Pengenalan network security ver 1

Pengenalan network security

Harry Adinanta, GCFW,CISSP,CISM.

Monday, March 19, 12

HARRY ADINANTA 2012 | @ADINANTA

AGENDA

Network Fundamental

Perangkat Network: Fungsi & vulnerability

Penetration Test & Metodologi

Network Penetration Test: Teknik & Tools

Demo Network hacking & Countermeasure



NETWORK FUNDAMENTAL



TYPE NETWORK

LAN (Local Area Network) - Menghubungkan perangkat IT yang lokasinya berdekatan satu sama lainnya

WAN (Wide Area Network) - Menghubungkan LAN yang memiliki jarak fisik yang jauh

WLAN (Wireless LAN) - LAN yang berbasis wireless atau nirkabel

MAN (Metropolitan Area Network) - Lebih besar dari LAN namun lebih kecil dari WAN



TOPOLOGI NETWORK

BUS - BIASANYA DIGUNAKAN OLEH 10BASE-2 & 10BASE-5 NETWORK DIMANA SELURUH PERANGKAT DALAM NETWORK MENGGUNAKAN SINGLE BACKBONE UNTUK BERKOMUNIKASI

RING - SETIAP PERANGKAT MENGIRIMKAN DATA MELALUI PERANGKAT DISEBELAHNYA DIMANA SEMUA PERANGKAT SALING TERSAMBUNG MEMBENTUK RING

STAR - SELURUH PERANGKAT TERSAMBUNG KE CENTRAL HUB/SWITCH

TREE - MENGGABUNGKAN STAR DAN BUS TOPOLOGI

MESH - SETIAP PERANGKAT MEMILIKI KONEKSI TAMBAHAN UNTUK KEPERLUAN REDUNDANCY



NETWORK PROTOCOL

MEKANISME & STANDAR YANG MENGATUR BAGAIMANA COMPUTER NETWORK BERKOMUNIKASI

SAMA SEPERTI BAHASA YANG DIGUNAKAN OLEH MANUSIA UNTUK BERKOMUNIKASI

PROTOKOL MENDEFINISIKAN FORMAT, URUTAN DATA & PARAMETER LAINNYA YANG AKAN DIKOMUNIKASIKAN OLEH SETIAP PERANGKAT

PROTOCOL JUGA MENGATUR BAGAIMANA SETIAP PERANGKAT MERESPON “STREAM OF DATA”



OSI PROTOCOL STACK

OSI MERUPAKAN STANDAR INTERNASIONAL YANG MENDEFINISIKAN KARAKTERISTIK SISTEM KOMUNIKASI DATA DALAM BENTUK ABSTRAK

OSI MODEL MEMBAGI KOMUNIKASI NETWORK MENJADI 7 LAYER

MODEL & SPESIFIKASI YANG DIGUNAKAN UNTUK MEMBUAT SEBUAH NETWORK PROTOCOL KECUALI PROTOCOL TCP/IP YANG SUDAH MEMILIKI MODEL TERSENDIRI



OSI PROTOCOL STACK

APPLICATION

PRESENTATION

SESSION

TRANSPORT

NETWORK

DATA LINK

PHYSICAL



TCP/IP PROTOCOL STACK

TCP/IP - TRANSMISSION CONTROL PROTOCOL / INTERNET PROTOCOL

NETWORK PROTOKOL YANG DIGUNAKAN OLEH INTERNET DAN JUGA OLEH SEBAGIAN BESAR NETWORK INTERNAL

BERBEDA DENGAN OSI, TCP/IP HANYA MEMILIKI 4 LAYER DAN LEBIH SIMPLE

IMPLEMENTASI TCP/IP PROTOCOL STACK SEBENARNYA TIDAK JAUH BERBEDA DENGAN OSI MODEL

OSI PROTOCOL STACK MERUPAKAN MODEL GENERIK YANG BIASA DIGUNAKAN UNTUK MENDESIGN PROTOCOL LAINNYA

SEMENTARA TCP/IP PROTOCOL STACK HANYA MODEL YANG DIGUNAKAN UNTUK PROTOCOL YANG BERBASIS TCP/IP



PROTOCOL STACK TCP/IP

APPLICATION

TRANSPORT (TCP)

INTERNET (IP)

