SlideShare a Scribd company logo

Intrusion Prevention Honeypot System

Ade Ismail Isnan
Ade Ismail Isnan

(2009) Pemaparan desain rancang bangun sebuah Intrusion Detection System berbasis Snort, yang dilengkapi modul Linux iptables untuk redirect packet suspicious ke sistem Honeypot independen. Dilengkapi dengan GUI untuk dashboard dan statistik nya.

Internet
1 of 34
Download to read offline
Pengembangan Smart IPS Untuk Mereduksi False Positive Ade Ismail Isnan adeismail [A] tibandung [dot] com Mereduksi pemblokiran yang dilakukan oleh Intrusion Prevention System dengan memanfaatkan analisis pada Honeypot. Analisis mencakup log aktifitas yang dilakukan client, log perilaku Honeypot terhadap client, serta log request yang abnormal dari client. Sehingga dapat diketahui apakah yang dilakukan client terhadap server yang dilindungi bisa membahayakan atau tidak.
Latar Belakang  Peran host/server yang cukup vital bagi kelangsungan layanan/bisnis (asset, vulnerabilities, threats). Keamanan dan perlindungan server terhadap aktifitas intrusi dari dunia luar (LAN, WAN, & The Internet)  IDS (Intrusion Detection System): sistem untuk mendeteksi intrusi yang terjadi pada server. IPS (Intrusion Prevention System): sistem IDS yang bisa melakukan tindakan pencegahan (reaktif)  False positive IPS: suatu host bisa menjadi korban blokir. Akibat: host tidak bisa mengakses layanan server  Bagaimana availability layanan server? Semakin banyak bisa diakses oleh siapa saja --> semakin baik
Latar Belakang (lanjut) • Kondisi 1 (tanpa IPS): – Ancaman terhadap gangguan dari luar – Potensi server compromised semakin tinggi, Akibat terburuk: layanan bisa mati/rusak/hilang • Kondisi 2 (dengan IPS): – Keamanan server terjamin serta layanan dapat berlangsung tanpa ancaman dari luar – Tetapi, korban false positive tidak dapat mengakses layanan
Analisis Solusi  IPS yang memiliki toleransi  Toleransi: kesempatan bagi client untuk lepas dari pemblokiran ataupun false positive sehingga bisa mengakses layanan server kembali. Serta sebagai kesempatan bagi Network Administrator untuk menganalisis kejadian intrusi dan potensinya  Honeypot: aplikasi yang akan mendeteksi dan menjebak penyerang dengan cara mengemulasi layanan dan berinteraksi dengan mereka sebagai bahan analisis lanjut  Honeyweb: honeypot yang mengemulasi webserver dan melaporkan potensi HTTP request dari penyerang sebagai bahan analisis lanjut
Batasan  Server menggunakan sistem operasi Linux  Server yang diproteksi melayani HTTP dan SSH  Tindakan intrusi dari pihak trusted network/host tidak akan diproses oleh IPS
Desain Topologi  Firewall server yang telah dikonfigurasi dengan baik  Server yang dilindungi akan diinstall IPS  Node dibelakang server sebagai sebuah Honeypot Server  Firewall Honeypot Server yang telah dikonfigurasi dengan baik
Desain Topologi (lanjut)
IPS  Sistem yang selain mendeteksi intrusi juga melakukan pencegahan  Dibutuhkan: IDS (modul Pendeteksi) Firewall (modul Pemblokir/Pencegah)  Dengan kata lain, IPS: IDS yang bisa berkolaborasi dan mengkonfigurasi firewall
IPS (lanjut) Modul Pendeteksi  Memanfaatkan Snort (Open Source IDS)  Menggunakan rules signature Snort untuk mendeteksi intrusi  Mencatat ke log jika terdapat paket yang match dengan rules signature
Modul Pendeteksi
Modul Pendeteksi (lanjut)
IPS (lanjut) Modul Pencegah  Memanfaatkan IPTables (packet filtering pada kernel Linux)  Parameter konfigurasi IPTables: alamat IP yang sebelumnya dideteksi pada modul pendeteksi (diambil dari log)  Fungsi IPTables: accept/drop/redirect
Modul Pencegah
Snort & IPTables... • Snort & IPTables: sistem independen/bisa berdiri sendiri tanpa dependency antara sistem yang satu dan yang lain • Integrasi: a) Memanfaatkan 'libnet' (--enable-flex-resp) b) Memanfaatkan BlockIt sebagai jembatan antara Snort & IPTables
BlockIt • BlockIt: parser pada log Snort • Contoh baris log/alert Snort: – [**] [122:25:0] (portscan) ICMP Sweep [**] [Priority: 3] 04/20-05:06:34.381135 192.168.70.12 -> 192.168.70.70 PROTO:255 TTL:0 TOS:0x0 ID:23002 IpLen:20 DgmLen:158 di parsing dan diambil value: – (portscan) ICMP Sweep (kejahatan yang terdeteksi) – 192.168.70.12 (IP address host penyerang)
Peran BlockIt (Back-end)
U.I. (Front-end)
Perancangan Prosedur IPS
