modul 6 portsentry dan honeypot

8/20/2019 Modul 6 Portsentry Dan Honeypot

1/31

Intrusion Detection System

Muhammad Zen S. Hadi


2/31

etwor ntrus on etect on

Memahasi dasar intrusion detection systems (portsentry) Memahami dasar honeypot

2


3/31

rewa a a u up

Tidak semua akses melalui firewall Ada beberapa aplikasi yang memang diloloskan

o e rewa e , ma ,

Tidak semua ancaman berasal dari luar firewall,

Firewall kadang merupakan object serangan

yang bisa mendeteksi ancaman yang tidak bisadiproteksi oleh firewall

3


4/31

o prevent ve

IDS IPS

Honeypots

firewall

4


5/31

ntrus on etect on ystem

Examining system logs (host based) Examining network traffic (network based)

A Combination of the two

Implementation:

5


6/31

ntrus on revent on ystem

Upgrade application Active reaction (IDS = passive)

Implementation: portsentry

6


7/31

engert an

IDS kepanjangan Intrusion Detection System Sistem untuk mendeteksi dan merespons adanya

“ ” “ ”

Pendeteksian bisa dilakukan sebelum, selama dan

sesudah kejadian. er ete s se e um, ma a sa me a u an t n a an

pencegahan

Terdeteksi selama : bisa diputuskan untuk diblok dan alarm

er e e s se e a : me a a a yang m u an IDS mengumpulkan info dari dari berbagai sistem dan

source network kemudian melakukan analisa terhadapn o ts sesua engan ru e yang su a tetap an

7


8/31

engert an ont…

Intrusion Didefinisikan sebagai kegiatan yang bersifat anomaly, incorrect,

inappropriate yang terjadi di jaringan atau di host

Attempted Break-ins Masquerade attacks

Penetration of Security Control Systems

Denial of Service Malicious Use

Anomaly merupakan Traffic/aktivitas yang tidak sesuai

gn po cy: akses dari/ke host yang terlarang memiliki content terlarang (virus)

../..;cmd.exe )

8


9/31


Intrusion detection adalah proses notifikasi ketikaseseorang ingin masuk ke sebuah sistem.

a egor ar so ware n se u n rus on e ec onsystems (IDS)

paket melakukan port scan.

Tool yang lebih kompleks dari PortSentry adalah Linux

, a au , yang apa meru a nux erne

9


10/31

Detection

Penggunaan yang disarankan untuk tool intrusiondetection :

mengecek security holes.

Selanjutnya, gunakan PortSentry untuk melihat host luar yang.

Gunakan LIDS untuk mengamankan file system anda, sehinggaseseorang yang ingin untuk masuk ke server akan mempunyai

.

10


11/31

as c ntrus on etect on

TargetSystem

IntrusionDetectionMonitor

espon

11


12/31


Port : Pelabuhan Sentry : Penjaga

PortSentry adalah sebuah perangkat lunak yang dirancang untuk mendeteksi adanya port scanning &

meres onds secara aktif ika ada ort scannin secarareal time

portsentry – mencegah portscan

Jalankan sebagai daemon pada host yang terproteksi, hal iniakan mendengarkan ke port TCP/UDP dan akan memblok

scannin host dari server an terkoneksi.

12

Untuk implementasi : http://sourceforge.net/projects/sentrytools/


13/31

or en ryhttp://www.psionic.com/products/portsentry.html.

13


14/31

at orm ort entry

FreeBSD Open BSD

Linux

14


15/31

euntungan ort entry

Deteksi portscan TCP/UDP berbasis host-based dan mengaktifkan sistem pertahanan

Deteksi Stealth scan

Bereaksi ke portscan dengan memblok host Internal state engine untuk mengingat host

yang terkoneksi sebelumnya

Semua kejadian akan disimpan ke syslog

15


16/31

e urangan ort entry

Portsentry dibinding ke port sehingga diperlukanpengecekan menyeluruh

a apa men e e s spoo ng

16


17/31

mana ort entry eta an

Dibelakang Firewall Dibelakang tiap host yang dilindungi

17


18/31

EEPIS Secure Network

18


19/31

ture ort entry

Mendeteksi scan Melakukan aksi terhadap host yg melakukan pelanggaran

Mengemail admin system bila di integrasikan denganLogcheck/LogSentry

19


20/31

s yang a u an ort entry Stealth settin ????