NETWORK



OSI & TCP/IP

APPLICATION

PRESENTATION

SESSION

TRANSPORT

NETWORK

DATA LINK

PHYSICAL

APPLICATION

TRANSPORT (TCP)

INTERNET (IP)

NETWORK



STRUKTUR PACKET TCP/IP

DATA (PAYLOAD)

DATA (PAYLOAD)

TCP HEADER

DATA (PAYLOAD)

TCP HEADER

IP HEADER

DATA (PAYLOAD)

TCP HEADER

IP HEADER

ETHERNET HEADER

APPLICATION LAYER

TRANSPORT LAYER

INTERNET LAYER

NETWORK LAYER


Network Layer(Data Link & Physical)



NETWORK FRAME

DATA PACKET YANG TELAH MELEWATI SETIAP TAHAPAN PROTOCOL STACK AKAN DI SPLIT MENJADI BEBERAPA BAGIAN NETWORK FRAME SEBELUM AKHIRNYA DITRANSFER MENGGUNAKAN FISIK MEDIA NETWORK

SEBUAH DATA PAKET BIASANYA TERDIRI DARI BEBERAPA NETWORK FRAME

CONVERSI INI DI LAKUKAN PADA DATALINK LAYER DARI PROTOCOL STACK

BESAR MAXIMUM PAYLOAD SEBUAH FRAME DALAM MEDIA NETWORK ETHERNET ADALAH 1500 BYTE + 14 BYTE ETHERNET HEADER +4 BYTE ETHERNET TRAILER



ETHERNET NETWORK FRAME

8 BYTE

PREAMBLEDESTINATION

MAC ADDRESS

SOURCE MAC

ADDRESS

6 BYTE 6 BYTE

ETHER TYPE

2 BYTE 1500 BYTE

TRAILER (CRC)

4 BYTE

ETHER TYPE

Value Type0x0800 IP Version 40x86DD IP Version 60x0806 ARP0x8037 IPX0x809B Apple Talk

IPHEADER

TCPHEADER

DATAPAYLOAD

ETHERNET HEADER



CONTOH ETHERNET FRAME ETHERNET FRAME DESTINATION MAC ADDRESS

RAW PACKET

INTERPRETASIDARI RAW PACKET

DESTINATION MAC ADDRESS- 6 BYTE

KESELURUHAN ETHERNET HEADER: 8 BYTE + 14 BYTE

ETHER TYPE = IP


Internet Layer (IP)



INTERNET PROTOCOL (IP)

PROTOCOL YANG BEKERJA PADA LAYER INTERNET DALAM STACK TCP/IP

BERTUGAS UNTUK MENGATUR TRANSMISI DATA PACKET SEPERTI MELAKUKAN ROUTING

IP BERIKUT DENGAN PROTOCOL PADA LAYER TRANSPORT SEPERTI TCP & UDP MEMBANTU APLIKASI NETWORK UNTUK DAPAT BERKOMUNIKASI

JARANG SEKALI APLIKASI NETWORK MENGGUNAKAN IP SECARA STAND-ALONE TANPA BANTUAN PROTOCOL PADA TRANSPORT LAYER



IP HEADER

SOURCE: HTTP://LEARN-NETWORKING.COM/TCP-IP/HOW-THE-INTERNET-LAYER-WORKS


http://learn-networking.com/tcp-ip/how-the-internet-layer-works

http://learn-networking.com/tcp-ip/how-the-internet-layer-works


TRANSPORT PROTOCOL PADA IP HEADER

IP HEADER SELALU DITAMBAHKAN PADA DATA PACKET YANG MENGGUNAKAN IP

IP HEADER MENGIDENTIFIKASI BERBAGAI INFORMASI YANG DIGUNAKAN UNTUK KEPERLUAN TRANSMISI PACKET YANG SALAH SATUNYA ADALAH BERKAITAN DENGAN TRANSMISSION PROTOCOL YANG DIGUNAKAN

