1 / 39

# whoami

# whoami. Information Security Engineer Natural Born Junker OpenSource Developer FreeBSD Project OpenBSD Project High Quality Jomblo nanosleep(2); “will hack for bandwidth ” ... you name it. overview. Mengenal tipikal attacks Mengenal fase-fase terjadinya sebuah attack

booth
Download Presentation

# whoami

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. # whoami • Information Security Engineer • Natural Born Junker • OpenSource Developer • FreeBSD Project • OpenBSD Project • High Quality Jomblo • nanosleep(2); • “willhackforbandwidth” • ... • you nameit

  2. overview • Mengenal tipikal attacks • Mengenal fase-fase terjadinya sebuah attack • Membangun sistim pertahanan yang baik • Pengenalan security tools dan eksploit

  3. the facts! • Vulnerability Scanning di Internet sering kali terjadi dan terus meningkat jumlahnya • Tidak diimbangi dengan peningkatan Network & Host security • Semakin banyak komputer yang konek ke Internet • Tidak ada resep mujarab untuk menulis Secure Software • Dimungkinkan untuk meningkatkan kemampuan infrastruktur menghadapi “musuh”

  4. hacking: pro & contra • Etika hacking • pro: semua informasi adalah free • kontra: jika semua informasi adalah free, tidak ada lagi privacy • Aspek security • pro: “intrusion” adalah ilustrasi kelemahan sistim • kontra: tidak perlu jadi pencuri untuk menunjukkan pintu yang tidak terkunci • Idle machines • pro: hacking hanya pada idle machines • kontra: “idle machines” milik siapa? • Science education • pro: hanya membobol tapi tidak merusak • kontra: “hacker wannabe” berpotensi sangat besar untuk merusak

  5. ethical hacking, what for? • Melihat network security dari sudut pandang “attackers” • Meningkatkan kewaspadaan staff IT terhadap bahaya yang mungkin terjadi setiap waktu • Membangun desain network yang cenderung aman • Merencanakan langkah antisipasi terhadap setiap insiden

  6. typical of attacks (1/4) • Buffer Overflow Attacks • Victim adalah aplikasi yang ditulis dengan tidak baik • Memanfaatkan kesalahan programming untuk mengeksekusi sisipan code • Dapat dieksploitasi secara remote atau local, tergantung aplikasi • Spesifik pada Processor & Operating System tertentu • Denial of Service • Menjadikan service tidak dapat dipergunakan • Target DoS: • koneksi jaringan penghubung antar service dan user • sistim operasi yang digunakan • aplikasi yang menyediakan service

  7. typical of attacks (2/4) • Distributed Denial of Service (DDoS) Attacks • Sama seperti DoS, namun menggunakan banyak hosts untuk menyerang satu target • Hosts yang digunakan untuk menyerang biasanya hosts yang telah berhasil dikuasai • Eksekusi DDoS dilakukan secara bersama-sama (menggunakan master hosts) • Efek yang ditimbulkan lebih berbahaya

  8. typical of attacks (3/4) • Penyalahgunaan Trust • Hanya berlaku pada jaringan berskala kecil dan menggunakan tipikal arsitektur jaringan yang lama • Memanfaatkan trust antar hosts / systems • Sulit dibedakan antara intruder dan user biasa • Brute Force Attacks • Secara berulang melakukan percobaan otentifikasi • Menebak username dan password • Cracking password file

  9. typical of attacks (4/4) • CGI/WWW Attacks • Terbagi dalam 3 (tiga) kategori: • buffer overflow: tidak melakukan validasi pada user input • command execution: dapat mengeksekusi perintah tambahan • subverting client-side scripting: dapat dimanfaatkan untuk mengeksekusi buffer overflow dan command execution disisi client • Backdoors & Trojans • Memperdayai user atau sysadmin untuk memberikan password mereka tanpa diketahui • Dapat berupa program yang umum dikenal dan sering digunakan sehingga tidak menimbulkan kecurigaan