Ruang Lingkup Implementasi • Inisialisasi kebutuhan alat dan bahan penelitian pada server Linux (library & dependencies) • Instalasi dan konfigurasi Snort • Instalasi, konfigurasi, dan pengembangan BlockIt untuk tujuan yang ingin dicapai • Instalasi dan konfigurasi Honeyweb • Integrasi sistem • Perancangan dan pembuatan antarmuka sistem (web based). Information retrieval bagi Network Administrator
Implementasi Snort... • Instalasi: – Persiapan dan instalasi dependencies: libdnet, libnids, libpcap – Compile – Install Snort – Install rule signature Snort • Konfigurasi: – Interface yang akan di monitor – Alamat IP/Network yang akan di monitor ($HOME_NET) – Mengaktifkan path rule signature
Implementasi BlockIt... • Instalasi: – Persiapan dan instalasi dependencies: Perl, AWK, IPTables – Install BlockIt • Konfigurasi: – Menentukan path menuju IPTables – Menentukan path menuju berkas log Snort • Pengembangan: – Subroutine untuk penyisipan data ke DB MySQL – Parsing alertline, selain parsing alamat IP – Memberi/menghitung/mencabut toleransi – Skip proses parsing yang berasal dari alamat GW/DNS server – Anti bruteforce SSH
Implementasi Honeyweb… • Instalasi: – Persiapan dan instalasi dependencies: Python – Install Honeyweb • Konfigurasi: – URLs restriction – Data response – Mode persistent/non-persistent
Desain Sistem IPS + Honeypot Blacklist? –> IPTables Malicious? –> Snort Intrusi? –> Analisis Net Admin Untuk intrusi > batas toleransi akan diblokir otomatis oleh sistem
Pengujian: Skenario 1 Paket request normal dari host yang tidak termasuk dalam blacklist 1. Melewati chain INPUT IPTables. Blacklist? –> tidak 2. Melewati sensor Snort. Malicious? –> tidak 3. Sampai ke webserver asli dan diproses 4. HTTP response dari webserver
Pengujian: Skenario 2 Paket request abnormal/malicious/potensi eksploitasi dari host yang tidak termasuk blacklist 1. Melewati chain INPUT IPTables. Blacklist? –> tidak 2. Melewati sensor Snort. Malicious? –> ya! Catat ke log... 3. BlockIt parsing log. Mendapatkan alamat IP dan mengkonfigurasi IPTables 4. Sampai ke webserver Honeyweb dan diproses 5. Setiap HTTP request dan status response dicatat 6. BlockIt release alamat IP dari Honeyweb (+1 toleransi untuk host) 7. Network Administrator bisa langsung memblokir host jika kelakuannya pada Honeyweb Server dinilai berbahaya. (Dilihat dari catatan log Honeyweb)
Pengujian: Skenario 3 Paket request abnormal/malicious/potensi eksploitasi dari host yang tidak termasuk blacklist secara kontinyu 1. Selama lebih dari batas toleransi melakukan: (1) Melewati chain INPUT IPTables. Blacklist –> tidak (2) Melewati sensor Snort. Malicious? –> ya! Catat ke log... (3) BlockIt parsing log. Mendapatkan alamat IP dan mengkonfigurasi IPTables (4) Sampai ke webserver Honeyweb dan diproses (5) Setiap HTTP request dan status response dicatat (6) BlockIt release alamat IP dari Honeyweb (+1 toleransi untuk host) 2. BlockIt mem-blacklist alamat IP
Pengujian: Skenario 4 Paket request normal dari host yang termasuk blacklist 1. Melewati chain INPUT IPTables. Blacklist? –> ya! Drop paket! 2. Koneksi untuk host tersebut terputus NB: a) Network Administrator dapat kembali mengizinkan host terkait untuk bisa terkoneksi dengan server yang dilindungi b) Sebagai bahan pertimbangan melakukan unblacklist: log aktifitas- aktifitas host terkait pada Honeypot
Pengujian: Skenario 5 Paket request abnormal/malicious/potensi eksploitasi dari host yang termasuk blacklist 1. Melewati chain INPUT IPTables. Blacklist? –> ya! Drop paket! 2. Koneksi untuk host tersebut terputus NB: a) Paket request tidak sempat masuk ke sensor Snort –> meminimalisir banyaknya alert yang mungkin terjadi
Hasil
Area Penelitian (common)
But in Open Source… “If I have seen farther than other men, it is because I have stood on the shoulders of giants.” -Sir Isaac Newton wrote this in a letter to the English scientist Robert Hooke (whom he hated and despised) in the 1670s-
Area Penelitian (Smart IPS)
Kesimpulan • Perlindungan pada server dengan memasang perangkat keamanan meminimalisir resiko dampak serangan • Pencegahan dari aktifitas serangan yang dideteksi lebih baik langsung dilakukan (“mencegah lebih baik daripada mengobati”) • Tetap dibutuhkan Network Administrator sebagai pihak yang bertanggung jawab pada keamanan jaringan & server • Dengan Open Source Software, riset menjadi lebih baik. Plus lebih mudah?  • “Security isn't a product. It is a process” –most net. admin- • “More security doesn't make you more secure. Better management does” -lirva32-
Terima Kasih