JENIS PROTOCOL YANG DIGUNAKAN DAPAT DITEMUKAN PADA BYTE 9



TRANSPORT PROTOCOL PADA IP HEADER

Binary value Decimal value Hex value Tipe protocol

0000 0110 6 6 TCP

0001 0001 17 11 UDP

0000 0001 1 1 ICMP



CONTOH IP PACKET

PROTOCOL: TCP TERLIHAT PADA BYTE KE 9

KESELURUHAN IP HEADER

VERSI IP DAN PANJANG HEADER (5X32=160 BIT=20 BYTE



INTERNET PROTOCOL SOCKET

DIGUNAKAN UNTUK MENGIDENTIFIKASI SETIAP KONEKSI ANTAR APLIKASI

SOCKET MEMBERIKAN INFORMASI PADA IP STACK DIMANA SEBUAH DATA STREAM DIALOKASIKAN AGAR DAPAT DIGUNAKAN OLEH APLIKASI YANG RELAVAN

SEBUAH SOCKET TERDIRI DARI INFORMASI BERIKUT

SOURCE IP ADDRESS

SOURCE PORT NUMBER

DESTINATION IP ADDRESS

DESTINATION PORT NUMBER


Transport Layer



TRANSPORT LAYER PADA TCP/IP STACK

UDP - USER DATAGRAM PROTOCOL

TCP - TRANSPORT CONTROL PROTOCOL

ICMP - INTERNET CONTROL PROTOCOL

IGMP - INTERNET GROUP MANAGEMENT PROTOCOL

ESP - ENCAPSULATING SECURITY PAYLOAD

DAN LAIN-LAINNYA

PROTOCOL YANG AKAN DIBAHAS DALAM MATERI INI



UDP - USER DATAGRAM PROTOCOL

CONNECTIONLESS PROTOCOL DIMANA PENGIRIM PACKET DATA (SENDER) TIDAK MEMBUAT KONEKSI KHUSUS DENGAN PENERIMA (SENDER)

SENDER TIDAK MELAKUKAN CHECK UNTUK MEMASTIKAN PACKET DATA SAMPAI KE PENERIMA DALAM KEADAAN UTUH DAN BERATURAN (ERROR CHECKING)

PROTOCOL YANG SANGAT EFISIEN DAN CEPAT KARENA KECILNYA OVERHEAD

UMUM DIGUNAKAN PADA NETWORK DENGAN TINGKAT RELIABILITAS TINGGI

MEMILIKI FUNGSI CHECKSUM YANG SIMPLE NAMUN MERUPAKAN OPTIONAL

ERROR CHECKING YANG MEMADAI DAPAT DILAKUKAN NAMUN HANYA PADA LEVEL APLIKASI



CONTOH APLIKASI YANG MENGGUNAKAN UDP

DNS (DOMAIN NAME SERVICE)

SNMP (SIMPLE NETWORK MANAGEMENT PROTOCOL)

DHCP (DYNAMIC HOST CONFIGURATION PROTOCOL)

NTP (NETWORK TIME PROTOCOL)

APLIKASI VOICE & VIDEO

DAN LAIN-LAIN



UDP PORT

SEPERTI DIJELASKAN SEBELUMNYA, IP PROTOCOL STACK MENGGUNAKAN SOCKET UNTUK MENGIDENTIFIKASI SETIAP CONNECTION

UDP, PROTOCOL YANG MENGGUNAKAN IP PROTOCOL STACK HARUS MEMILIKI SOURCE & DESTINATION PORT AGAR BERFUNGSI DENGAN BAIK

UDP PORT NUMBER DAPAT DIMULAI DARI 1 SAMPAI 65,535 NAMUN ANGKA YANG DAPAT DIGUNAKAN UNTUK SETIAP APLIKASI UMUM SUDAH DIATUR OLEH IANA

BEBERAPA UDP PORT

DNS - 53

SNMP - 161

NTP - 123



UDP HEADER

UDP SOURCE PORT UDP DESTINATION PORT

UDP MSG LENGTH UDP CHECKSUM

DataData

0 16 31



CONTOH UDP PACKET

UDP SOURCE PORTKESELURUHAN UDP

HEADER



TCP - TRANSMISSION CONTROL PROTOCOL

CONNECTION-ORIENTED PROTOCOL DIMANA PENGIRIM (SENDER) TERLEBIH DAHULU MEMBENTUK CONNECTION DENGAN PENERIMA (RECEIVER) SEBELUM PACKET DATA DIKIRIM

