Upload presentasi
Presentasi sedang didownload. Silahkan tunggu
Diterbitkan olehLiani Cahyadi Telah diubah "7 tahun yang lalu
2
TOPIK PRESENTASI Latar Belakang Apa itu SNORT?
Bagaimana menggunakan SNORT Desain dan Arsitektur SNORT
3
INTRUSION DETECTION Intrusion Detection, didefinisikan sebagai: “masalah mengidentifikasi akses individu yang menggunakan sebuah sistim komputer tanpa hak” Percobaan untuk masuk secara paksa juga harus teridentifikasi Intrusion Detection bukanlah Intrusion Prevention
4
POLICY Kesuksesan Intrusion Detection tidak hanya tergantung kepada teknologi, namun juga kepada policy dan management Security policy mendefinisikan apa yang boleh atau tidak boleh dilakukan Notifikasi Koordinasi dalam memberikan respon
5
PERKENALAN DENGAN SNORT
Apa itu SNORT? SNORT adalah multi-mode packet analysis tool Sniffer Packet Logger Forensic Data Analysis Tool Network Intrusion Detection System Darimana datangnya? Dibuat dan dikembangkan pertama kali oleh Martin Roesh, lalu menjadi sebuah opensource project. Versi komersial dibuat oleh SOURCEFIRE.
6
MATRIKS Berukuran kecil Source code dan rules untuk rilis hanya 2256k Portable untuk banyak OS telah diporting ke Linux, Windows, OSX, Solaris, BSD, IRIX, Tru64, HP-UX, dll Cepat mampu mendeteksi serangan pada 100Mbps network Mudah dikonfigurasi Free Opensource software with GPL license
7
DESAIN SNORT Packet sniffing yang “sangat ringan”
Sniffing interface berbasis libpcap Rules-based detection engine Memiliki plug-in systems menjadikannya sangat fleksibel
8
DETECTION ENGINE Memiliki signatures dalam bentuk rules
Memiliki elemen-elemen deteksi modular terkombinasi untuk membentuk signatures Memiliki kapabilitas deteksi yang sangat luas Stealth scans, OS fingerprinting, buffer overflows, shellcodes, backdoors, CGI exploits, SQL injections, dll Rules system sangatlah fleksibel, dan untuk membuat sebuah rules relatif sangat mudah
9
PLUG-INS Pre-Processor
Dilakukan analisis dan/atau manipulasi terhadap packets sebelum dikirimkan ke detection engine Detection Melakukan sebuah atau beberapa test pada sebuah bagian dari packet Output Memberikan report dan alert
10
PENGGUNAAN SNORT Standard packet sniffing Policy Enforcement
Honeypot monitor Scan detections
11
Statistical IDS (Snort)
IMPLEMENTASI NIDS Generic Server (Host-Based ID) Internet Firewall (Perimeter Logs) Filtering Router (Perimeter Logs) Statistical IDS (Snort) Network IDS (Snort)
12
MENGGUNAKAN SNORT Modus operasi utama Sniffer mode Packet Logger Mode
NIDS mode Forensic Data Analysis Mode Modus operasi yang dikonfigurasi dari CLI (Command Line Interface) SNORT akan secara otomatis masuk ke modus NIDS jika tidak diberikan command switches dan kemudian mencari serta menggunakan konfigurasi pada file snort.conf
13
SNIFFER MODE Bekerja seperti tcpdump
Melakukan dekoding terhadap packets dan menampilkan hasilnya ke stdout BPF filtering interface tersedia memilah-milah network traffic
14
TAMPILAN SNORT PACKET DUMP
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/09-11:12: :1032 -> :23 TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF ***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20 FF FC 23 FF FC 27 FF FC 24 FF FA E #..'..$....ANS 49 FF F I.. 11/09-11:12: :23 -> :1032 TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF ***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 20 0D 0A 0D 0A E 4F E 37 0D 0A 0D ....SunOS 00 0D 0A 0D
15
TAMPILAN TCPDUMP 11:16: > : P 16:34(18) ack 16 win 8760 (DF) (ttl 255, id 49913) a c2f ff06 a2b4 0a 0a cf9 e7f6 001a e050 c fffe 1fff fe23 fffe 27ff fe24 fffa 11:16: > : P 16:19(3) ack 34 win 8727 (DF) (ttl 128, id 57861) b e b8 0a 0a a e050 1cf9 e808 f fffc 1f
16
PACKET LOGGER MODE Menyimpan packets ke disk (harddisk, removeable disk) Pilihan packet logging Flat ASCII (teks), tcpdump format, XML, database (MySQL, MsSQL, ORACLE, dsb) Melakukan logging semua data dan kemudian diproses untuk mendeteksi aktivitas yang dicurigai
17
NIDS MODE Menggunakan semua fase-kerja SNORT & plug-ins’nya untuk menganalisa traffic agar mendeteksi penyalahgunaan dan anomalous activities Dapat melakukan deteksi portscanning, IP defragmentation, TCP stream reassembly, application layer analysis, normalisasi, dsb
18
NIDS MODE.. Pilihan output
Database MySQL, MsSQL, PostgreSQL, Oracle, unixODBC, dsb XML Tcpdump binary format Unified (snort specific) format ASCII (teks) syslog atau WinPopUp dsb
19
NIDS MODE.. Memiliki rules yang sangat banyak yang digunakan sebagai signature dari detection engine Modus deteksi yang beragam Rules (signature) Statistical anomaly Protocol verification
20
ARSITEKTUR SNORT v2.X Goals: Lebih cepat Lebih extensible
Protocol support yang lebih baik Lebih baik dalam menganalisa aktivitas network intrusion secara keseluruhan
21
SNORT v2.X PLUG-INS Fleksibilitas Akuisisi data Traffic decoders
Protokol analisis dan verifikasi Multi-path traffic flows, packets & streams Multi-format rules input Database, XML, dsb Detection engine yang plugable Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS
22
SNORT v2.X DETECTION ENGINE
content: “”foo”; content: “bar”; content: “baz”; alert tcp Dip: Dip: /24 Flags: A+; Sip: Dp: 80
23
SNORT v2.X PLUG-INS Fleksibilitas Akuisisi data Traffic decoders
Protokol analisis dan verifikasi Multi-path traffic flows, packets & streams Multi-format rules input Database, XML, dsb Detection engine yang plugable Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS
24
MORE ABOUT SNORT SNORT project, http://www.snort.org/
SNORT for Windows Writing SNORT rules, FAQ, MANUAL PAGE, README, USAGE SNORT mailing-list Commercial SNORT Network Security Appliances
25
No PIG was harmed during the making of this presentation
Presentasi serupa
© 2024 SlidePlayer.info Inc.
All rights reserved.