N t
Network
k IIntrusion
t i Detection
D t ti
Fi
Firewall
ll S
Saja
j Tdk C
Cukup
k
D S preventive
DoS
ti
IDS
IPS
Honeypots
firewall
I t i Detection
Intrusion
D t ti System
S t
(IDS)
snort
I t i Prevention
Intrusion
P
ti System
S t
(IPS)
Upgrade application
Active reaction (IDS = passive)
Implementation:
portsentry
P
Pengertian
ti IDS
Terdeteksi
T
d k i sebelum,
b l
maka
k bi
bisa melakukan
l k k tindakan
i d k
pencegahan
Terdeteksi selama : bisa diputuskan untuk diblok dan alarm
Terdeteksi
T d t k i setelah
t l h : melihat
lih t akibat
kib t yang ditimbulkan
diti b lk
P
Pengertian
ti IDS (C
(Cont)
t )
Intrusion
Attempted Break-ins
Masquerade attacks
Penetration of Security Control Systems
Leakage
Denial of Service
Malicious Use
I t i Detection
Intrusion
D t ti System
S t
(IDS)
10
B i IIntrusion
Basic
t i D
Detection
t ti
Target
y
System
Respond
Monitor Intrusion
Detection
System
Report
11
I t i Detection
Intrusion
D t ti System
S t
IDS
Port : Pelabuhan
Sentry : Penjaga
P S
PortSentry
adalah
d l h sebuah
b h perangkat
k llunak
k yang di
rancang untuk mendeteksi adanya port scanning &
meresponds
p
secara aktif jjika ada p
port scanning
g secara
real time
PortSentry
P
tS t
http://www.psionic.com/products/portsentry.html.
13
Pl tf
Platform
Port
P t Sentry
S t
FreeBSD
Open BSD
Linux
14
K
Keuntungan
t
Port
P t Sentry
S t
Deteksi
15
K k
Kekurangan
Port
P t Sentry
S t
16
Di
Dimana
P
Portt S
Sentry
t Dil
Diletakkan
t kk
Dibelakang Firewall
Dibelakang tiap host yang dilindungi
17
18
Fit
Fiture
PortSentry
P tS t
Mendeteksi scan
Melakukan aksi terhadap host yg melakukan pelanggaran
Mengemail admin system bila di integrasikan dengan
Logcheck/LogSentry
19
Ak i yang dil
Aksi
dilakukan
k k P
Portt S
Sentry
t
Stealth setting
g ????
Melogging semua pelanggaran di syslog dan
mengindikasikan nama system, waktu serangan, IP mesin
penyerang, TCP / UDP portt tempat
t
t serangan dilakukan.
dil k k
Menambahkan entry untuk penyerang di /etc/hosts.deny
Mengeblok akses ke sistem berbasis iptables atau
tcpwrapper
20
Fil K
File
Konfigurasi
fi
iP
PortSentry
tS t
fil //etc/portsentry/portsentry.conf
file
t / t
t / t
t
f
merupakan konfigurasi utama portsentry. Disini secara bertahap
diset port mana saja yang perlu di monitor, responds apa yang
harus di lakukan ke mesin yang melakukan portscan, mekanisme
menghilangkan mesin dari routing table, masukan ke host.deny.
file /etc/default/portsentry
p
y
file /etc/portsentry/portsentry.ignore
i ik IP address
isikan
dd
yang perlu
l di abaikan
b ik
21
M j l k portsentry
Menjalankan
t
t
/usr/sbin/portsentry
/etc/init.d/portsentry start
portsentry -udp
udp (normal scan detection)
portsentry -tcp (normal scan detection)
portsentry
p
y -sudp
p ((normal stealth scan detection))
portsentry -stcp (normal stealth scan detection)
portsentry -audp (advanced stealth scan detection)
portsentry
t
t -atcp
t (advanced
( d
d stealth
t lth scan d
detection)
t ti )
22
K fi
Konfigurasi
iP
Portt S
Sentry
t
23
Bl ki H
Blocking
Hostt
file /etc/portsentry/portsentry.conf
Blocking dengan iptables :
KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s
$TARGET$ -j DROP
Blocking dengan tcpwrapper :
KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"
24
D ft Log
Daftar
L S
Serangan
/etc/hosts.deny
/etc/portsentry/portsentry.blocked.atcp
/etc/portsentry/portsentry.blocked.audp
/etc/portsentry/portsentry.history
25
O t t PortSentry
Output
P tS t
H
Honeypot
t
Penempatan honeypot
27
Honeypots
(http://www.honeynet.org)
28
Vi t l H
Virtual
Honeynett
Implement
I t
Internet
t
VMware
29
Ti Honeypot
Tipe
H
t
High
Hi
h IInteraction
t
ti H
Honeypott
adalah sistem yang mengoperasikan Sistem Operasi
penuh sehingga penyerang akan melihatnya sebagai
sebuah sistem operasi/host yang siap untuk dieksploitasi
Low Interaction Honeypot
mensimulasikan sebuah sistem operasi dengan serviceservice tertentu(misalnya SSH,HTTP,FTP) atau dengan
kata lain sistem yang bukan merupakan sistem operasi
secara keseluruhan, service yang berjalan tidak bisa
dieksploitasi untuk mendapatkan akses penuh terhadap
h
honeypot.
t
30
T j
Tujuan
H
Honeypott
Early Detection
Pendeteksian ancaman baru
Mengenal si attacker (know your enemy)
Menyelamatkan sistem
M
Mengacaukan
k pola
l fiki
fikir attacker
tt k
Membangun pertahanan
Mencegah proses hacking
31