CONNECTION INI UMUMNYA DIKENAL SEBAGAI VIRTUAL CONNECTION ATAU SESSION

BERBEDA DENGAN UDP, TCP DIDESIGN UNTUK MEMASTIKAN DATA PACKET SAMPAI DAN DITERIMA DENGAN BAIK OLEH RECIEVER

BERJALAN DENGAN BAIK DALAM KONDISI NETWORK YANG KURANG RELIABLE



TCP HANDSHAKE

SOURCE: HTTP://WWW.CISCO.COM


http://nmap.org

http://nmap.org


TCP PORT

SAMA DENGAN UDP, TCP PORT JUGA DAPAT MENGGUNAKAN PORT 1 SAMPAI 65,535

PORT UNTUK APLIKASI YANG UMUM SUDAH DITENTUKAN OLEH IANA

BEBERAPA APLIKASI YANG MENGGUNAKAN PORT TCP

HTTP - 80

HTTPS - 443

FTP - 21

FTP-DATA - 20

SSH 22



TCP HEADER

SOURCE: HTTP://NMAP.ORG


http://nmap.org

http://nmap.org


CONTOH TCP PACKET

KESELURUHAN TCP HEADER

TCP SOURCE PORT

TCP FLAG



ICMP - INTERNET CONTROL MESSAGE PROTOCOL

BERBEDA DENGAN TCP & UDP, ICMP BEKERJA PADA LAYER NETWORK DAN BUKAN SEBAGAI TRANSPORT PROTOCOL

PROTOCOL YANG DIGUNAKAN OLEH TCP, UDP & IP UNTUK MEMANTAU KONDISI NETWORK BERIKUT DENGAN STATUS SERTA ERROR MESSAGE YANG BERKAITAN DENGAN STATUS TRANSMISI PACKET DATA

TIDAK DIGUNAKAN UNTUK MEMBAWA DATA/INFORMATION PAYLOAD

ICMP DAPAT DISALAHGUNAKAN OLEH HACKERS UNTUK MEMBAWA DATA PACKET YANG BERBAHAYA



ICMP HEADER

SOURCE: HTTP://NMAP.ORG


http://nmap.org

http://nmap.org


CONTOH ICMP PACKET

ICMP HEADER= 8 BYTE

ICMP TYPE



PERANGKAT NETWORK: FUNGSI & VULNERABILITY



ROUTER

PERANGKAT YANG BERFUNGSI SEBAGAI PENGHUBUNG ANTAR SEGMENT NETWORK

MEMILIKI ROUTING TABLE YANG DIGUNAKAN UNTUK MENENTUKAN BAGAIMANA MENTRASFER SEBUAH DATA PACKET DARI SUATU NETWORK KE NETWORK LAINNYA

MENGGUNAKAN STATIC ROUTE ATAU DYNAMIC ROUTE (I.E RIP, OSPF, IGRP,EIGRP,BGP,ETC) UNTUK MEMBANGUN ROUTING TABLE

BEKERJA DI LAYER NETWORK PADA OSI MODEL

SECARA DEFAULT TIDAK MEMPERKENANKAN PACKET BROADCAST UNTUK MELINTAS ANTAR SEGMENT NETWORK



KELEMAHAN UMUM ROUTER

DYNAMIC ROUTING PROTOCOL YANG BERTUGAS MELAKUKAN UPDATE TERHADAP ROUTING TABLE MEMUNGKINKAN UNTUK DIINJEKSI OLEH ATTACKER DENGAN INFORMASI ROUTE YANG MEMUNGKINKAN MEREKA UNTUK MENGONTROL SUATU NETWORK

ATTACK TERHADAP DYNAMIC ROUTING DAPAT DILAKUKAN DENGAN MEN-SPOOF MAC/IP ADDRESS SUATU ROUTER YANG IKUT SERTA DALAM GROUP DYNAMIC ROUTING

ROUTER YANG MEMPERBOLEHKAN “IP SOURCE ROUTING” DAPAT BERPOTENSI DIMANFAATKAN OLEH ATTACKER UNTUK MEM-BYPASS FIREWALL, MENG-CAPTURE NETWORK PACKET DAN JUGA MENGONTROL PENUH PERANGKAT ROUTER