Recommended

Firewall mikrotik logging
Firewall mikrotik loggingFirewall mikrotik logging
Firewall mikrotik logging
Irmanda Dwi Prakoso
 
Kajian3
Kajian3Kajian3
Kajian3
Setia Juli Irzal Ismail
 
Firewall
FirewallFirewall
Firewall
Gandjar Exe
 
Lapen 4 scanning & probing
Lapen 4 scanning & probingLapen 4 scanning & probing
Lapen 4 scanning & probing
Wind_Al
 
Lapen 5 firewall
Lapen 5 firewallLapen 5 firewall
Lapen 5 firewall
Wind_Al
 
Keamanan s&i
Keamanan s&iKeamanan s&i
Keamanan s&i
Fedrix Patrianus
 
Contoh penggunaan-iptables
Contoh penggunaan-iptablesContoh penggunaan-iptables
Contoh penggunaan-iptables
Iwan Kurniarasa
 
Iptables minggu 10
Iptables minggu 10Iptables minggu 10
Iptables minggu 10
Bima Prakoso Sudibyo
 

Recommended

Firewall mikrotik logging
Firewall mikrotik loggingFirewall mikrotik logging
Firewall mikrotik logging
Irmanda Dwi Prakoso
 
Kajian3
Kajian3Kajian3
Kajian3
Setia Juli Irzal Ismail
 
Firewall
FirewallFirewall
Firewall
Gandjar Exe
 
Lapen 4 scanning & probing
Lapen 4 scanning & probingLapen 4 scanning & probing
Lapen 4 scanning & probing
Wind_Al
 
Lapen 5 firewall
Lapen 5 firewallLapen 5 firewall
Lapen 5 firewall
Wind_Al
 
Keamanan s&i
Keamanan s&iKeamanan s&i
Keamanan s&i
Fedrix Patrianus
 
Contoh penggunaan-iptables
Contoh penggunaan-iptablesContoh penggunaan-iptables
Contoh penggunaan-iptables
Iwan Kurniarasa
 
