Modul 6 Portsentry Dan Honeypot
Transcript of Modul 6 Portsentry Dan Honeypot
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
1/31
Intrusion Detection System
Muhammad Zen S. Hadi
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
2/31
etwor ntrus on etect on
Memahasi dasar intrusion detection systems (portsentry) Memahami dasar honeypot
2
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
3/31
rewa a a u up
Tidak semua akses melalui firewall Ada beberapa aplikasi yang memang diloloskan
o e rewa e , ma ,
Tidak semua ancaman berasal dari luar firewall,
Firewall kadang merupakan object serangan
yang bisa mendeteksi ancaman yang tidak bisadiproteksi oleh firewall
3
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
4/31
o prevent ve
IDS IPS
Honeypots
firewall
4
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
5/31
ntrus on etect on ystem
Examining system logs (host based) Examining network traffic (network based)
A Combination of the two
Implementation:
5
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
6/31
ntrus on revent on ystem
Upgrade application Active reaction (IDS = passive)
Implementation: portsentry
6
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
7/31
engert an
IDS kepanjangan Intrusion Detection System Sistem untuk mendeteksi dan merespons adanya
“ ” “ ”
Pendeteksian bisa dilakukan sebelum, selama dan
sesudah kejadian. er ete s se e um, ma a sa me a u an t n a an
pencegahan
Terdeteksi selama : bisa diputuskan untuk diblok dan alarm
er e e s se e a : me a a a yang m u an IDS mengumpulkan info dari dari berbagai sistem dan
source network kemudian melakukan analisa terhadapn o ts sesua engan ru e yang su a tetap an
7
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
8/31
engert an ont…
Intrusion Didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect,
inappropriate yang terjadi di jaringan atau di host
Attempted Break-ins Masquerade attacks
Penetration of Security Control Systems
Denial of Service Malicious Use
Anomaly merupakan Traffic/aktivitas yang tidak sesuai
gn po cy: akses dari/ke host yang terlarang memiliki content terlarang (virus)
../..;cmd.exe )
8
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
9/31
ntrus on etect on ystem
Intrusion detection adalah proses notifikasi ketikaseseorang ingin masuk ke sebuah sistem.
a egor ar so ware n se u n rus on e ec onsystems (IDS)
paket melakukan port scan.
Tool yang lebih kompleks dari PortSentry adalah Linux
, a au , yang apa meru a nux erne
9
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
10/31
Detection
Penggunaan yang disarankan untuk tool intrusiondetection :
mengecek security holes.
Selanjutnya, gunakan PortSentry untuk melihat host luar yang.
Gunakan LIDS untuk mengamankan file system anda, sehinggaseseorang yang ingin untuk masuk ke server akan mempunyai
.
10
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
11/31
as c ntrus on etect on
TargetSystem
IntrusionDetectionMonitor
espon
11
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
12/31
ntrus on etect on ystem
Port : Pelabuhan Sentry : Penjaga
PortSentry adalah sebuah perangkat lunak yang dirancang untuk mendeteksi adanya port scanning &
meres onds secara aktif ika ada ort scannin secarareal time
portsentry – mencegah portscan
Jalankan sebagai daemon pada host yang terproteksi, hal iniakan mendengarkan ke port TCP/UDP dan akan memblok
scannin host dari server an terkoneksi.
12
Untuk implementasi : http://sourceforge.net/projects/sentrytools/
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
13/31
or en ryhttp://www.psionic.com/products/portsentry.html.
13
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
14/31
at orm ort entry
FreeBSD Open BSD
Linux
14
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
15/31
euntungan ort entry
Deteksi portscan TCP/UDP berbasis host-based dan mengaktifkan sistem pertahanan
Deteksi Stealth scan
Bereaksi ke portscan dengan memblok host Internal state engine untuk mengingat host
yang terkoneksi sebelumnya
Semua kejadian akan disimpan ke syslog
15
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
16/31
e urangan ort entry
Portsentry dibinding ke port sehingga diperlukanpengecekan menyeluruh
a apa men e e s spoo ng
16
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
17/31
mana ort entry eta an
Dibelakang Firewall Dibelakang tiap host yang dilindungi
17
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
18/31
EEPIS Secure Network
18
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
19/31
ture ort entry
Mendeteksi scan Melakukan aksi terhadap host yg melakukan pelanggaran
Mengemail admin system bila di integrasikan denganLogcheck/LogSentry
19
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
20/31
s yang a u an ort entry Stealth settin ????