FITUR PROXY-ARP DAPAT DIGUNAKAN OLEH ATTACKER UNTUK MENDAPATKAN INFORMASI MENGENAI NETWORK, GATEWAY DAN ROUTER



SWITCH

BERFUNGSI MENGHUBUNGKAN KOMPUTER & PERANGKAT NETWORK LAINNYA SEHINGGA MEMBENTUK SEBUAH SEGMENT NETWORK

BERBEDA DENGAN ROUTER, SWITCH BEKERJA PADA LAYER DATA-LINK (OSI) SEHINGGA TIDAK DAPAT DIGUNAKAN UNTUK MENGHUBUNGKAN NETWORK SEGMENT YANG BERBEDA

MEMANFAATKAN INFORMASI MAC ADDRESSES DARI SETIAP PERANGKAT YANG TERSAMBUNG UNTUK MENENTUKAN BAGAIMANA MENTRANSFER PACKET DATA DARI SUATU PORT KE PORT LAINNYA

TIDAK SEPERTI HUB, SWITCH MENTRASFER PACKET DATA DARI SUATU PERANGKAT LANGSUNG KE PERANGKAT YANG DITUJU TANPA HARUS MENGIRIMKANNYA KE SELURUH PERANGKAT MELALUI MEKANISME BROADCAST



KELEMAHAN UMUM SWITCH

ARP SPOOFING - ATTACKER MENGIRIM ARP PACKET YANG TELAH DIMODIFIKASI KE SWITCH DIMANA MAC ADDRESS ATTACKER DIASOSIASIKAN DENGAN IP ADDRESS PERANGKAT YANG INGIN DI SERANG (KORBAN) AGAR SWITCH MENGIRIMKAN PACKET DATA YANG SEHARUSNYA DITUJUKAN UNTUK KORBAN KE ATTACKER

ATTACKER MENGEXPLOITASI KELEMAHAN SNMP PADA SWITCH AGAR DAPAT MENGONTROL PENUH SWITCH TERSEBUT

ATTACKER MENGEXPLOITASI TFTP SERVICE UNTUK MENDOWNLOAD KONFIGURASI SWITCH

ATTACKER MELAKUKAN SNIFFING PACKET DATA MELALUI MEKANISME ARP SPOOFING



FIREWALL

MERUPAKAN PROGRAM/PERANGKAT NETWORK YANG UMUMNYA DITEMPATKAN DI NETWORK GATEWAY (GERBANG YANG MEMISAHKAN NETWORK INTERNAL & EXTERNAL)

BERFUNGSI MELINDUNGI INTERNAL NETWORK DARI AKSES YANG TIDAK SAH (UNAUTHORIZED ACCESS) YANG BERASAL DARI EXTERNAL NETWORK

JUGA BERFUNGSI MELINDUNGI INTERNAL NETWORK DALAM MENGAKSES PERANGKAT NETWORK & ICT LAINNYA YANG BERADA DI EXTERNAL NETWORK

TERDAPAT 3 TIPE FIREWALL

PACKET FILTERING - BEKERJA DI LEVEL NETWORK LAYER

APPLICATION FIREWALL - BEKERJA DI LEVEL APPLICATION LAYER

STATEFUL INSPECTION -BEKERJA DI LEVEL NETWORK LAYER NAMUN DAPAT MENGANALISA PACKET DATA SAMPAI KE LAYER APPLICATION. MENGGUNAKAN STATE TABLE UNTUK MEMASTIKAN SETIAP PACKET DATA YANG LEWAT MERUPAKAN PACKET YANG DIHARAPKAN DARI SETIAP KONEKSI YANG MASIH AKTIF



KELEMAHAN FIREWALL

BERPOTENSI UNTUK DI DDOS (DISTRIBUTED DENIAL OF SERVICE) MENGGUNAKAN METODE SYN ATTACK, SMURF, TEARDROP, DLL YANG MENYEBABKAN MEMORY FIREWALL PENUH ATAU KEGAGALAN LAINNYA SEHINGGA TIDAK DAPAT BERFUNGSI SEBAGAIMANA MESTINYA

FIREWALL BIASANYA BEROPERASI DENGAN KONSEP “FAIL-CLOSED” DIMANA APABILA ADA KEGAGALAN SOFTWARE/HARDWARE MAKA SELURUH KONEKSI BAIK DARI INTERNET KE EXTERNAL MAUPUN SEBALIKNYA AKAN TERPUTUS

