1 / 25

TOPIK PRESENTASI

TOPIK PRESENTASI. Latar Belakang Apa itu SNORT? Bagaimana menggunakan SNORT Desain dan Arsitektur SNORT. INTRUSION DETECTION. Intrusion Detection, didefinisikan sebagai: “masalah mengidentifikasi akses individu yang menggunakan sebuah sistim komputer tanpa hak”

nirav
Download Presentation

TOPIK PRESENTASI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. TOPIK PRESENTASI • Latar Belakang • Apa itu SNORT? • Bagaimana menggunakan SNORT • Desain dan Arsitektur SNORT

  2. INTRUSION DETECTION • Intrusion Detection, didefinisikan sebagai:“masalah mengidentifikasi akses individu yang menggunakan sebuah sistim komputer tanpa hak” • Percobaan untuk masuk secara paksa juga harus teridentifikasi • Intrusion Detection bukanlah Intrusion Prevention

  3. POLICY • Kesuksesan Intrusion Detection tidak hanya tergantung kepada teknologi, namun juga kepada policy dan management • Security policymendefinisikan apa yang boleh atau tidak boleh dilakukan • Notifikasi • Koordinasi dalam memberikan respon

  4. PERKENALAN DENGAN SNORT • Apa itu SNORT? • SNORT adalah multi-mode packet analysis tool • Sniffer • Packet Logger • Forensic Data Analysis Tool • Network Intrusion Detection System • Darimana datangnya? • Dibuat dan dikembangkan pertama kali oleh Martin Roesh, lalu menjadi sebuah opensource project. Versi komersial dibuat oleh SOURCEFIRE.

  5. MATRIKS • Berukuran kecil Source code dan rules untuk rilis 2.1.1 hanya 2256k • Portable untuk banyak OStelah diporting ke Linux, Windows, OSX, Solaris, BSD, IRIX, Tru64, HP-UX, dll • Cepatmampu mendeteksi serangan pada 100Mbps network • Mudah dikonfigurasi • FreeOpensource software with GPL license

  6. DESAIN SNORT • Packet sniffing yang “sangat ringan” • Sniffing interface berbasis libpcap • Rules-based detection engine • Memiliki plug-in systems menjadikannya sangat fleksibel

  7. DETECTION ENGINE • Memiliki signatures dalam bentuk rules • Memiliki elemen-elemen deteksi modular terkombinasi untuk membentuk signatures • Memiliki kapabilitas deteksi yang sangat luas • Stealth scans, OS fingerprinting, buffer overflows, shellcodes, backdoors, CGI exploits, SQL injections, dll • Rules system sangatlah fleksibel, dan untuk membuat sebuah rules relatif sangat mudah

  8. PLUG-INS • Pre-Processor • Dilakukan analisis dan/atau manipulasi terhadap packets sebelum dikirimkan ke detection engine • Detection • Melakukan sebuah atau beberapa test pada sebuah bagian dari packet • Output • Memberikan report dan alert

  9. PENGGUNAAN SNORT • Standard packet sniffing • Policy Enforcement • Honeypot monitor • Scan detections

  10. IMPLEMENTASI NIDS Generic Server (Host-Based ID) Internet Firewall (Perimeter Logs) Filtering Router (Perimeter Logs) Statistical IDS (Snort) Network IDS (Snort)

  11. MENGGUNAKAN SNORT • Modus operasi utama • Sniffer mode • Packet Logger Mode • NIDS mode • Forensic Data Analysis Mode • Modus operasi yang dikonfigurasi dari CLI (Command Line Interface) • SNORT akan secara otomatis masuk ke modus NIDS jika tidak diberikan command switches dan kemudian mencari serta menggunakan konfigurasi pada file snort.conf

  12. SNIFFER MODE • Bekerja seperti tcpdump • Melakukan dekoding terhadap packets dan menampilkan hasilnya ke stdout • BPF filtering interface tersedia memilah-milah network traffic

