Presentasi sedang didownload. Silahkan tunggu

Presentasi sedang didownload. Silahkan tunggu

Latar Belakang Apa itu SNORT? Bagaimana menggunakan SNORT Desain dan Arsitektur SNORT TOPIK PRESENTASI.

Presentasi serupa


Presentasi berjudul: "Latar Belakang Apa itu SNORT? Bagaimana menggunakan SNORT Desain dan Arsitektur SNORT TOPIK PRESENTASI."— Transcript presentasi:

1

2 Latar Belakang Apa itu SNORT? Bagaimana menggunakan SNORT Desain dan Arsitektur SNORT TOPIK PRESENTASI

3 Intrusion Detection, didefinisikan sebagai: “masalah mengidentifikasi akses individu yang menggunakan sebuah sistim komputer tanpa hak” Percobaan untuk masuk secara paksa juga harus teridentifikasi Intrusion Detection bukanlah Intrusion Prevention INTRUSION DETECTION

4 Kesuksesan Intrusion Detection tidak hanya tergantung kepada teknologi, namun juga kepada policy dan management Security policy mendefinisikan apa yang boleh atau tidak boleh dilakukan Notifikasi Koordinasi dalam memberikan respon POLICY

5 Apa itu SNORT? SNORT adalah multi-mode packet analysis tool Sniffer Packet Logger Forensic Data Analysis Tool Network Intrusion Detection System Darimana datangnya? Dibuat dan dikembangkan pertama kali oleh Martin Roesh, lalu menjadi sebuah opensource project. Versi komersial dibuat oleh SOURCEFIRE. PERKENALAN DENGAN SNORT

6 Berukuran kecil Source code dan rules untuk rilis hanya 2256k Portable untuk banyak OS telah diporting ke Linux, Windows, OSX, Solaris, BSD, IRIX, Tru64, HP-UX, dll Cepat mampu mendeteksi serangan pada 100Mbps network Mudah dikonfigurasi Free Opensource software with GPL license MATRIKS

7 Packet sniffing yang “sangat ringan” Sniffing interface berbasis libpcap Rules-based detection engine Memiliki plug-in systems menjadikannya sangat fleksibel DESAIN SNORT

8 Memiliki signatures dalam bentuk rules Memiliki elemen-elemen deteksi modular terkombinasi untuk membentuk signatures Memiliki kapabilitas deteksi yang sangat luas Stealth scans, OS fingerprinting, buffer overflows, shellcodes, backdoors, CGI exploits, SQL injections, dll Rules system sangatlah fleksibel, dan untuk membuat sebuah rules relatif sangat mudah DETECTION ENGINE

9 Pre-Processor Dilakukan analisis dan/atau manipulasi terhadap packets sebelum dikirimkan ke detection engine Detection Melakukan sebuah atau beberapa test pada sebuah bagian dari packet Output Memberikan report dan alert PLUG-INS

10 Standard packet sniffing Policy Enforcement Honeypot monitor Scan detections PENGGUNAAN SNORT

11 IMPLEMENTASI NIDS Filtering Router (Perimeter Logs) Firewall (Perimeter Logs) Generic Server (Host-Based ID) Network IDS (Snort) Internet Statistical IDS (Snort)

12 Modus operasi utama Sniffer mode Packet Logger Mode NIDS mode Forensic Data Analysis Mode Modus operasi yang dikonfigurasi dari CLI (Command Line Interface) SNORT akan secara otomatis masuk ke modus NIDS jika tidak diberikan command switches dan kemudian mencari serta menggunakan konfigurasi pada file snort.conf MENGGUNAKAN SNORT

13 Bekerja seperti tcpdump Melakukan dekoding terhadap packets dan menampilkan hasilnya ke stdout BPF filtering interface tersedia memilah-milah network traffic SNIFFER MODE

14 TAMPILAN SNORT PACKET DUMP =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/09-11:12: :1032 -> :23 TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF ***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20 FF FC 23 FF FC 27 FF FC 24 FF FA E 53..#..'..$....ANS 49 FF F0 I.. =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/09-11:12: :23 -> :1032 TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF ***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 20 0D 0A 0D 0A E 4F E 37 0D 0A 0D....SunOS D 0A 0D =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

15 TAMPILAN TCPDUMP 11:16: > : P 16:34(18) ack 16 win 8760 (DF) (ttl 255, id 49913) a c2f ff06 a2b4 0a a cf9 e7f6 001a e c fffe 1fff fe23 fffe 27ff fe24 fffa 11:16: > : P 16:19(3) ack 34 win 8727 (DF) (ttl 128, id 57861) b e b8 0a a a e050 1cf9 e f fffc 1f

16 Menyimpan packets ke disk (harddisk, removeable disk) Pilihan packet logging Flat ASCII (teks), tcpdump format, XML, database (MySQL, MsSQL, ORACLE, dsb) Melakukan logging semua data dan kemudian diproses untuk mendeteksi aktivitas yang dicurigai PACKET LOGGER MODE

17 Menggunakan semua fase-kerja SNORT & plug-ins’nya untuk menganalisa traffic agar mendeteksi penyalahgunaan dan anomalous activities Dapat melakukan deteksi portscanning, IP defragmentation, TCP stream reassembly, application layer analysis, normalisasi, dsb NIDS MODE

18 Pilihan output Database MySQL, MsSQL, PostgreSQL, Oracle, unixODBC, dsb XML Tcpdump binary format Unified (snort specific) format ASCII (teks) syslog atau WinPopUp dsb NIDS MODE..

19 Memiliki rules yang sangat banyak yang digunakan sebagai signature dari detection engine Modus deteksi yang beragam Rules (signature) Statistical anomaly Protocol verification NIDS MODE..

20 Goals: Lebih cepat Lebih extensible Protocol support yang lebih baik Lebih baik dalam menganalisa aktivitas network intrusion secara keseluruhan ARSITEKTUR SNORT v2.X

21 Fleksibilitas Akuisisi data Traffic decoders Protokol analisis dan verifikasi Multi-path traffic flows, packets & streams Multi-format rules input Database, XML, dsb Detection engine yang plugable Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS SNORT v2.X PLUG-INS

22 SNORT v2.X DETECTION ENGINE content: “”foo”; content: “bar”; content: “baz”; alert tcp Dip: Dip: /24 Flags: A+; Sip: Dp: 80

23 Fleksibilitas Akuisisi data Traffic decoders Protokol analisis dan verifikasi Multi-path traffic flows, packets & streams Multi-format rules input Database, XML, dsb Detection engine yang plugable Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS SNORT v2.X PLUG-INS

24 SNORT project, SNORT for Windows Writing SNORT rules, FAQ, MANUAL PAGE, README, USAGE SNORT mailing-list Commercial SNORT Network Security Appliances MORE ABOUT SNORT

25 No PIG was harmed during the making of this presentation


Download ppt "Latar Belakang Apa itu SNORT? Bagaimana menggunakan SNORT Desain dan Arsitektur SNORT TOPIK PRESENTASI."

Presentasi serupa


Iklan oleh Google