FIREWALL EVADING - ATTACKER DAPAT MENGHINDARI AKSES CONTROL YANG DITERAPKAN FIREWALL DENGAN CARA MEMBUAT VIRTUAL LINK LANGSUNG KE SISTEM KORBAN (TARGET)



PENETRATION TEST & METHODOLOGY



PENETRATION TEST

AKTIFITAS SAH & RESMI DALAM MENCARI & KEMUDIAN MENGEXPLOTASI KELEMAHAN/VULNERABILITY PADA SISTEM DENGAN TUJUAN MEMBUAT SISTEM TERSEBUT LEBIH AMAN DIKEMUDIAN HARI

TEKNIS SERTA METODE YANG DIGUNAKAN HAMPIR SAMA SEPERTI YANG DIGUNAKAN OLEH HACKERS

PELAKSANAAN NYA HARUS TERLEBIH DAHULU DISETUJUI OLEH PEMILIK SISTEM (SYSTEM OWNER) DAN JUGA MANAGEMENT PERUSAHAAN SEBAGAI BENTUK LEGALITAS DARI AKTIFITAS INI

LAPORAN & HASIL TEMUAN DARI AKTIFITAS INI MERUPAKAN INFORMASI YANG RAHASIA DAN HANYA BOLEH DIKETAHUI OLEH MANAGEMENT DAN SYSTEM OWNER



METHODOLOGI



INFORMATION GATHERING

Mencari Informasi target yang tersedia di publik/Internet

Keberadaan web site & Public service lainnya WHOIS & DNS Enumeration yang dilakukan dari luar jaringan untuk

Mendapatkan informasi mapping IP Address dan Hosts. Informasi terkait konfigurasi serta prilaku(Behaviour) zone transfer

Passive Information Gathering

Melakukan scanning menemukan informasi seperti IP Address, services/ports, konfigurasi

yang terperinci, versi operating system, dll

Mencari policies dan rules yang digunakan oleh Firewall Mendapat gambaran mengenai access controll restriction

Active Information Gathering



INFORMATION GATHERING

Banner Grabbing Mencari Informasi tipe dan versi servis yang berjalan pada sistem

Melakukan scanningmenemukan informasi seperti IP Address, services/ports, konfigurasi

yang terperinci, versi operating system, dll

Mengidentifikasi seluruh target yang berpotensi memiliki kelemahanAktifitas penetration test yang lebih terarah dan terukur

Melakukan pemetaan Infrastruktur bedaraskan hasil Information Gathering

Mendapatkan Pemetaan taget yang pasti/jelas untuk kegiatan selanjutnya

Active Information Gathering Continued..



VULNERABILITY IDENTIFICATION

Memverifikasi keberadaan system serta channel communication (port) yang terbuka. Type aplikasi dan jenis service yang berjalan dapat di indentifikasi dalam proses ini

TCP Scan UDP Scan Perimeter avoidance scan

Port Scanning

Medapatkan versi Operating system atau versi firmware dari network device / systems

Active OS Fingerprinting Passive OS Fingerprinting

OS Fingerprint



VULNERABILITY IDENTIFICATION

Mengidentifikasi Vulnerability dari OS/firmaware dan service/layanan yang berjalan menggunakan hasil dari proses sebelumnya

Analisa dan mengindentifikasi vulnerability melalui Informasi yang tersedia pada http://nvd.nist.gov/

Membuat laporan sementara

Identification



VULNERABILITY VERIFICATION

Mendapatkan Kepastian akan celah keamanan yang ada dan kemungkinan eksploitasinya dengan menggunakan software scanner berikut

Nessus OpenVas

Verification

Mengidentifikasi exploit code yang sudah tersedia menggunakan peralatan berikut

www.milw0rm.org Metasploit Framework

• Membuat custom exploit code

Mengidentifikasi & membuat Exploit Code



EXPLOITATION & PRIVILEDGE

Melakukan exploitasi terhadap target dengan Informasi vulnerabilities yang sudah ditemukan dan kemudian melakukan hal berikut

Mengakses Informasi sensitive Melakukan ARP Spoofing, MITM, data interception, brute force,

encryption cracking, etc (Aktifitas exploitasi dilakukan berdasarkan teknology yang digunakan.

