Jaringan berbasis sistem deteksi intrusi (NIDSs) adalah jalan terbaik untuk memantaujaringan berdasarkan anomali yang bisa...
Dengan mendeteksi bahkan serangan paling jinak memukul perimeter jaringan kami,kami dapat menggunakan data untuk benar men...
Di dalamnya Serangan JaringanBeberapa orang menyebutnya serangan klasik keluar dari serangan Band, namun lebihdikenal seba...
Screenshot sebelumnya menunjukkan bagaimana serangan Nuke.eM terdeteksi dandiblokir oleh Perlindungan PC BlackICE, firewal...
Jaringan Intrusion Detection 101Umumnya, ketika kita berpikir tentang menggunakan firewall pribadi, itu adalah untukmelind...
Logging merupakan bagian integral dari deteksi intrusi. Mampu merujuk kembali ke logsetelah peristiwa terjadi sangat bergu...
lintas jaringan. Anda mungkin ingin menonton ruang disk yang tersisa ketikamenggunakan fitur ini logging.catatanBlackICE s...
source. Hal ini dikelola oleh kelompok inti pengembang yang terus menambahkan fiturdan memperbarui program. Hal ini mudah ...
Intrusion Detection Sistem libpcap BerbasisKebanyakan sistem intrusi berbasis jaringan deteksi berbasis libpcap. Libpcap m...
telah cepat memperoleh reputasi untuk menjadi solusi NIDS sangat efisien, ringan, danrendah-biaya dan berutang popularitas...
dipisahkan oleh baris kosong. Log adalah file flat, file teks juga disebut, dan memilikikeuntungan karena mudah untuk meny...
Jaringan berbasis sistem deteksi intrusi
Upcoming SlideShare
Loading in …5
×

Jaringan berbasis sistem deteksi intrusi

958 views

Published on

Published in: Education
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
958
On SlideShare
0
From Embeds
0
Number of Embeds
18
Actions
Shares
0
Downloads
27
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Jaringan berbasis sistem deteksi intrusi

  1. 1. Jaringan berbasis sistem deteksi intrusi (NIDSs) adalah jalan terbaik untuk memantaujaringan berdasarkan anomali yang bisa menunjukkan tanda-tanda serangan ataugangguan elektronik pada jaringan Anda. Dalam bab ini, kami mengeksplorasi kebutuhanNIDS dan mendiskusikan beberapa penawaran yang tersedia. Secara khusus, kita melihatperangkat komersial seperti BlackICE Pertahanan, serta sebuah alat open-source yangsangat populer disebut Snort. Kami juga membahas keuntungan yang terkait denganmembangun NIDS didistribusikan dan memberikan contoh signature khusus untukpenciptaan lingkungan jaringan Anda sendiri.Perjalanan kita dimulai dari serangan jaringan tunggal dan berpuncak dengan banyaksekali upaya gangguan di dunia nyata. Tujuannya adalah untuk menampilkan Andadengan pengetahuan yang diperlukan untuk memahami dasar-dasar deteksi intrusi danuntuk mencetuskan beberapa ide tentang bagaimana teknologi ini dapat digunakan padajaringan Anda sendiri. Akhirnya, setelah membaca bab ini, Anda harus dapatmembedakan antara pemindaian tidak berbahaya dan Pemindaian berbahaya danbagaimana bereaksi dan merespons sesuai.Serangan ancaman kebanyakan datang dari internetmendeteksi serangan ini memungkinkan sebuah situs untuk menyesuaikan pertahananjika kita mengkorelasikan data dari banyak sumber kita meningkatkan kemampuan kitastatistik bahwa 90% dari semua serangan yang dilakukan oleh orang dalam yang sudahmati keliruKebutuhan Jaringan berbasis Intrusion DetectionSerangan orang dalam dapat menyebabkan kerusakan yang lebih keuangan dari seranganpihak ketiga karena orang dalam memiliki pengetahuan yang mendalam tentang jaringaninternal. Audit tradisional dan mekanisme keamanan dapat mengatasi ancaman danorganisasi dapat menuntut. Perhatian yang lebih besar meskipun sebaiknya serangan yangberasal dari Internet.Volume serangan yang berasal dari jaringan publik (atau seharusnya!) Secara signifikanlebih tinggi daripada jumlah serangan yang berasal dari host internal. Serangan yangpaling luar dapat dihentikan oleh firewall dikonfigurasi dengan benar. Namun, kita harusprihatin dengan serangan yang mampu melewati, atau menembus, perimeter luar. Andamungkin akan bertanya apakah firewall dapat mencegah serangan banyak atau sebagian,maka mengapa kita perlu khawatir tentang beberapa yang membuatnya melalui?Alasannya sederhana: volume. Banyaknya serangan luar memukul jaringan Andaakhirnya akan mengambil tol mereka dan kompromi sistem. Ada pepatah yangmengatakan bahwa bahkan seekor tupai buta dapat menemukan kacang, dan yang dapatditerapkan ke jaringan perimeter. Serangan pada jaringan Anda, bahkan jika salahsasaran, pada akhirnya akan mengakibatkan aktivitas berbahaya melewati perimeter Andadan menyebabkan kerusakan pada sistem Anda.