  13. TAMPILAN SNORT PACKET DUMP =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/09-11:12:02.954779 10.1.1.6:1032 -> 10.1.1.8:23 TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF ***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20 FF FC 23 FF FC 27 FF FC 24 FF FA 18 00 41 4E 53 ..#..'..$....ANS 49 FF F0 I.. =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/09-11:12:02.956582 10.1.1.8:23 -> 10.1.1.6:1032 TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF ***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 20 0D 0A 0D 0A 53 75 6E 4F 53 20 35 2E 37 0D 0A 0D ....SunOS 5.7... 00 0D 0A 0D 00 ..... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

  14. TAMPILAN TCPDUMP • 11:16:35.648944 10.1.1.8.23 > 10.1.1.6.1033: P 16:34(18) ack 16 win 8760 (DF) (ttl 255, id 49913) • 4500 003a c2f9 4000 ff06 a2b4 0a01 0108 • 0a01 0106 0017 0409 1cf9 e7f6 001a e050 • 5018 2238 31c6 0000 fffe 1fff fe23 fffe • 27ff fe24 fffa • 11:16:35.649457 10.1.1.6.1033 > 10.1.1.8.23: P 16:19(3) ack 34 win 8727 (DF) (ttl 128, id 57861) • 4500 002b e205 4000 8006 02b8 0a01 0106 • 0a01 0108 0409 0017 001a e050 1cf9 e808 • 5018 2217 6f19 0000 fffc 1f20 2020

  15. PACKET LOGGER MODE • Menyimpan packets ke disk (harddisk, removeable disk) • Pilihan packet logging • Flat ASCII (teks), tcpdump format, XML, database (MySQL, MsSQL, ORACLE, dsb) • Melakukan logging semua data dan kemudian diproses untuk mendeteksi aktivitas yang dicurigai

  16. NIDS MODE • Menggunakan semua fase-kerja SNORT & plug-ins’nya untuk menganalisa traffic agar mendeteksi penyalahgunaan dan anomalous activities • Dapat melakukan deteksi portscanning, IP defragmentation, TCP stream reassembly, application layer analysis, normalisasi, dsb

  17. NIDS MODE.. • Pilihan output • DatabaseMySQL, MsSQL, PostgreSQL, Oracle, unixODBC, dsb • XML • Tcpdump binary format • Unified (snort specific) format • ASCII (teks) • syslog atau WinPopUp • dsb

  18. NIDS MODE.. • Memiliki rules yang sangat banyak yang digunakan sebagai signature dari detection engine • Modus deteksi yang beragam • Rules (signature) • Statistical anomaly • Protocol verification

  19. ARSITEKTUR SNORT v2.X • Goals: • Lebih cepat • Lebih extensible • Protocol support yang lebih baik • Lebih baik dalam menganalisa aktivitas network intrusion secara keseluruhan

  20. SNORT v2.X PLUG-INS • Fleksibilitas • Akuisisi data • Traffic decoders • Protokol analisis dan verifikasi • Multi-path traffic flows, packets & streams • Multi-format rules input • Database, XML, dsb • Detection engine yang plugable • Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS

  21. tcp alert Sip: 1.1.1.1 Dip: 10.1.1.0/24 content: “”foo”; Dip: 2.2.2.2 Dp: 80 Flags: A+; content: “bar”; content: “baz”; SNORT v2.X DETECTION ENGINE

  22. SNORT v2.X PLUG-INS • Fleksibilitas • Akuisisi data • Traffic decoders • Protokol analisis dan verifikasi • Multi-path traffic flows, packets & streams • Multi-format rules input • Database, XML, dsb • Detection engine yang plugable • Standard NIDS, target-based NIDS, statistical NIDS, host-based NIDS

  23. MORE ABOUT SNORT • SNORT project, http://www.snort.org/ • SNORT for Windowshttp://www.datanerds.net/~mike/ • Writing SNORT rules, http://www.snort.org/snort_rules.html • FAQ, MANUAL PAGE, README, USAGE • SNORT mailing-list • Commercial SNORT Network Security Applianceshttp://www.sourcefire.com/

  24. No PIG was harmed during the making of this presentation

More Related