Melogging semua pelanggaran di syslog danmengindikasikan nama system, waktu serangan, IP mesinpenyerang, por empa serangan a u an.

Menambahkan entry untuk penyerang di /etc/hosts.deny

tcpwrapper

20


21/31

e on guras ort entry

e e c por sen ry por sen ry.conmerupakan konfigurasi utama portsentry. Disini secara bertahapdiset port mana saja yang perlu di monitor, responds apa yangharus di lakukan ke mesin yang melakukan portscan, mekanismemenghilangkan mesin dari routing table, masukan ke host.deny.

file /etc/default/ ortsentr set mode deteksi yang dilakukan portsentry.

Semakin baik mode deteksi yang dipilih (advanced stealth,

semakin rewel karena sedikit-sedikit akan memblokir mesin.

file /etc/portsentry/portsentry.ignores an a ress yang per u a a an

21


22/31

en a an an portsentry

/usr/sbin/portsentry /etc/init.d/portsentry start

-

portsentry -tcp (normal scan detection)

ortsentr -sud normal stealth scan detection portsentry -stcp (normal stealth scan detection)

portsentry -audp (advanced stealth scan detection)

por sen ry -a cp a vance s ea scan e ec on

22


23/31

on guras ort entry Un-comment these if you are really anal:

" _ , , , , , , , , , , , , , , ,

12,513,514,515,540,635,1080,1524,2000,2001,[..]#UDP_PORTS="1,7,9,66,67,68,69,111,137,138,161,162,474,513,517,518,635,640,641,666,700,2049,31335,27444,34555,[..]

# # Use these if you just want to be aware:TCP_PORTS="1,11,15,79,111,119,143,540,635,1080,1524,2000,5742,6667,12345,12346,20034,27665,31337,32771,32772,[..]UDP_PORTS="1,7,9,69,161,162,513,635,640,641,700,37444,34555,3

, , , , , , ,

# # Use these for just bare-bones#TCP_PORTS="1,11,15,110,111,143,540,635,1080,1524,2000,12345,12346 20034 32771 32772 32773 32774 49724 54320"

#UDP_PORTS="1,7,9,69,161,162,513,640,700,32770,32771,32772,32773,32774,31337,54321"

23


24/31

oc ng ost

file /etc/portsentry/portsentry.conf Blocking dengan iptables :

KILL_ROUTE="/usr/local/sbin/iptables -I INPUT -s$TARGET$ -j DROP“

KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"

24


25/31

a tar og erangan

/etc/hosts.deny /etc/portsentry/portsentry.blocked.atcp

/etc/portsentry/portsentry.blocked.audp

/etc/portsentry/portsentry.history

25


26/31

utput ort entry

Sep 19 01:50:19 striker portsentry[129]:attackalert: \ Host 192.168.0.1 has been blockedvia dropped route using command: \ "/sbin/ipfw

add 1 deny all from ". . . . . .

Sep 19 01:50:19 striker portsentry[129]:

192.168.0.1/192.168.0.1 to TCP port: 9 Sep 1901:50:19 striker ortsentr 129 : attackalert: \Host: 192.168.0.1 is already blocked. Ignoring

26


27/31

oneypot

Merupakan sebuah resource yang berpura-pura menjadisebuah target real, yang diharapkan untuk diserang.

u uan u amanya : membelokkan attacker dari serangan ke productive system

mendapatkan informasi tentang jenis-jenis serangan danpenyerang.

Penempatan honeypot

Penempatan honeypot pada DMZ

27


28/31

(http://www.honeynet.org)

28


29/31

rtua oneynet

Implement VMware

n erne

Host Operating System

Guest OS Guest OS Guest OS

29


30/31

pe oneypot

g n erac on oneypo

adalah sistem yang mengoperasikan Sistem Operasi

sebuah sistem operasi/host yang siap untuk dieksploitasi

Low Interaction Honeypotmensimulasikan sebuah sistem operasi dengan service-service tertentu(misalnya SSH,HTTP,FTP) atau dengan

secara keseluruhan, service yang berjalan tidak bisadieksploitasi untuk mendapatkan akses penuh terhadaponeypo .

30


31/31

u uan oneypot

Early Detection Pendeteksian ancaman baru

Mengenal si attacker (know your enemy)

Menyelamatkan sistem

engacau an po a r a ac er

Membangun pertahanan

31

modul 6 portsentry dan honeypot

Documents