Pada saat merevuw

Review Questions
20.1 List and briefly define three classes of intruders.

 Dalam studi awal yang penting tentanG intrusi, Anderson [ANDE80] mengidentifikasi
tiga kelas penyusup :
• Masquerader: Seseorang yang tidak berwenang untuk menggunakan komputer dan
yang menembus kontrol akses sistem untuk mengeksploitasi akun pengguna yang sah.
• Misfeasor: Pengguna yang sah yang mengakses data, program, atau sumber daya untuk
yang akses tersebut tidak diotorisasi, atau yang berwenang untuk akses tersebut tetapi
menyalahgunakan hak istimewanya.
• Clandestine user : Seseorang yang mengambil kendali pengawasan sistem
dan menggunakan kontrol ini untuk menghindari audit dan kontrol akses atau untuk
menekan audit koleksi.

20.2 What are two common techniques used to protect a password file?

 File kata sandi dapat dilindungi di salah satu dua arah:

• One-way function: Sistem hanya menyimpan nilai fungsi berdasarkan pada kata sandi
pengguna. Ketika pengguna menyajikan kata sandi, sistem berubah kata sandi itu dan
membandingkannya dengan nilai yang disimpan. Dalam prakteknya, sistem biasanya
melakukan transformasi satu arah (tidak dapat dibatalkan) di mana kata sandi digunakan
untuk menghasilkan kunci untuk fungsi satu arah dan di mana fixed-length output tetap
diproduksi.
• Access control: Akses ke file kata sandi terbatas pada satu atau sangat sedikit akun.

20.3 What are three benefits that can be provided by an intrusion detection system?

 a. Jika gangguan.instruksi terdeteksi cukup cepat, penyusup dapat diidentifikasi dan

dikeluarkan dari sustem sebelum kerusakan terjadi atau data apapun yang
membahayakan. Bahkann jika pendeteksian tidak cukup tepat untuk mendahului
penyusup, semakin cepat instruksi terdeteksi, semakin sedikit jumlah kerusakan dan
semakin cepat recovery dapat dicapai.
b. Sistem pendeteksi instrusi yang efektif dapat berfungsi sebagai alat pencegah, sehingga
bertindak untuk mencegah ganguan/instrusi.
c. Instrusi detection/gangguan memungkinkan pengumpulan informasi tentang teknik
instrusi yang dapat digunakan untuk memperkuat fasilitas pencegahan instrusi.
20.4 What is the difference between statistical anomaly detection and rule-based intrusion
detection?

a. Statistical anomaly detection melibatkan pengumpulan data berkaitan dengan

prilaku pengguna yang sah selama jangka waktu tertentu. kemudian uji statistik
diterapkan pada prilaku yang diamati untuk menentukan dengan tingkat kepercayaan
yang tinggi apakan prilaku tersebut prilaku pengguna yang sah
b. rule-based detection melibatkan upaya untuk mendefinisikan seperangkat aturan
yang dapat digunakan untuk memutuskan bahwa perilau tertentu adalah perilaku
penyusup

20.5 What metrics are useful for profile-based intrusion detection?

 Contoh metrik yang berguna untuk profile-based intrusion detection :

a. Counter: Sebuah bilangan bulat non-negatif yang mungkin bertambah tetapi tidak
menurun disiarkan hingga disetel ulang oleh tindakan manajemen. Biasanya,
hitungan tertentu jenis acara disimpan selama periode waktu tertentu. Contohnya
termasuk jumlah login oleh pengguna tunggal selama satu jam, berapa kali
diberikan perintah dijalankan selama sesi pengguna tunggal, dan jumlah kegagalan
kata selama satu menit.
b. Gauge: Bilangan bulat positif yang dapat ditambah atau dikurangi. Biasanya,
pengukur digunakan untuk mengukur nilai saat ini dari beberapa entitas. Contohnya
termasuk jumlah koneksi logis yang ditugaskan untuk aplikasi pengguna dan
jumlah pesan keluar yang diantrekan untuk proses pengguna.
c. Timer interval: Panjang waktu antara dua peristiwa terkait. Contohnya adalah
lamanya waktu antara login yang berurutan dengan akun.
d. Resource utilization : Kuantitas sumber daya yang dikonsumsi selama yang
ditentukan periode. Contohnya termasuk jumlah halaman yang dicetak selama sesi
pengguna dan total waktu yang dikonsumsi oleh eksekusi program.
20.6 What is the difference between rule-based anomaly detection and rule-based
penetration identification?