  10. attack phases (1/3) • Fase persiapan • mengumpulkan informasi sebanyak-banyaknya • secara pasif • via Internet Registries (informasi domain, IP Address) • website yang menjadi target • mailing list / newsgroup • secara aktif • scanning • mengolah informasi yang didapat • membuat “map” dari network target • menentukan host yang paling lemah • mengaudit source-code dari service yang diduga vulnerable dan membuat eksploitnya • mencari eksploit yang sudah tersedia di Internet

  11. attack phases (2/3) • Fase eksekusi • melakukan testing di localhost • eksploitasi pada remote services yang vulnerable • network level services • network devices (router/gateway) • host level services • exploitasi daemon yang menjalankan services

  12. attack phases (3/3) • Fase post-attack • menginstal backdoor/rootkit/trojan • mengawasi dan memastikan target telah “berubah” sesuai dengan yang diinginkan • menjadikan target yang telah dikuasai sebagai “zombie” untuk menyerang target yang lainnya

  13. ouch!! (1/2) Web Defacement

  14. ouch!! (2/2) DDoS Attack

  15. the “primbon” of network defense • Components of a secure network architecture • Incident Management & Response • Security Checklist

  16. components of a secnet arch. • Network Segmentation • Firewalls • Classification • Authentification • Encryption • Intrusion Detection System • Host-Based Security

  17. network segmentation • Sekurang-kurangnya memiliki satu DMZ (Demilitarized Zone) network • terletak diantara hostile outside network dan internal network • semakin tinggi “tingkatan” network, jumlah DMZ semakin banyak • DMZ mengandung sistim yang dapat diakses oleh publik: webserver, mailserver, dsb • terlindungi dari outside network oleh firewall, dimonitor oleh Intrusion Detection System, dan dibatasi aksesnya oleh authentification methods.

  18. firewalls (1/2) • Tipe firewall: • Packet Filtering Routers/Firewalls • membatasi source & destination address dari setiap network packet • Proxy/Circuit Level Gateway Firewalls • media dari user requests pada level koneksi dengan syarat user harus terkoneksi terlebih dahulu ke firewall • firewall akan melanjutkan koneksi request tersebut ke destination address • Application Proxy Firewalls • pengembangan proxy/circuit level gateway pada level aplikasi

  19. firewalls (2/2) • Kontrol firewall: • Permitted services • services yang boleh melintasi firewall harus dibatasi pada aplikasi yang benar-benar diijinkan • Restricted communication flow • komunikasi langsung harus dibatasi dan dikontrol oleh firewall • Access control • akses user dibatasi, darimana dan mau kemana • Network Address Translation (NAT) • NAT memungkinkan internal network address tersembunyi • Control Messages • memungkinkan firewall untuk tidak mereply scanning terhadap suatu protokol atau mengirimkan pesan seperti: “host unreachable”, “port unavailable”, “time exceeded”, dsb

  20. firewall topologies (1/4)

  21. firewall topologies (2/4)

  22. firewall topologies (3/4)

  23. firewall topologies (4/4)

  24. firewall products • Commercial • Ascend, http://www.ascend.com/ • Cisco PIX, http://www.cisco.com/ • Firewall-1, http://www.checkpoint.com/ • Netscreen, http://www.netscreen.com/ • ...dll • Free/OpenSource • IP Filter, http://coombs.anu.edu.au/~avalon/ • IPFW, http://www.freebsd.org/doc/en/books/handbook/firewalls.html • IP Tables, http://www.netfilter.org/ • Packet Filter (PF), http://www.benzedrine.cx/pf.html • ...dll

  25. classification • Data, sistim, dan network harus terklasifikasi dalam terminologi: • confidentiality • intergrity • availability • critical to a organization • Sebagai tindak-lanjut, organisasi harus mendokumentasikan policies dan prosedur untuk mengidentifikasi setiap klasifikasi data

  26. authentification • authentification berarti mengidentifikasi object seperti user, aplikasi, sistim, dsb • jika proses identifikasi berjalan lancar, object tersebut dapat diijinkan melintasi network dan kemudian dimonitor • metode authentification beragam, mulai dari sistim berbasis password sampai biometric

