dipakai 25

26 Letak IDS Berhubungan langsung dengan firewall Dipergunakan untuk mendeteksi paket-paket yang melalui firewall Mendeteksi serangan-serangan terhadap firewall Diletakkan di jaringan internal, dipergunkaan mendeteksi serangan yang berasal dari jaringan internal IDS host-based diletakkan pada host yang diinginkan web server, database server Mencegah Serangan 1. Desain sistem. Sistem yang baik tidak meninggalkan lubang keamanan yang memungkinkan terjadinya penyusupan Contoh : enkripsi caesar cipher 2. Aplikasi yang dipakai. Aplikasi yang dipakai sudah dijamin bebas dari backdoor. Batas (bound) array yang dapat menyebabkan buffer overflow Kealpaan memfilter karakter aneh yang dimasukkan sebagai input 26

27 Mencegah Serangan (2) 3. Manajemen. Dengan menerapkan Standard Operating Procedure dan Security Policy. 4. Manusia. Merupakan faktor utama masalah keamanan. sebagian besar celah diperoleh melalui rekayasa sosial yang menunjukkan kelemahan pengguna (kevin mitnick). Strategi dan taktik keamanan komputer 1. Keamanan fisik 2. Kunci komputer 3. Keamanan bios 4. Keamanan boot loader 5. Xlock dan vlock Xlock : pengunci tampilan X pada linux Vlock : program kecil untuk mengunci beberapa atau seluruh konsol virtual 6. Mendeteksi ganguan keamanan fisik 27

28 Pustaka