  2. 2. Dengan mendeteksi bahkan serangan paling jinak memukul perimeter jaringan kami,kami dapat menggunakan data untuk benar menyesuaikan pertahanan sistem kami danmengurangi atau membuat sia-sia sebagian besar serangan. Sebagai kecanggihanserangan berbasis jaringan terus meningkat, kita berutang kepada diri kita sendiri untukmenggunakan NIDS untuk menyelidiki gangguan, menganalisis ancaman danmempersiapkan penanggulangan dibutuhkan. Ada juga keuntungan yang berbedamenjadi mampu untuk mengkorelasikan data dari berbagai penyebaran NIDS untukmeningkatkan kemampuan kita dalam menanggapi berbagai serangan. Kami akanmembahas korelasi acara kemudian dalam bab iniDi dalam Serangan JaringanBeberapa orang menyebutnya serangan klasik keluar dari serangan Band, namun lebihdikenal sebagai WinNuke. WinNuke mengirimkan sebuah paket tunggal dibuat khususdengan data OOB ke port mendengarkan jarak jauh, TCP 139. Hal ini dikenal untukkecelakaan versi Windows. (Perhatikan bahwa Out of Band adalah keliru, WinNukebenar-benar menggunakan bendera TCP Mendesak dan pointer mendesak.) Bahkan jikaNetBIOS tidak diaktifkan, sistem rentan diserang oleh WinNuke biasanya akanmengalami ditakuti Meskipun ini "Blue Screen of Death." adalah alat serangan tanggal,itu pekerjaan yang sangat baik dalam menjelaskan konsep visual dari serangan berbasisjaringan. Hal ini juga harus dicatat bahwa masih ada jutaan Windows 95 mesin yangterkoneksi ke Internet. Adalah aman untuk mengatakan bahwa alat ini serangan masihbisa menurunkan mesin yang tak terhitung jumlahnya.
  3. 3. Di dalamnya Serangan JaringanBeberapa orang menyebutnya serangan klasik keluar dari serangan Band, namun lebihdikenal sebagai WinNuke. WinNuke mengirimkan sebuah paket tunggal dibuat khususdengan data OOB ke port mendengarkan secara jarak jauh, TCP 139. Hal ini dikenaluntuk kecelakaan versi Windows. (Perhatikan bahwa Out of Band adalah keliru,WinNuke benar-benar menggunakan bendera TCP Mendesak dan pointer mendesak.)Bahkan jika NetBIOS tidak diaktifkan, sistem rentan diserang oleh WinNuke biasanyaakan mengalami ditakuti Meskipun ini "Blue Screen of Death." adalah alat serangantanggal, itu pekerjaan yang sangat baik dalam menjelaskan konsep visual dari seranganberbasis jaringan. Hal ini juga harus dicatat bahwa masih ada jutaan Windows 95 mesinyang terkoneksi ke Internet. Adalah aman untuk mengatakan bahwa alat ini seranganmasih bisa menurunkan mesin yang tak terhitung jumlahnya.Bagaimana kita menciptakan paket khusus yang mampu membawa Windows 95 bertekuklutut? Jawabannya cukup sederhana, Nuke.eM. Nukeem (ditampilkan dalam slidesebelumnya) bekerja dengan membentuk koneksi TCP dengan host remote danmemberikan paket ilegal. Ini tidak membutuhkan keahlian apapun dan dapat mengubahorang yang paling kompeten menjadi seorang hacker.
