IDS, Dingap, dan Honeypot Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id> Tahun Ajaran 2011/2012
IDS, Dingap, dan Honeypot IDS, dingap, dan honeypot digunakan untuk mencegah penyerang tidak/relatif susah untuk mendapat akses ke sistem atau jaringan target. IDS dan dingap adalah perangkat yang berguna untuk memantau lalu lintas paket berdasarkan aturan terdefinisi. Honeypot adalah sistem target palsu yang digunakan untuk memancing penyerang agar tidak menyerang sistem asli.
IDS
Intrusion Detection System (IDS) Memeriksa lalu lintas data & mendeteksi tanda tanda serangan atau perilaku yang tidak umum, berdasarkan basis data pola yang terdefinisi. analisis deteksi Terdiri dari pengendus paket, basis data tanda/pola serangan, dan pemberitahuan melalui bermacam media seperti pager, surel, pesan singkat, dll. Intrusion Prevention System (IPS) digunakan untuk melakukan penanggulangan serangan, seperti memblok lalu lintas data yang terdeteksi nakal. IPS merespon tanda/pola serangan secara otomatis untuk menolak atau memblok akses ke sistem/jaringan target.
False alarm.
Tipe-Tipe IDS
Tipe-Tipe IDS Berbasis host: program IDS yang dipasang di sebuah sistem dan memantau tanda/pola serangan ke sistem tersebut. Berbasis jaringan: program IDS yang dipasang di segmen jaringan yang digunakan untuk memantau lalu lintas data terhadap tanda/pola serangan. Termasuk serangan terhadap layanan yang lemah, data pada aplikasi, eksploitasi akses jarak jauh, percobaan login, akses ke berkas yang sensitif, malware, dan lain lain.
IDS bersifat pasif. Sensor IDS akan mendeteksi kejadian, mencatat informasinya, dan melaporkan ke konsol/media yang digunakan admin.
AIDE.
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
stwn, 2003.
Snort http://snort.org/
Snort (1) Snort adalah sebuah NIDS yang memiliki kemampuan sniffing secara real time dan merekam lalu lintas data di dalam jaringan. Berlisensi GNU GPL. Dapat menganalisis protokol, melakukan pencarian konten, dan mendeteksi bermacam serangan dan prob seperti buffer overflow, pemindaian SYN stealth, penjejakan sistem operasi, dan lain lain. Terdiri dari: mesin Snort: mesin deteksi IDS yang menggunakan arsitektur pengaya yang modular. aturan Snort: bahasa aturan untuk menggambarkan pola lalu lintas yang akan ditangkap.
Snort (2) Memiliki 3 mode: sniffer, packet logger, dan NIDS. Menggunakan berkas konfigurasi snort.conf. Variabel variabel di dalam berkas konfigurasi dikategorikan menjadi: Variabel jaringan Preprocessor. Postprocessor. Aturan.
var HOME_NET 192.168.1.0/24 var EXTERNAL_NET any var SMTP $HOME_NET var HTTP_SERVERS $HOME_NET var SQL_SERVERS $HOME_NET var DNS_SERVERS $HOME_NET var RULE_PATH /etc/snort/rules
include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules include $RULE_PATH/ftp.rules include $RULE_PATH/telnet.rules include $RULE_PATH/smtp.rules include $RULE_PATH/rpc.rules include $RULE_PATH/dos.rules include $RULE_PATH/ddos.rules include $RULE_PATH/dns.rules include $RULE_PATH/web cgi.rules
Snort (3) Aturan Snort mempunyai header yang terdiri dari bagian: <aturan aksi>, <protokol>, <alamat dan porta sumber>, <alamat dan porta tujuan>. alert tcp $EXTERNAL_NET any > $HOME_NET 23 Mengirim pemberitahuan ke konsol dan mencatat pesan setiap aktivitas pada protokol TCP dari alamat selain NIDS dengan porta apa saja ke alamat tujuan lokal pada porta 23. Header aturan snort diikuti oleh opsi aturan. msg: TELNET telnetd format bug, pencatatan/pemberitahuan. flags: A+, cocok dengan flag TCP ACK. content: /bin/sh, pola konten payload paket. classtype: attempted admin, kelas serangan attempted admin.
Keluaran Snort Waktu. 06/18 08:23:13.325017 Alamat MAC sumber dan tujuan. 00:08:02:FB:33:C2 > 00:02:9B:15:A4:6F Tipe frame dan panjangnya. type:0x800 len:0x3b Alamat IP:porta sumber dan tujuan. 202.108.43.14:445 > 202.105.43.28:2112 Protokol TCP dengan Time To Live (TTL) 128. TCP TTL:128
Flag dan nomor porta TCP.
Bagaimana cara menipu IDS?
Teknik Menipu IDS
Teknik Menipu IDS IDS dapat melakukan analisis tanda/pola tertentu yang sudah terdefinisi atau dapat pula mendeteksi kejadian anomali. Penyerang dapat menipu IDS dengan mengubah lalu lintas data yang dipakai agar tidak sesuai dengan tanda/pola yang diketahui IDS. Penggunaan protokol yang berbeda. Contoh: UDP, HTTP. Membuat serangan menjadi modular. Menyisipkan data tambahan. Mengubah pola atau perintah serangan. Mengenkripsi serangan ; )
Dingap dan Honeypot
Dingap dan Honeypot Dingap: program atau perangkat yang digunakan untuk penyaringan lalu lintas dari dan ke dalam jaringan, sesuai dengan aturan yang ditentukan oleh administrator. Umumnya di letakkan di depan jaringan. perijinan Honeypot: sistem yang digunakan sebagai umpan untuk menangkap, mempelajari, atau mengalihkan penyerang dari sistem target. Umumnya ditempatkan di DMZ. Terdapat pencatatan aktivitas di dalam sistem. Seperti peladen asli dan menarik untuk diserang ; )
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
Honeynet Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
The Honeynet Project http://honeynet.org/
Virtualisasi.
Teknik Melewati Dingap dan Honeypot
Teknik Melewati Dingap/Honeypot Menguasai sistem internal atau yang dipercaya oleh si dingap ; ) Ingat porta yang hampir selalu terbuka: 80. Buat lorong /tunnel melewati porta yang terbuka. Kombinasikan dengan shell www dan enkripsi komunikasi. Membekali dengan pengetahuan target sistem dan program yang umum digunakan. Contoh program untuk membuat honeypot: honeyd. Menggunakan program pendeteksi honeypot.
Daftar Bacaan EC Council. 2008. Module XXIII: Evading IDS, Firewalls, and Honeypots, Ethical Hacking and Countermeasures Version 6 Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide, Sybex