Exploitation

Meningkatkan hasil dari eksploitasi, misal mendapatkan akses Adminsitrator/root apabila belum, mengambil alih seluruh jaringan/infrastruktur dengan mendapatkan credentials pada server

Privilege Escalation



REPORT

Draft Report mencakup

Executive Summary High level Positive & false-positive findings Level Resiko Deskripsi lengkap findings Impact Rekomendasi

Draft Report

Draft report yang sudah melalui proses review baik oleh security consultant dan juga sistem owner akan menjadi Final Report

Tingkat kerahasian Final Report adalah sangat rahasia.

Final Report



NETWORK PENETRATION TEST: TEKNIK & TOOLS



NETWORK PENETRATION TEST

Information Gathering

• Tujuan: Mengidentifikasi remote host

• Hasil yang diharapkan: a. Informasi domain registrationb. IP address range

• Teknik:Melakukan search di Internet, memeriksa registrasi domain,

mendapatkan BLok IP Address

• Tools:Whois, dig, search engine (google), ping, traceroute, etc




Finger printing/Foot printing

• Tujuan: Memperoleh informasi detil tentang remote host

• Hasil yang diharapkan: a. Tipe OS remote serverb. Aplikasi yang berjalan di remote server

• Teknik:Melakukan port scanning terhadap Block IP address untuk mendapatkan

host yang aktif/server, melakukan service scan untuk mendapatkan service/layanan/aplikasi yang aktif, melakukan OS fingerprinting untuk mendapatkan jenis dan versi OS

• Tools:nmap, nessus (specific configuration), whois, dig




Networking

• Tujuan: Kombinasi dari data collection, information gathering, dan policy control

• Hasil yang diharapkan: a. Local network/subnet discoveryb. Topology mappingc. Host IP list

• Teknik:melakukan ip scan untuk mencari network device, melakukan scanning specific

network device, mencari informasi IP address dan ISP

• Tools:nmap, nessus (specific configuration), whois, dig




Service Indication

• Tujuan: Port scanning dan menemukan service yang dapat diakses

• Hasil yang diharapkan: a. Port yang open, close, atau difilterb. Identifikasi services

• Teknik:Melakukan port scanning untuk mengetahui apakah port open, colse atau di

filter oleh firewall, dengan berbagai teknik scanning menggunakan nmap

• Tools:nmap, thc-amap, scapy




Evading Firewall Rules

• Tujuan: Teknik untuk menghindari firewall digunakan untuk mem-bypass reles di firewall

• Hasil yang diharapkan: a. Pemetaan rules konfigurasi firewallb. Partial access ke devices di belakang firewall

• Teknik:Melakukan scanning dengan fragmentation dan teknik2 lain untuk membypass

firewall, melakukan specific scan agar tidak mentrigger IDS/IPS

• Tools:nmap, scapy, thc-amap




Exploiting Service

• Tujuan: Menemukan kelemahan remote host yang diexploit

• Hasil yang diharapkan: a. Data intercept, packet sniffing, atau packet hijacking

• Teknik:Teknik bruteforcing terhadap layanan yang mengijinkan otentikasi username/

password, sniffing, melakukan eksplotasi service yang berjalan seperti smtp, snmp, dsb, memeriksa versi OS dari server dan firmware dari network device dan mencari celahnya dari vulnerability database.

• Tools: thc-hydra, ciscoglobal exploiter, cisco-torch, selfmade script, metasploit.




Configuration Review

• Tujuan: Menemukan kelemahan remote host yang diexploit

• Hasil yang diharapkan: a.versi OS, versi service pack dan patch yang terinstallb. konfigurasi dari server/network device apakah telah sesuai dengan security

best practice

• Teknik:Teknik yang dilakukan adalah dengan memeriksa versi os/firmaware, service

pack, versi aplikasi yang terinstall, konfigurasi server, user, password, dsb

• Tools:MBSA, nessus (with credentials), nipper




Report

• Tujuan: Pembuatan report

• Hasil yang diharapkan: a.Preliminary Report

• Isi Laporan:Positive & false-positive findingsLevel ResikoDeskripsi lengkap findings ImpactRekomendasi