  4. 4. Screenshot sebelumnya menunjukkan bagaimana serangan Nuke.eM terdeteksi dandiblokir oleh Perlindungan PC BlackICE, firewall pribadi terkemuka komersial. Areayang disorot menggambarkan probe NetBIOS (Nuke.eM) terdeteksi dan berhasil diblokenam kali.Kita bisa melihat bahwa NetBIOS pelabuhan penyelidikan dari alamat IP 192.168.1.100terdeteksi dan diblokir oleh mesin firewall. Jendela Informasi di bagian bawah layarmemberikan penjelasan singkat tentang serangan dan mengklik tombol "saran" ke kananakan memberikan informasi lebih rinci.catatanInternet Security Systems (ISS) mengakuisisi lini produk BlackICE pada bulan April2001. PC Suite BlackICE perlindungan korban pertama mereka dari akuisisi barumereka.Oke, mari kita meringkas apa yang telah kita lihat seperti yang kita telah menelitiserangan jaringan tunggal. Kami telah mengidentifikasi kerentanan, cacat dalampelaksanaan Microsoft jaringan. Kami telah menjelaskan cacat teknis dan menunjukkansalah satu alat penyerang yang mengambil keuntungan dari ancaman. Akhirnya, kita telahmelihat deteksi dan alat perlindungan dalam tindakan. Sebenarnya, ini adalah contoh laindari ancaman, penanggulangan, dan kontra-balasan. Winnuke itu menjatuhkan sistem kiridan kanan dan Microsoft menanggapi dengan patch. Alih-alih memperbaiki masalahpertama kalinya, mereka merilis cepat hack. Para penyerang langsung membalas denganmodifikasi alat serangan mereka, akhirnya memaksa Microsoft untuk merilis patchlengkap yang cukup diselesaikan masalah awal.
  5. 5. Jaringan Intrusion Detection 101Umumnya, ketika kita berpikir tentang menggunakan firewall pribadi, itu adalah untukmelindungi PC kita yang langsung terhubung ke Internet. Namun, kita tidak selaluberpikir tentang deteksi: Banyak personal firewall di pasaran saat ini memilikikemampuan untuk memblokir serangan dan mereka juga dapat mendeteksi dan logserangan. Logging serangan memungkinkan seorang analis untuk mempelajari atributserangan. Padahal, dengan meningkatnya tingkat instalasi broadband, firewall pribadidengan kemampuan deteksi intrusi menjadi sensor jaringan yang sangat berharga bagimasyarakat IDS. Pusat Internet Storm memiliki klien gratis yang dapat digunakanbersama dengan firewall pribadi banyak dan sistem deteksi intrusi yang akanmemungkinkan Anda untuk meng-upload log Anda ke situs mereka untuk penelitianlebih lanjut dan penyelidikan. Jika ingin cara untuk melakukan bagian Anda danmemberikan kembali kepada komunitas keamanan informasi, maka ini adalahkesempatan besar. Informasi lengkap tersedia dari situs web di http://isc.incidents.org.Pentingnya LoggingScreen shot sebelumnya menggambarkan aktivitas di jaringan sangat sibuk danbermusuhan. Kita bisa melihat berbagai serangan, termasuk ping nmap, probe port SNMPdan zona DNS transfer. Meskipun berguna untuk dapat melihat peristiwa secara real-time, bahkan lebih berguna untuk memiliki kemampuan untuk melihat peristiwa inidengan protocol analyzer jaringan seperti Ethereal untuk mendapatkan pemahaman yanglebih baik tentang serangan itu dan bagaimana hal itu terjadi. Kebanyakan firewallpribadi mencakup fitur pencatatan yang harus diaktifkan untuk mendapatkan hasilmaksimal dari produk.
