TOPIK PRESENTASI Latar Belakang Apa itu SNORT?

Slides:



Advertisements
Presentasi serupa
IDS (INTRUSION DETECTION SYSTEM)
Advertisements

KONSEP DASAR WEB DAN INTERNET
Pemrograman Internet Konsep Dasar.
Web Service.
Bab 5 Perangkat Lunak.
Investigating Network Intrusion and Computer Forensic
BAB II FIREWALL Ibarat sebuah rumah yang memiliki pagar sebagai pelindungnya, baik dari kayu,tembok beton, kawat berduri ataupun kombinasi.
SISTEM OPERASI.
KEAMANAN JARINGAN One_Z Keamana Komputer.
(TK-3193) KEAMANAN JARINGAN
TOPIK PRESENTASI Latar Belakang Apa itu SNORT?
COMMAND PROTOCOL OPERATIONS INITIALIZING INTRUSION DETECTION SYSTEM Sebuah Pengenalan oleh Budi Rahardjo
FIREWALL.
KEAMANAN JARINGAN (TK-3193). Tujuan Mata Kuliah Setelah mengikuti matakuliah ini diharapkan mahasiswa mampu: Memahami konsep dasar keamanan jaringan Memahami.
Diambil dari Model OSI Diambil dari
Keamanan Web Server Pertemuan XI.
Firewall Pertemuan V.
Evaluasi Keamanan Sistem Informasi
Intrusion Detection System
(TK-3193) KEAMANAN JARINGAN
Keamanan Data dan Jaringan Komputer
FIREWALL Ibarat sebuah rumah yang memiliki pagar sebagai pelindungnya, baik dari kayu,tembok beton, kawat berduri ataupun kombinasi beberapa jenis pagar.
Sistem Pendeteksi Penyusup Sebuah sistem keamanan adalah sekumpulan komponen yg bertugas untuk mengamankan sesuatu yg berharga. Analoginya jika kita ingin.
PENGENALAN JARINGAN (Network Fundamental)
Electronic Engineering Polytechnic Institut of Surabaya – ITS Kampus ITS Sukolilo Surabaya Portsentry.
Overview Teknologi Internet
IDS ( Intrusion Detection System )
KELOMPOK 19 : BAYU TOMI DEWANTARA VIALLI IVO
FIREWALL Asrinah “Jaringan Komputer” PTIK_A.
Koneksi Internet Pertemuan XIV.
I.P.S Oleh Furqon Al Basyar ( )
Keamanan Web Server Pertemuan XI.
BSI Fatmawati, 12 April 2017 Johan Bastari, M.Kom
Evaluasi Keamanan Sistem Informasi
METODOLOGI KEAMANAN KOMPUTER
Administrasi Jaringan Pendahuluan
Overview of E-Business Technologies irwan sembiring
Keamanan Jaringan Menggunakan Firewall dan IDS
IDS dan IPS Nama Kelompok : Septian Wardani ( )
Firewall Pertemuan V.
DHCP Server Cara efisien pengalamatan IP Address pada jaringan yang besar adalah menggunakan DHCP. DHCP adalah software utiliti yang bekerja pada komputer.
Firewall dan Routing Filtering
Evaluasi Keamanan Sistem Informasi
Basis Data Klien Server dan Basis data Internet Materi 7
Evaluasi Keamanan Sistem Informasi
Instrusion Detection System
Evaluasi Keamanan Sistem Informasi
Administrasi Jaringan Telnet Server dan FTP Server
PERTEMUAN KE 3 P'HES OSI REFERENCE.
Network Security FIREWALL.
Lect 09.
METODOLOGI HACKING # Willy Hardian [ ]
Firewall Pertemuan V.
Protocol Analysis Oleh : Khairil,M.Kom.
Keamanan Web Server Pertemuan 9.
KEAMANAN SISTEM OPERASI LINUX
Pertemuan 9 KEAMANAN JARINGAN By : Asriadi.
UNBAJA (Universitas Banten Jaya)
Koneksi Internet Pertemuan XIV.
PENGAMANAN SISTEM PERTEMUAN - 9.
Miranda, S. kom KELAS XI TKJ. Pertimbangan Layanan keamanan ISP (enkripsi data) Peralatan pengaman pada ISP (acl,port filtering, firewall, IDS,IPS) Monitoring.
Pengantar Jaringan Komputer Keamanan Jaringan Komputer
METODOLOGI KEAMANAN KOMPUTER
METODOLOGI KEAMANAN KOMPUTER
Kelompok 9 Sistem pertahanan
Koneksi Internet Pertemuan XIV.
Diambil dari Model OSI Diambil dari
Koneksi Internet Pertemuan XIV.
fasilitas yang digunakan untuk penempatan beberapa kumpulan server atau sistem komputer dan sistem penyimpanan data (storage) yang dikondisikan dengan.
Administrasi Infrastruktur Jaringan Priyo Aji Santoso.
Transcript presentasi:

TOPIK PRESENTASI Latar Belakang Apa itu SNORT? Bagaimana menggunakan SNORT Desain dan Arsitektur SNORT

INTRUSION DETECTION Intrusion Detection, didefinisikan sebagai: “masalah mengidentifikasi akses individu yang menggunakan sebuah sistim komputer tanpa hak” Percobaan untuk masuk secara paksa juga harus teridentifikasi Intrusion Detection bukanlah Intrusion Prevention

POLICY Kesuksesan Intrusion Detection tidak hanya tergantung kepada teknologi, namun juga kepada policy dan management Security policy mendefinisikan apa yang boleh atau tidak boleh dilakukan Notifikasi Koordinasi dalam memberikan respon

PERKENALAN DENGAN SNORT Apa itu SNORT? SNORT adalah multi-mode packet analysis tool Sniffer Packet Logger Forensic Data Analysis Tool Network Intrusion Detection System Darimana datangnya? Dibuat dan dikembangkan pertama kali oleh Martin Roesh, lalu menjadi sebuah opensource project. Versi komersial dibuat oleh SOURCEFIRE.

MATRIKS Berukuran kecil Source code dan rules untuk rilis 2.1.1 hanya 2256k Portable untuk banyak OS telah diporting ke Linux, Windows, OSX, Solaris, BSD, IRIX, Tru64, HP-UX, dll Cepat mampu mendeteksi serangan pada 100Mbps network Mudah dikonfigurasi Free Opensource software with GPL license

DESAIN SNORT Packet sniffing yang “sangat ringan” Sniffing interface berbasis libpcap Rules-based detection engine Memiliki plug-in systems menjadikannya sangat fleksibel

DETECTION ENGINE Memiliki signatures dalam bentuk rules Memiliki elemen-elemen deteksi modular terkombinasi untuk membentuk signatures Memiliki kapabilitas deteksi yang sangat luas Stealth scans, OS fingerprinting, buffer overflows, shellcodes, backdoors, CGI exploits, SQL injections, dll Rules system sangatlah fleksibel, dan untuk membuat sebuah rules relatif sangat mudah

PLUG-INS Pre-Processor Dilakukan analisis dan/atau manipulasi terhadap packets sebelum dikirimkan ke detection engine Detection Melakukan sebuah atau beberapa test pada sebuah bagian dari packet Output Memberikan report dan alert

PENGGUNAAN SNORT Standard packet sniffing Policy Enforcement Honeypot monitor Scan detections

Statistical IDS (Snort) IMPLEMENTASI NIDS Generic Server (Host-Based ID) Internet Firewall (Perimeter Logs) Filtering Router (Perimeter Logs) Statistical IDS (Snort) Network IDS (Snort)

MENGGUNAKAN SNORT Modus operasi utama Sniffer mode Packet Logger Mode NIDS mode Forensic Data Analysis Mode Modus operasi yang dikonfigurasi dari CLI (Command Line Interface) SNORT akan secara otomatis masuk ke modus NIDS jika tidak diberikan command switches dan kemudian mencari serta menggunakan konfigurasi pada file snort.conf