DEMO NETWORK HACKING & COUNTERMEASURE



SNIFFING FTP USER PASSWORD

FTP USER FTP SERVER

ATTACKER

1.ATTACKER DALAM STATE “PROMISCUOUS MODE” SIAP MENANGKAP SELURUH PACKET DATA YANG MELEWATI MEDIA SHARED NETWORK (HUB/SWITCH DENGAN PORT MIRROR)2.FTP USER MEMBUAT KONEKSI KE FTP SERVER3.PROSES TCP HANDSHAKE BERLANGSUNG4.FTP SERVER MENANYAKAN USERNAME DAN PASSWORD5.FTP USER MULAI MEMASUKAN INFORMASI YANG DIMINTA6.FTP SERVER MEMPROSES AUTHENTIKASI DAN KONEKSI (SESSION) ANTAR USER DAN SERVER TERBENTUK 7.ATTACKER MENDAPATKAN SELURUH PACKET DATA YANG TERKIRIM PADA PROSES DIATAS DAN KEMUDIAN MULAI MEMBACA PACKET DATA PAYLOAD UNTUK MELIHAT USERNAME DAN PASSWORD

SHARED NETWORK



COUNTERMEASURE

MENGGUNAKAN PROTOCOL SFTP (SECURED FILE TRANSFER PROTOCOL):

1. FTP CLIENT DAN SERVER FTP HARUS TERLEBIH DAHULU MEMILIKI APLIKASI SFTP

2. SFTP CLIENT DAN SERVER SFTP SALING BERTUKAR PUBLIC KEY MELALUI APLIKASI SFTP DAN KEMUDIAN MENYEPAKATI ENCRYPTION KEY YANG AKAN DIGUNAKAN DALAM BERKOMUNIKASI. MEKANISME ENCRYPTION INI BEKERJA PADA LAYER APPLICATION (OSI PROTOCOL STACK)

3. USER FTP MELALUI SFTP CLIENT MEMASUKAN INFORMASI SEPERTI USERNAME DAN PASSWORD UNTUK KEPERLUAN AUTHENTICATION YANG KEMUDIAN DI-ENCRYPT MENGGUNAKAN PUBLIC KEY SERVER SFTP SEBELUM DITRANSFER KE SERVER TERSEBUT

4. SFTP SERVER MELAKUKAN DECRYPTION TERHADAP INFORMASI YANG DITRANSFER OLEH SFTP CLIENT MENGGUNAKAN PRIVATE KEY SERVER

5. HAL SEBALIKNYA TERJADI SAAT SERVER SFTP MULAI MENTRANSFER PACKET DATA KE SFTP CLIENT

6. HANYA PACKET DATA SFTP SAJA YANG SELALU TERENCRYPT



COUNTERMEASURE

MENGGUNAKAN IPSEC (INTERNET PROTOCOL SECURITY):

1. FTP CLIENT & SERVER FTP TIDAK HARUS MENGGUNAKAN APLIKASI SFTP

2. NAMUN KOMPUTER FTP CLIENT & SERVER FTP HARUS MEMILIKI PROTOCOL IPSEC YANG BEKERJA PADA LAYER NETWORK (OSI PROTOCOL STACK)

3. FTP CLIENT & SERVER FTP SALING BERTUKAR PUBLIC KEY MELALUI IPSEC DRIVER DAN KEMUDIAN MENYEPAKATI TIPE ENCRYPTION YANG AKAN DIGUNAKAN DALAM BERKOMUNIKASI

4. SETIAP DATA PACKET YANG DIKIRIMKAN OLEH FTP CLIENT AKAN TERLEBIH DAHULU DI ENCRYPT MENGGUNAKAN PUBLIC KEY FTP SERVER SEBELUM DITRANSFER KE SERVER TERSEBUT

5. HAL SEBALIKNYA TERJADI SAAT FTP SERVER MENTRANSFER DATA PACKET KE FTP CLIENT

6. FTP CLIENT & FTP SERVER AKAN SELALU MENGENCRYPT SELURUH PACKET DATA TERMASUK PACKET DATA YANG TIDAK BERHUBUNGAN DENGAN FTP KARENA PROSES ENCRYPTION & DECRYPTION TERJADI PADA LAYER NETWORK MENGGUNAKAN IPSEC DRIVER


Pengenalan network security ver 1

Technology

Transcript of Pengenalan network security ver 1