  6. 6. Logging merupakan bagian integral dari deteksi intrusi. Mampu merujuk kembali ke logsetelah peristiwa terjadi sangat berguna dari perspektif pembelajaran dan dalam kasuspenuntutan pidana. Setelah log dari peristiwa yang menyebabkan kompromi akanmenjadi aset berharga jika Anda mencari kerusakan atau penuntutan dari seranganjaringan atau sistem kompromi.Dalam contoh ini, kami menunjukkan bagaimana mengaktifkan logging di personalfirewall BlackICE. Pengaturan firewall mesin dikelola dari menu alat dan dapat denganmudah diakses dari layar utama. Melihat sekeliling, kita dapat melihat beberapa tab yangmemungkinkan Anda untuk mengubah fungsi dari firewall. Untuk tujuan kita, kita fokuspada Log evidence dan pilihan Packet Log.Hal ini penting untuk memastikan bahwa penebangan diaktifkan pada tab Log Bukti.Sisanya cukup jelas, tetapi berguna untuk menggunakan tanda% pada akhir awalanberkas EVD. Menggunakan karakter khusus akan menambahkan cap tanggal / waktuuntuk file-file log. Hal ini sangat membantu dalam acara yang Anda butuhkan untukkembali dan mencari informasi untuk serangan yang terjadi pada waktu tertentu. Andajuga mungkin ingin menyesuaikan ukuran file maksimum dan jumlah maksimumpengaturan file untuk mencerminkan jaringan Anda.Fitur lain yang berguna adalah tab Log paket, sehingga memungkinkan fitur Packet Logdari BlackICE memungkinkan Anda untuk menangkap semua lalu lintas yang datang diantarmuka menyimak. Hal ini dapat membuktikan sangat berharga ketika Anda perlumelakukan diagnosa jaringan atau hanya untuk belajar bagaimana jaringan Andaberoperasi pada berbagai titik dalam waktu. Namun, ingat bahwa dengan fitur inidiaktifkan, sejumlah besar ruang disk akan dikonsumsi untuk mengakomodasi semua lalu
  7. 7. lintas jaringan. Anda mungkin ingin menonton ruang disk yang tersisa ketikamenggunakan fitur ini logging.catatanBlackICE sering dianggap sebagai IDS berbasis host karena biasanya diinstal pada mesinindividu, tapi mari kita berpikir tentang apa yang benar-benar melakukan - memantaulalu lintas jaringan. Sebuah HIDS tradisional memonitor file log, perubahan file,perubahan registry, dan hak-hak lainnya / izin dari sistem operasi host. Kamimenggunakan BlackICE dalam bab ini untuk menggambarkan dasar-dasar jaringanberbasis sistem deteksi intrusi.Melihat Log BlackICEAda kesalahpahaman umum bahwa BlackICE file log dapat dilihat hanya denganmenginstal aplikasi pihak ketiga komersial seperti VisualICE atau es. Meskipun add-onprogram melakukan pekerjaan yang besar parsing data dan membuat laporan tampakbagus, satu-satunya hal yang diperlukan adalah untuk melihat file dengan sebuah alatanalisis paket yang tersedia. Dalam contoh sebelumnya, kami menggunakan sebuahprogram bernama Ethereal untuk melihat data. Ethereal, program paket gratis analisisadalah alat yang sangat baik untuk decoding dan menampilkan file BlackICE log. Dalaminstalasi default BlackICE, file log yang terletak diC:. Program files ISS BlackICE % EVD * enccatatanEthereal merupakan salah satu aplikasi pembunuh untuk bangkit dari gerakan open-
  8. 8. source. Hal ini dikelola oleh kelompok inti pengembang yang terus menambahkan fiturdan memperbarui program. Hal ini mudah digunakan, fleksibel, dan bebas untuk men-download. Saya dengan senang hati akan meletakkannya melawan setiap analyzerprotokol yang tersedia secara komersial. Meskipun contoh kita adalah dasar, fitur laindari Ethereal adalah senilai check-out. Ethereal dapat didownload dihttp://www.ethereal.com.BlackICE Visualisasi AlatScreenshot sebelumnya menunjukkan lonjakan aktivitas di jendela Acara yangmerupakan hasil dari seseorang yang menyelidik jaringan ini. Ini memberikan kami idemana harus mencari untuk menemukan data dalam file log bukti. Sebagai sedikitmembantu, menemukan waktu perkiraan dari suatu peristiwa dan jika Anda kebetulanmencari scan, selalu melihat file terbesar pertama sejak port scan cenderungmenghasilkan banyak lalu lintas.Layar ini juga memungkinkan Anda untuk melihat tren jaringan selama periode menit,jam, atau hari dan dapat berguna dalam mempelajari seluk-beluk jaringan Anda. Sebagaicontoh, sekali baseline telah ditetapkan, maka Anda dapat menggunakan layar ini untukmencari setiap anomali yang tidak berkorelasi dengan pola lalu lintas jaringan yang biasa.Kami menggunakan mesin berbasis host intrusion detection untuk mengkaji bagaimanafungsi jaringan serangan a. Sekarang bahwa Anda memiliki pemahaman dasar seranganberbasis jaringan, mari kita mengalihkan fokus kita ke NIDS.