Iptables minggu 10
Iptables minggu 10Iptables minggu 10
Iptables minggu 10
Bima Prakoso Sudibyo
 
06-IDS.pdf
06-IDS.pdf06-IDS.pdf
06-IDS.pdf
tehkotak4
 
Mohiqbal net and database 2011
Mohiqbal net and database 2011Mohiqbal net and database 2011
Mohiqbal net and database 2011
Fathoni Mahardika II
 
Laporan tugas akhir
Laporan tugas akhirLaporan tugas akhir
Laporan tugas akhir
Natanael Juan Johanes
 
Mudah dan murah membangun jaringan internet
Mudah dan murah membangun jaringan internetMudah dan murah membangun jaringan internet
Mudah dan murah membangun jaringan internet
slempase
 
Mohiqbal security act dan kriptografi 2011
Mohiqbal security act dan kriptografi 2011Mohiqbal security act dan kriptografi 2011
Mohiqbal security act dan kriptografi 2011
Fathoni Mahardika II
 
Keamanan Jaringan - Firewall Windows & IPTables Debian 7
Keamanan Jaringan - Firewall Windows & IPTables Debian 7Keamanan Jaringan - Firewall Windows & IPTables Debian 7
Keamanan Jaringan - Firewall Windows & IPTables Debian 7
peter agustinus
 
Document
DocumentDocument
Document
farida ros
 
Memasang firewall
Memasang firewallMemasang firewall
Memasang firewall
muizul
 
Keamanan Jaringan.ppt
Keamanan Jaringan.pptKeamanan Jaringan.ppt
Keamanan Jaringan.ppt
cemporku
 
CyberOps Associate Modul 22 Endpoint Protection
CyberOps Associate Modul 22 Endpoint ProtectionCyberOps Associate Modul 22 Endpoint Protection
CyberOps Associate Modul 22 Endpoint Protection
Panji Ramadhan Hadjarati
 
Firewall di linux dengan snort
Firewall di linux dengan snortFirewall di linux dengan snort
Firewall di linux dengan snort
edhylarasuli
 
Keamanan Komputer [Keamanan Komunikasi dan Jaringan]
Keamanan Komputer [Keamanan Komunikasi dan Jaringan]Keamanan Komputer [Keamanan Komunikasi dan Jaringan]
Keamanan Komputer [Keamanan Komunikasi dan Jaringan]
Institut Teknologi Sepuluh Nopember Surabaya
 
Keamanan
KeamananKeamanan
Keamanan
ssusera76ea9
 
Pertemuan03 evaluasikeamanansisteminformasi
Pertemuan03 evaluasikeamanansisteminformasiPertemuan03 evaluasikeamanansisteminformasi
Pertemuan03 evaluasikeamanansisteminformasi
Roziq Bahtiar
 
70288550-Modul-3-Firewall.pdf
70288550-Modul-3-Firewall.pdf70288550-Modul-3-Firewall.pdf
70288550-Modul-3-Firewall.pdf
PETRASALVADOR
 
Bab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan JaringanBab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Stephen Setiawan
 
CyberOps Associate Modul 24 Technologies and Protocols
CyberOps Associate Modul 24 Technologies and ProtocolsCyberOps Associate Modul 24 Technologies and Protocols
CyberOps Associate Modul 24 Technologies and Protocols
Panji Ramadhan Hadjarati
 
Hardening Linux Server Security
Hardening Linux Server SecurityHardening Linux Server Security
Hardening Linux Server Security
Ilham Kurniawan
 
09-Teknologi Keamanan Jarkom.ppt
09-Teknologi Keamanan Jarkom.ppt09-Teknologi Keamanan Jarkom.ppt
09-Teknologi Keamanan Jarkom.ppt
RidwanElektro
 
Pertemuan13 exploitasikeamanan ok
Pertemuan13 exploitasikeamanan okPertemuan13 exploitasikeamanan ok
Pertemuan13 exploitasikeamanan ok
Roziq Bahtiar
 
Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security Awareness
Ade Ismail Isnan
 
First Time Hacking (Bahasa Indonesia)
First Time Hacking (Bahasa Indonesia)First Time Hacking (Bahasa Indonesia)
First Time Hacking (Bahasa Indonesia)
Ade Ismail Isnan
 

More Related Content

Similar to Intrusion Prevention Honeypot System

Mudah dan murah membangun jaringan internet
Mudah dan murah membangun jaringan internetMudah dan murah membangun jaringan internet
Mudah dan murah membangun jaringan internet
slempase
 
Mohiqbal security act dan kriptografi 2011
Mohiqbal security act dan kriptografi 2011Mohiqbal security act dan kriptografi 2011
Mohiqbal security act dan kriptografi 2011
Fathoni Mahardika II
 
Memasang firewall
Memasang firewallMemasang firewall
Memasang firewall
muizul
 
Keamanan Komputer [Keamanan Komunikasi dan Jaringan]
Keamanan Komputer [Keamanan Komunikasi dan Jaringan]Keamanan Komputer [Keamanan Komunikasi dan Jaringan]
Keamanan Komputer [Keamanan Komunikasi dan Jaringan]
Institut Teknologi Sepuluh Nopember Surabaya
 
Pertemuan03 evaluasikeamanansisteminformasi
Pertemuan03 evaluasikeamanansisteminformasiPertemuan03 evaluasikeamanansisteminformasi
Pertemuan03 evaluasikeamanansisteminformasi
Roziq Bahtiar
 
70288550-Modul-3-Firewall.pdf
70288550-Modul-3-Firewall.pdf70288550-Modul-3-Firewall.pdf
70288550-Modul-3-Firewall.pdf
PETRASALVADOR
 
Pertemuan13 exploitasikeamanan ok
Pertemuan13 exploitasikeamanan okPertemuan13 exploitasikeamanan ok
Pertemuan13 exploitasikeamanan ok
Roziq Bahtiar
 

Similar to Intrusion Prevention Honeypot System (20)

06-IDS.pdf
06-IDS.pdf06-IDS.pdf
06-IDS.pdf
 
Mohiqbal net and database 2011
Mohiqbal net and database 2011Mohiqbal net and database 2011
Mohiqbal net and database 2011
 
Laporan tugas akhir
Laporan tugas akhirLaporan tugas akhir
Laporan tugas akhir
 
Mudah dan murah membangun jaringan internet
Mudah dan murah membangun jaringan internetMudah dan murah membangun jaringan internet
Mudah dan murah membangun jaringan internet
 
Mohiqbal security act dan kriptografi 2011
Mohiqbal security act dan kriptografi 2011Mohiqbal security act dan kriptografi 2011
Mohiqbal security act dan kriptografi 2011
 
Keamanan Jaringan - Firewall Windows & IPTables Debian 7
Keamanan Jaringan - Firewall Windows & IPTables Debian 7Keamanan Jaringan - Firewall Windows & IPTables Debian 7
Keamanan Jaringan - Firewall Windows & IPTables Debian 7
 
Document
DocumentDocument
Document
 
Memasang firewall
Memasang firewallMemasang firewall
Memasang firewall
 
Keamanan Jaringan.ppt
Keamanan Jaringan.pptKeamanan Jaringan.ppt
Keamanan Jaringan.ppt
 
CyberOps Associate Modul 22 Endpoint Protection
CyberOps Associate Modul 22 Endpoint ProtectionCyberOps Associate Modul 22 Endpoint Protection
CyberOps Associate Modul 22 Endpoint Protection
 
Firewall di linux dengan snort
Firewall di linux dengan snortFirewall di linux dengan snort
Firewall di linux dengan snort
 
Keamanan Komputer [Keamanan Komunikasi dan Jaringan]
Keamanan Komputer [Keamanan Komunikasi dan Jaringan]Keamanan Komputer [Keamanan Komunikasi dan Jaringan]
Keamanan Komputer [Keamanan Komunikasi dan Jaringan]
 