 Rule-based anomaly detectionserupa dalam hal pendekatan dan kekuatannya

untuk deteksi anomali statistik. Dengan pendekatan berbasis aturan, audit historis
catatan dianalisis untuk mengidentifikasi pola penggunaan dan untuk menghasilkan
aturan otomatisyang menggambarkan pola-pola itu. Aturan dapat mewakili pola perilaku
pengguna sebelumnya,program, hak istimewa, slot waktu, terminal, dan sebagainya.
Perilaku saat inidiamati, dan setiap transaksi dicocokkan dengan kumpulan aturan untuk
menentukan apakah itusesuai dengan pola perilaku yang diamati secara historis.

Rule-based penetration identification mengambil pendekatan yang

Sangat berbeda terhadap intrusion detection.Fitur utama dari system tersebut adalah
penggunaan aturan untuk mengidentifikasi dikenal penetrasi atau penetrasi yang akan
mengeksploitasi kelemahan yang diketahui. Aturan dapat juga didefinisikan bahwa
mengidentifikasi perilaku yang mencurigakan, bahkan ketika perilaku tersebut dalam
batas-batas pola maupun penggunaan.Biasanya, aturan yang digunakan dalam ini system
khusus untuk mesin dan system operasi.

20.7 What is a honeypot?

 Honeypots adalah sistem umpan yang dirancang untuk memikat penyerang potensial
dari critical systems.

20.8 What is a salt in the context of UNIX password management?

 Salt dikombinasikan dengan kata sandi pada input kerutinitas enkripsi satuarah.

20.9 List and briefly define four techniques used to avoid guessable passwords.

 4 Teknik yang bisadigunakan :

1. User Education : pengguna dapat diberitahu pentingnya menggunakan kata sandi

yang sulit ditebakdan dapat diberikan pedoman untuk memilih kata sandi yang kuat.
2. Computer Generated Password : penggunadiberikan kata sandi yang dihasilkan
oleh algoritma computer.
3. Reactive Password Checking : system secara berkala menjalankan cracker password
sendiri untuk menemukan kata sandi yang dapat ditebak dan memberitahu pengguna..
4. Proactive Password Checking : pengguna diizinkan memilih kata sandi sendiri.
Namun padasaat seleksi, system memeriksa untuk melihat apakah kata sandi
diperbolehk anatau tidak, jika tidak maka kata san ditersebut di tolak.
PROBLEMS

1. Tidak mungkin bagi host tujuan untuk menyelesaikan reassembly dari paket jika fragmen
pertama hilang, karena itu seluruh paket akan dibuang oleh tujuan setelah waktu habis.

2. Ketika paket TCP terfragmentasi sehingga memaksa header yang menarik keluar dari fragmen
nol-offset, harus ada fragmen dengan FO sama dengan 1. Jika paket dengan FO = 1 terlihat,
sebaliknya, itu bisa menunjukkan keberadaan, dalam set fragmen, dari fragmen zero-offset
dengan panjang transport header delapan oktet. Membuang fragmen satu-offset ini akan
memblokir reassembly di host penerima dan seefektif metode langsung yang telah di jelaskan

3. Jika modul pemfilter router memberlakukan offset fragmen minimum untuk fragmen yang
memiliki titik nol non zero-offset, ini dapat mencegah tumpang tindih di wilayah parameter filter
transport header.

4. Tujuan dari aturan "no write down", no write down property adalah untuk mengatasi masalah
perangkat lunak Trojan horse. Dengan no write down properti, informasi tidak dapat
dikompromikan melalui penggunaan Trojan Horse. Di bawah properti ini, program yang
beroperasi atas nama satu pengguna tidak dapat digunakan untuk memberikan informasi
kepada setiap pengguna yang memiliki kelas akses yang lebih rendah atau yang disatukan.

5. Drake tidak berwenang untuk membaca string secara langsung, sehingga aturan yang tidak
dibaca akan mencegah hal ini. Demikian pula, Drake tidak berwenang untuk menetapkan tingkat
keamanan sensitif terhadap back-pocket file, sehingga dapat dicegah juga.