SNIFFER MODE Bekerja seperti tcpdump Melakukan dekoding terhadap packets dan menampilkan hasilnya ke stdout BPF filtering interface tersedia memilah-milah network traffic

TAMPILAN SNORT PACKET DUMP =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/09-11:12:02.954779 10.1.1.6:1032 -> 10.1.1.8:23 TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF ***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20 FF FC 23 FF FC 27 FF FC 24 FF FA 18 00 41 4E 53 ..#..'..$....ANS 49 FF F0 I.. 11/09-11:12:02.956582 10.1.1.8:23 -> 10.1.1.6:1032 TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF ***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 20 0D 0A 0D 0A 53 75 6E 4F 53 20 35 2E 37 0D 0A 0D ....SunOS 5.7... 00 0D 0A 0D 00 .....

TAMPILAN TCPDUMP 11:16:35.648944 10.1.1.8.23 > 10.1.1.6.1033: P 16:34(18) ack 16 win 8760 (DF) (ttl 255, id 49913) 4500 003a c2f9 4000 ff06 a2b4 0a01 0108 0a01 0106 0017 0409 1cf9 e7f6 001a e050 5018 2238 31c6 0000 fffe 1fff fe23 fffe 27ff fe24 fffa 11:16:35.649457 10.1.1.6.1033 > 10.1.1.8.23: P 16:19(3) ack 34 win 8727 (DF) (ttl 128, id 57861) 4500 002b e205 4000 8006 02b8 0a01 0106 0a01 0108 0409 0017 001a e050 1cf9 e808 5018 2217 6f19 0000 fffc 1f20 2020

PACKET LOGGER MODE Menyimpan packets ke disk (harddisk, removeable disk) Pilihan packet logging Flat ASCII (teks), tcpdump format, XML, database (MySQL, MsSQL, ORACLE, dsb) Melakukan logging semua data dan kemudian diproses untuk mendeteksi aktivitas yang dicurigai

NIDS MODE Menggunakan semua fase-kerja SNORT & plug-ins’nya untuk menganalisa traffic agar mendeteksi penyalahgunaan dan anomalous activities Dapat melakukan deteksi portscanning, IP defragmentation, TCP stream reassembly, application layer analysis, normalisasi, dsb

NIDS MODE.. Pilihan output Database MySQL, MsSQL, PostgreSQL, Oracle, unixODBC, dsb XML Tcpdump binary format Unified (snort specific) format ASCII (teks) syslog atau WinPopUp dsb

NIDS MODE.. Memiliki rules yang sangat banyak yang digunakan sebagai signature dari detection engine Modus deteksi yang beragam Rules (signature) Statistical anomaly Protocol verification

ARSITEKTUR SNORT v2.X Goals: Lebih cepat Lebih extensible Protocol support yang lebih baik Lebih baik dalam menganalisa aktivitas network intrusion secara keseluruhan

SNORT v2.X PLUG-INS Fleksibilitas Akuisisi data Traffic decoders Protokol analisis dan verifikasi Multi-path traffic flows, packets & streams Multi-format rules input Database, XML, dsb Detection engine yang plugable Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS

SNORT v2.X DETECTION ENGINE content: “”foo”; content: “bar”; content: “baz”; alert tcp Dip: 2.2.2.2 Dip: 10.1.1.0/24 Flags: A+; Sip: 1.1.1.1 Dp: 80

SNORT v2.X PLUG-INS Fleksibilitas Akuisisi data Traffic decoders Protokol analisis dan verifikasi Multi-path traffic flows, packets & streams Multi-format rules input Database, XML, dsb Detection engine yang plugable Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS

MORE ABOUT SNORT SNORT project, http://www.snort.org/ SNORT for Windows http://www.datanerds.net/~mike/ Writing SNORT rules, http://www.snort.org/snort_rules.html FAQ, MANUAL PAGE, README, USAGE SNORT mailing-list Commercial SNORT Network Security Appliances http://www.sourcefire.com/

No PIG was harmed during the making of this presentation