Keamanan
KeamananKeamanan
Keamanan
 
Pertemuan03 evaluasikeamanansisteminformasi
Pertemuan03 evaluasikeamanansisteminformasiPertemuan03 evaluasikeamanansisteminformasi
Pertemuan03 evaluasikeamanansisteminformasi
 
70288550-Modul-3-Firewall.pdf
70288550-Modul-3-Firewall.pdf70288550-Modul-3-Firewall.pdf
70288550-Modul-3-Firewall.pdf
 
Bab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan JaringanBab 14 Pengantar Teknologi Informasi Keamanan Jaringan
Bab 14 Pengantar Teknologi Informasi Keamanan Jaringan
 
CyberOps Associate Modul 24 Technologies and Protocols
CyberOps Associate Modul 24 Technologies and ProtocolsCyberOps Associate Modul 24 Technologies and Protocols
CyberOps Associate Modul 24 Technologies and Protocols
 
Hardening Linux Server Security
Hardening Linux Server SecurityHardening Linux Server Security
Hardening Linux Server Security
 
09-Teknologi Keamanan Jarkom.ppt
09-Teknologi Keamanan Jarkom.ppt09-Teknologi Keamanan Jarkom.ppt
09-Teknologi Keamanan Jarkom.ppt
 
Pertemuan13 exploitasikeamanan ok
Pertemuan13 exploitasikeamanan okPertemuan13 exploitasikeamanan ok
Pertemuan13 exploitasikeamanan ok
 

More from Ade Ismail Isnan

More from Ade Ismail Isnan (6)

Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security Awareness
 
First Time Hacking (Bahasa Indonesia)
First Time Hacking (Bahasa Indonesia)First Time Hacking (Bahasa Indonesia)
First Time Hacking (Bahasa Indonesia)
 
APT & Data Breach - Lesson Learned
APT & Data Breach - Lesson LearnedAPT & Data Breach - Lesson Learned
APT & Data Breach - Lesson Learned
 
Cyber Security 101
Cyber Security 101Cyber Security 101
Cyber Security 101
 
Hacking Anatomy
Hacking AnatomyHacking Anatomy
Hacking Anatomy
 
Modul Cisco Packet Tracer
Modul Cisco Packet TracerModul Cisco Packet Tracer
Modul Cisco Packet Tracer
 