  27. encryption • merupakan bagian terpenting terlebih jika confidentiality menjadi isu utama • umumnya, enkripsi hanya melindungi pada proses transit • pada implementasi yang lebih secure, data yang telah disimpan pada tujuan akhir juga dienkrip

  28. intrusion detection system (1/3) • IDS mencari tanda-tanda penggunaan dan akses ilegal pada network • NIDS, Network IDS, memeriksa tipe dan konten network packets • HIDS, Host-based IDS, memeriksa log sistim dan aktifitas • Penggunaan akses ilegal dapat diketahui dengan metode: • misuse detection, dengan mencari “signatures” yang sudah dikenali • anomali detection, dengan mengamati perilaku yang tidak wajar oleh user atau aktifitas aplikasi

  29. intrusion detection system (2/3) • Pertimbangan penggunaan NIDS • sebaiknya menggunakan 2 NIC untuk mengawasi traffic (passive sniffing) dan mengirimkan alert ke IDS management console • jika sensor yang disebar berjumlah banyak, penggunaan IDS Balancer dapat membantu mempercepat proses reporting

  30. intrusion detection system (3/3) • Pertimbangan penggunaan HIDS • sebaiknya ditempatkan pada host yang dinilai berisiko tinggi; banyak diakses oleh user atau aktifitas aplikasi yang cukup tinggi • dikonfigurasi agar dapat melakukan full auditing dan activity logging • dialokasikan ekstra memory dan disk space • memiliki sistim authentifikasi dan encryption yang baik

  31. IDS products • Commercial • NFR HID, http://www.nfr.com/products/HID/ • NFR NID, http://www.nfr.com/products/NID/ • Entercept, http://www.clicknet.com/products/entercept/ • Snare, http://www.intersectalliance.com/projects/Snare/index.html • Bro, http://www.icir.org/vern/bro-manual/entire.html • Dragon IDS, http://www.enterasys.com/products/ids/ • ...dll • Free/OpenSource • Snort, http://www.snort.org/ • Prelude IDS, http://www.prelude-ids.org/ • Swatch, ftp://ftp.stanford.edu/general/security-tools/swatch • Snips, http://www.navya.com/software/snips/ • ...dll

  32. host-based security • sebagai perlindungan terakhir dalam network protection • melibatkan unsur operating system dan applications • selalu up-to-date • sinkronisasi waktu antar host yang satu dengan yang lain (memudahkan auditing) • aktifasi logging & full auditing

  33. incident mgt & response (1/3) • siap-siaga terhadap insiden • mendefinisikan tugas dan tanggung-jawab personil yang akan menangani insiden • edukasi dan training • skenario testing dan validasi data • alerting • menentukan potensi source alerts • laporan dan notifikasi • menentukan metode pelaporan dan logging alerts • menentukan metode hubungan antar alerts • investigasi awal • mengambil langkah awal investigasi • memilah insiden yang terjadi berdasarkan faktor emergency

  34. incident mgt & response (2/3) • memutuskan dan mengalokasikan sumber-daya • deklarasi emergency • menentukan koordinator lapangan • menentukan langkah hukum yang perlu diambil jika dibutuhkan • respon • investigasi lebih dalam • isolasi • secara hukum • komunikasi

  35. incident mgt & response (3/3) • recovery • pembasmian rootkits, trojans atau malware kits lainnya yang tertinggal • restorasi • mengatasi kemungkinan terulangnya insiden • bahasan yang harus dipelajari • dokumentasi • proses update • analisis dampak finansial • kebutuhan staff • anggaran dana • kualitas dalam Information Security

  36. security checklist • metode update operating system dan applications • dukungan update vendor atau developer • kemudahan dalam mengupdate • konfigurasi • hanya menjalankan services yang benar-benar perlu dan digunakan • networking • posisi “mesin” dalam network • policy yang diterapkan • sistim monitoring dan tools tambahan • implementasi IDS • security audit secara berkala

  37. tanya jawab • Printable version: • http://corebsd.or.id/talks/network-defense-bcc-expo-03.pdf

More Related