TOPIK PRESENTASI Latar Belakang Apa itu SNORT? Bagaimana menggunakan SNORT Desain dan Arsitektur SNORT

INTRUSION DETECTION Intrusion Detection, didefinisikan sebagai: “masalah mengidentifikasi akses individu yang menggunakan sebuah sistim komputer tanpa hak” Percobaan untuk masuk secara paksa juga harus teridentifikasi Intrusion Detection bukanlah Intrusion Prevention

POLICY Kesuksesan Intrusion Detection tidak hanya tergantung kepada teknologi, namun juga kepada policy dan management Security policy mendefinisikan apa yang boleh atau tidak boleh dilakukan Notifikasi Koordinasi dalam memberikan respon

PERKENALAN DENGAN SNORT Apa itu SNORT? SNORT adalah multi-mode packet analysis tool Sniffer Packet Logger Forensic Data Analysis Tool Network Intrusion Detection System Darimana datangnya? Dibuat dan dikembangkan pertama kali oleh Martin Roesh, lalu menjadi sebuah opensource project. Versi komersial dibuat oleh SOURCEFIRE.

MATRIKS Berukuran kecil Source code dan rules untuk rilis 2.1.1 hanya 2256k Portable untuk banyak OS telah diporting ke Linux, Windows, OSX, Solaris, BSD, IRIX, Tru64, HP-UX, dll Cepat mampu mendeteksi serangan pada 100Mbps network Mudah dikonfigurasi Free Opensource software with GPL license

DESAIN SNORT Packet sniffing yang “sangat ringan” Sniffing interface berbasis libpcap Rules-based detection engine Memiliki plug-in systems menjadikannya sangat fleksibel

DETECTION ENGINE Memiliki signatures dalam bentuk rules Memiliki elemen-elemen deteksi modular terkombinasi untuk membentuk signatures Memiliki kapabilitas deteksi yang sangat luas Stealth scans, OS fingerprinting, buffer overflows, shellcodes, backdoors, CGI exploits, SQL injections, dll Rules system sangatlah fleksibel, dan untuk membuat sebuah rules relatif sangat mudah

PLUG-INS Pre-Processor Dilakukan analisis dan/atau manipulasi terhadap packets sebelum dikirimkan ke detection engine Detection Melakukan sebuah atau beberapa test pada sebuah bagian dari packet Output Memberikan report dan alert

PENGGUNAAN SNORT Standard packet sniffing Policy Enforcement Honeypot monitor Scan detections

Statistical IDS (Snort) IMPLEMENTASI NIDS Generic Server (Host-Based ID) Internet Firewall (Perimeter Logs) Filtering Router (Perimeter Logs) Statistical IDS (Snort) Network IDS (Snort)

MENGGUNAKAN SNORT Modus operasi utama Sniffer mode Packet Logger Mode NIDS mode Forensic Data Analysis Mode Modus operasi yang dikonfigurasi dari CLI (Command Line Interface) SNORT akan secara otomatis masuk ke modus NIDS jika tidak diberikan command switches dan kemudian mencari serta menggunakan konfigurasi pada file snort.conf

SNIFFER MODE Bekerja seperti tcpdump Melakukan dekoding terhadap packets dan menampilkan hasilnya ke stdout BPF filtering interface tersedia memilah-milah network traffic

TAMPILAN SNORT PACKET DUMP =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/09-11:12:02.954779 10.1.1.6:1032 -> 10.1.1.8:23 TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF ***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20 FF FC 23 FF FC 27 FF FC 24 FF FA 18 00 41 4E 53 ..#..'..$....ANS 49 FF F0 I.. 11/09-11:12:02.956582 10.1.1.8:23 -> 10.1.1.6:1032 TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF ***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 20 0D 0A 0D 0A 53 75 6E 4F 53 20 35 2E 37 0D 0A 0D ....SunOS 5.7... 00 0D 0A 0D 00 .....

TAMPILAN TCPDUMP 11:16:35.648944 10.1.1.8.23 > 10.1.1.6.1033: P 16:34(18) ack 16 win 8760 (DF) (ttl 255, id 49913) 4500 003a c2f9 4000 ff06 a2b4 0a01 0108 0a01 0106 0017 0409 1cf9 e7f6 001a e050 5018 2238 31c6 0000 fffe 1fff fe23 fffe 27ff fe24 fffa 11:16:35.649457 10.1.1.6.1033 > 10.1.1.8.23: P 16:19(3) ack 34 win 8727 (DF) (ttl 128, id 57861) 4500 002b e205 4000 8006 02b8 0a01 0106 0a01 0108 0409 0017 001a e050 1cf9 e808 5018 2217 6f19 0000 fffc 1f20 2020

PACKET LOGGER MODE Menyimpan packets ke disk (harddisk, removeable disk) Pilihan packet logging Flat ASCII (teks), tcpdump format, XML, database (MySQL, MsSQL, ORACLE, dsb) Melakukan logging semua data dan kemudian diproses untuk mendeteksi aktivitas yang dicurigai

NIDS MODE Menggunakan semua fase-kerja SNORT & plug-ins’nya untuk menganalisa traffic agar mendeteksi penyalahgunaan dan anomalous activities Dapat melakukan deteksi portscanning, IP defragmentation, TCP stream reassembly, application layer analysis, normalisasi, dsb

NIDS MODE.. Pilihan output Database MySQL, MsSQL, PostgreSQL, Oracle, unixODBC, dsb XML Tcpdump binary format Unified (snort specific) format ASCII (teks) syslog atau WinPopUp dsb

NIDS MODE.. Memiliki rules yang sangat banyak yang digunakan sebagai signature dari detection engine Modus deteksi yang beragam Rules (signature) Statistical anomaly Protocol verification

ARSITEKTUR SNORT v2.X Goals: Lebih cepat Lebih extensible Protocol support yang lebih baik Lebih baik dalam menganalisa aktivitas network intrusion secara keseluruhan

SNORT v2.X PLUG-INS Fleksibilitas Akuisisi data Traffic decoders Protokol analisis dan verifikasi Multi-path traffic flows, packets & streams Multi-format rules input Database, XML, dsb Detection engine yang plugable Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS

SNORT v2.X DETECTION ENGINE content: “”foo”; content: “bar”; content: “baz”; alert tcp Dip: 2.2.2.2 Dip: 10.1.1.0/24 Flags: A+; Sip: 1.1.1.1 Dp: 80

SNORT v2.X PLUG-INS Fleksibilitas Akuisisi data Traffic decoders Protokol analisis dan verifikasi Multi-path traffic flows, packets & streams Multi-format rules input Database, XML, dsb Detection engine yang plugable Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS

MORE ABOUT SNORT SNORT project, http://www.snort.org/ SNORT for Windows http://www.datanerds.net/~mike/ Writing SNORT rules, http://www.snort.org/snort_rules.html FAQ, MANUAL PAGE, README, USAGE SNORT mailing-list Commercial SNORT Network Security Appliances http://www.sourcefire.com/

No PIG was harmed during the making of this presentation