Intrusion Prevention Honeypot System

  • 1. Pengembangan Smart IPS Untuk Mereduksi False Positive Ade Ismail Isnan adeismail [A] tibandung [dot] com Mereduksi pemblokiran yang dilakukan oleh Intrusion Prevention System dengan memanfaatkan analisis pada Honeypot. Analisis mencakup log aktifitas yang dilakukan client, log perilaku Honeypot terhadap client, serta log request yang abnormal dari client. Sehingga dapat diketahui apakah yang dilakukan client terhadap server yang dilindungi bisa membahayakan atau tidak.
  • 2. Latar Belakang  Peran host/server yang cukup vital bagi kelangsungan layanan/bisnis (asset, vulnerabilities, threats). Keamanan dan perlindungan server terhadap aktifitas intrusi dari dunia luar (LAN, WAN, & The Internet)  IDS (Intrusion Detection System): sistem untuk mendeteksi intrusi yang terjadi pada server. IPS (Intrusion Prevention System): sistem IDS yang bisa melakukan tindakan pencegahan (reaktif)  False positive IPS: suatu host bisa menjadi korban blokir. Akibat: host tidak bisa mengakses layanan server  Bagaimana availability layanan server? Semakin banyak bisa diakses oleh siapa saja --> semakin baik
  • 3. Latar Belakang (lanjut) • Kondisi 1 (tanpa IPS): – Ancaman terhadap gangguan dari luar – Potensi server compromised semakin tinggi, Akibat terburuk: layanan bisa mati/rusak/hilang • Kondisi 2 (dengan IPS): – Keamanan server terjamin serta layanan dapat berlangsung tanpa ancaman dari luar – Tetapi, korban false positive tidak dapat mengakses layanan
  • 4. Analisis Solusi  IPS yang memiliki toleransi  Toleransi: kesempatan bagi client untuk lepas dari pemblokiran ataupun false positive sehingga bisa mengakses layanan server kembali. Serta sebagai kesempatan bagi Network Administrator untuk menganalisis kejadian intrusi dan potensinya  Honeypot: aplikasi yang akan mendeteksi dan menjebak penyerang dengan cara mengemulasi layanan dan berinteraksi dengan mereka sebagai bahan analisis lanjut  Honeyweb: honeypot yang mengemulasi webserver dan melaporkan potensi HTTP request dari penyerang sebagai bahan analisis lanjut
  • 5. Batasan  Server menggunakan sistem operasi Linux  Server yang diproteksi melayani HTTP dan SSH  Tindakan intrusi dari pihak trusted network/host tidak akan diproses oleh IPS
  • 6. Desain Topologi  Firewall server yang telah dikonfigurasi dengan baik  Server yang dilindungi akan diinstall IPS  Node dibelakang server sebagai sebuah Honeypot Server  Firewall Honeypot Server yang telah dikonfigurasi dengan baik
  • 8. IPS  Sistem yang selain mendeteksi intrusi juga melakukan pencegahan  Dibutuhkan: IDS (modul Pendeteksi) Firewall (modul Pemblokir/Pencegah)  Dengan kata lain, IPS: IDS yang bisa berkolaborasi dan mengkonfigurasi firewall
  • 9. IPS (lanjut) Modul Pendeteksi  Memanfaatkan Snort (Open Source IDS)  Menggunakan rules signature Snort untuk mendeteksi intrusi  Mencatat ke log jika terdapat paket yang match dengan rules signature
  • 12. IPS (lanjut) Modul Pencegah  Memanfaatkan IPTables (packet filtering pada kernel Linux)  Parameter konfigurasi IPTables: alamat IP yang sebelumnya dideteksi pada modul pendeteksi (diambil dari log)  Fungsi IPTables: accept/drop/redirect
  • 14. Snort & IPTables... • Snort & IPTables: sistem independen/bisa berdiri sendiri tanpa dependency antara sistem yang satu dan yang lain • Integrasi: a) Memanfaatkan 'libnet' (--enable-flex-resp) b) Memanfaatkan BlockIt sebagai jembatan antara Snort & IPTables
  • 15. BlockIt • BlockIt: parser pada log Snort • Contoh baris log/alert Snort: – [**] [122:25:0] (portscan) ICMP Sweep [**] [Priority: 3] 04/20-05:06:34.381135 192.168.70.12 -> 192.168.70.70 PROTO:255 TTL:0 TOS:0x0 ID:23002 IpLen:20 DgmLen:158 di parsing dan diambil value: – (portscan) ICMP Sweep (kejahatan yang terdeteksi) – 192.168.70.12 (IP address host penyerang)
  • 19. Ruang Lingkup Implementasi • Inisialisasi kebutuhan alat dan bahan penelitian pada server Linux (library & dependencies) • Instalasi dan konfigurasi Snort • Instalasi, konfigurasi, dan pengembangan BlockIt untuk tujuan yang ingin dicapai • Instalasi dan konfigurasi Honeyweb • Integrasi sistem • Perancangan dan pembuatan antarmuka sistem (web based). Information retrieval bagi Network Administrator