Melogging semua pelanggaran di syslog danmengindikasikan nama system, waktu serangan, IP mesinpenyerang, por empa serangan a u an.
Menambahkan entry untuk penyerang di /etc/hosts.deny
tcpwrapper
20
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
21/31
e on guras ort entry
e e c por sen ry por sen ry.conmerupakan konfigurasi utama portsentry. Disini secara bertahapdiset port mana saja yang perlu di monitor, responds apa yangharus di lakukan ke mesin yang melakukan portscan, mekanismemenghilangkan mesin dari routing table, masukan ke host.deny.
file /etc/default/ ortsentr set mode deteksi yang dilakukan portsentry.
Semakin baik mode deteksi yang dipilih (advanced stealth,
semakin rewel karena sedikit-sedikit akan memblokir mesin.
file /etc/portsentry/portsentry.ignores an a ress yang per u a a an
21
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
22/31
en a an an portsentry
/usr/sbin/portsentry /etc/init.d/portsentry start
-
portsentry -tcp (normal scan detection)
ortsentr -sud normal stealth scan detection portsentry -stcp (normal stealth scan detection)
portsentry -audp (advanced stealth scan detection)
por sen ry -a cp a vance s ea scan e ec on
22
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
23/31
on guras ort entry Un-comment these if you are really anal:
" _ , , , , , , , , , , , , , , ,
12,513,514,515,540,635,1080,1524,2000,2001,[..]#UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,[..]
# # Use these if you just want to be aware:TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,[..]UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,3
, , , , , , ,
# # Use these for just bare-bones#TCP_PORTS="1,11,15,110,111,143,540,635,1080,1524,2000,12345,12346 20034 32771 32772 32773 32774 49724 54320"
#UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,31337,54321"
23
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
24/31
oc ng ost
file /etc/portsentry/portsentry.conf Blocking dengan iptables :
KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s$TARGET$ -j DROP“
KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"
24
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
25/31
a tar og erangan
/etc/hosts.deny /etc/portsentry/portsentry.blocked.atcp
/etc/portsentry/portsentry.blocked.audp
/etc/portsentry/portsentry.history
25
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
26/31
utput ort entry
Sep 19 01:50:19 striker portsentry[129]:attackalert: \ Host 192.168.0.1 has been blockedvia dropped route using command: \ "/sbin/ipfw
add 1 deny all from ". . . . . .
Sep 19 01:50:19 striker portsentry[129]:
192.168.0.1/192.168.0.1 to TCP port: 9 Sep 1901:50:19 striker ortsentr 129 : attackalert: \Host: 192.168.0.1 is already blocked. Ignoring
26
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
27/31
oneypot
Merupakan sebuah resource yang berpura-pura menjadisebuah target real, yang diharapkan untuk diserang.
u uan u amanya : membelokkan attacker dari serangan ke productive system
mendapatkan informasi tentang jenis-jenis serangan danpenyerang.
Penempatan honeypot
Penempatan honeypot pada DMZ
27
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
28/31
(http://www.honeynet.org)
28
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
29/31
rtua oneynet
Implement VMware
n erne
Host Operating System
Guest OS Guest OS Guest OS
29
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
30/31
pe oneypot
g n erac on oneypo
adalah sistem yang mengoperasikan Sistem Operasi
sebuah sistem operasi/host yang siap untuk dieksploitasi
Low Interaction Honeypotmensimulasikan sebuah sistem operasi dengan service-service tertentu(misalnya SSH,HTTP,FTP) atau dengan
secara keseluruhan, service yang berjalan tidak bisadieksploitasi untuk mendapatkan akses penuh terhadaponeypo .
30
-
8/20/2019 Modul 6 Portsentry Dan Honeypot
31/31
u uan oneypot
Early Detection Pendeteksian ancaman baru
Mengenal si attacker (know your enemy)
Menyelamatkan sistem
engacau an po a r a ac er
Membangun pertahanan
31