  • 20. Implementasi Snort... • Instalasi: – Persiapan dan instalasi dependencies: libdnet, libnids, libpcap – Compile – Install Snort – Install rule signature Snort • Konfigurasi: – Interface yang akan di monitor – Alamat IP/Network yang akan di monitor ($HOME_NET) – Mengaktifkan path rule signature
  • 21. Implementasi BlockIt... • Instalasi: – Persiapan dan instalasi dependencies: Perl, AWK, IPTables – Install BlockIt • Konfigurasi: – Menentukan path menuju IPTables – Menentukan path menuju berkas log Snort • Pengembangan: – Subroutine untuk penyisipan data ke DB MySQL – Parsing alertline, selain parsing alamat IP – Memberi/menghitung/mencabut toleransi – Skip proses parsing yang berasal dari alamat GW/DNS server – Anti bruteforce SSH
  • 22. Implementasi Honeyweb… • Instalasi: – Persiapan dan instalasi dependencies: Python – Install Honeyweb • Konfigurasi: – URLs restriction – Data response – Mode persistent/non-persistent
  • 23. Desain Sistem IPS + Honeypot Blacklist? –> IPTables Malicious? –> Snort Intrusi? –> Analisis Net Admin Untuk intrusi > batas toleransi akan diblokir otomatis oleh sistem
  • 24. Pengujian: Skenario 1 Paket request normal dari host yang tidak termasuk dalam blacklist 1. Melewati chain INPUT IPTables. Blacklist? –> tidak 2. Melewati sensor Snort. Malicious? –> tidak 3. Sampai ke webserver asli dan diproses 4. HTTP response dari webserver
  • 25. Pengujian: Skenario 2 Paket request abnormal/malicious/potensi eksploitasi dari host yang tidak termasuk blacklist 1. Melewati chain INPUT IPTables. Blacklist? –> tidak 2. Melewati sensor Snort. Malicious? –> ya! Catat ke log... 3. BlockIt parsing log. Mendapatkan alamat IP dan mengkonfigurasi IPTables 4. Sampai ke webserver Honeyweb dan diproses 5. Setiap HTTP request dan status response dicatat 6. BlockIt release alamat IP dari Honeyweb (+1 toleransi untuk host) 7. Network Administrator bisa langsung memblokir host jika kelakuannya pada Honeyweb Server dinilai berbahaya. (Dilihat dari catatan log Honeyweb)
  • 26. Pengujian: Skenario 3 Paket request abnormal/malicious/potensi eksploitasi dari host yang tidak termasuk blacklist secara kontinyu 1. Selama lebih dari batas toleransi melakukan: (1) Melewati chain INPUT IPTables. Blacklist –> tidak (2) Melewati sensor Snort. Malicious? –> ya! Catat ke log... (3) BlockIt parsing log. Mendapatkan alamat IP dan mengkonfigurasi IPTables (4) Sampai ke webserver Honeyweb dan diproses (5) Setiap HTTP request dan status response dicatat (6) BlockIt release alamat IP dari Honeyweb (+1 toleransi untuk host) 2. BlockIt mem-blacklist alamat IP
  • 27. Pengujian: Skenario 4 Paket request normal dari host yang termasuk blacklist 1. Melewati chain INPUT IPTables. Blacklist? –> ya! Drop paket! 2. Koneksi untuk host tersebut terputus NB: a) Network Administrator dapat kembali mengizinkan host terkait untuk bisa terkoneksi dengan server yang dilindungi b) Sebagai bahan pertimbangan melakukan unblacklist: log aktifitas- aktifitas host terkait pada Honeypot
  • 28. Pengujian: Skenario 5 Paket request abnormal/malicious/potensi eksploitasi dari host yang termasuk blacklist 1. Melewati chain INPUT IPTables. Blacklist? –> ya! Drop paket! 2. Koneksi untuk host tersebut terputus NB: a) Paket request tidak sempat masuk ke sensor Snort –> meminimalisir banyaknya alert yang mungkin terjadi
  • 29. Hasil
  • 31. But in Open Source… “If I have seen farther than other men, it is because I have stood on the shoulders of giants.” -Sir Isaac Newton wrote this in a letter to the English scientist Robert Hooke (whom he hated and despised) in the 1670s-
  • 33. Kesimpulan • Perlindungan pada server dengan memasang perangkat keamanan meminimalisir resiko dampak serangan • Pencegahan dari aktifitas serangan yang dideteksi lebih baik langsung dilakukan (“mencegah lebih baik daripada mengobati”) • Tetap dibutuhkan Network Administrator sebagai pihak yang bertanggung jawab pada keamanan jaringan & server • Dengan Open Source Software, riset menjadi lebih baik. Plus lebih mudah?  • “Security isn't a product. It is a process” –most net. admin- • “More security doesn't make you more secure. Better management does” -lirva32-