  9. 9. Intrusion Detection Sistem libpcap BerbasisKebanyakan sistem intrusi berbasis jaringan deteksi berbasis libpcap. Libpcap merupakanpaket open source menangkap perpustakaan yang dirancang untuk mengambil data darikernel dan menyebarkannya ke lapisan aplikasi. Libpcap memiliki keuntungan menjadibebas untuk menggunakan dan telah terbukti, sejak awal, menjadi sangat diandalkan.Produk yang menggunakan library Libpcap termasuk Shadow, Snort, Cisco IDS(sebelumnya NetRanger), dan NFR.catatanInformasi lengkap, termasuk kode sumber untuk Libpcap dapat didownload di:http://www.tcpdump.org/. Jika Anda berjalan pada platform berbasis Windows, Andasedang beruntung! Winpcap adalah versi Win32 dari Libpcap dan dapat diunduh dihttp://winpcap.polito.it/.Pada diagram sebelumnya, Anda melihat sensor remote mengumpulkan data danmeneruskannya ke komputer lain untuk tampilan dan analisis. The Intrusion DetectionSystem Bayangan menggunakan konfigurasi ini dan merupakan salah satu dari beberapaNIDS yang pada dasarnya menggunakan "bodoh" probe untuk meneruskan paket itumenangkap ke perangkat lain untuk diproses. Jika Sensor bayangan harus gagal atauentah bagaimana bisa dikompromikan, tidak ada informasi tentang situs akan hilang.Jaringan Intrusion Detection dengan SnortSnort adalah tagihan sebagai sistem deteksi intrusi jaringan ringan. Ini diperkenalkankepada komunitas open-source pada tahun 1998 oleh pengembang, Marty Roesch. Snort
  10. 10. telah cepat memperoleh reputasi untuk menjadi solusi NIDS sangat efisien, ringan, danrendah-biaya dan berutang popularitas dan fitur yang luas untuk tim dikhususkanpengembang inti dan basis pengguna aktif.Desain Snort memungkinkan untuk integrasi yang mudah ke sebagian besar jaringan dandapat dikonfigurasi untuk memantau beberapa situs, jaringan, atau interface denganrelatif mudah. Ini memiliki aturan untuk header isi paket decodes dan paket. Ini berartidapat mendeteksi data-driven serangan seperti buffer overflow kesalahan, serta seranganterhadap URL yang rentan dan script (misalnya, RDS dan phf).Karena Snort adalah open-source dan memiliki semacam komunitas pengguna aktif, ituadalah sistem yang ideal untuk belajar bagaimana menganalisis intrusi dan bereksperimendengan konfigurasi yang berbeda. Ada banyak komunitas yang dikembangkan perangkattambahan yang tersedia (kita bahas nanti dalam bab ini) dan bantuan hanya sebuah pesane-mail jauhnya.catatanSebuah sumber daya yang besar untuk mempelajari lebih lanjut tentang Snort adalahFAQ, yang tersedia di: http://www.snort.org/docs/faq.html. The FAQ secara aktifdipelihara dan menjelaskan banyak fitur dari Snort.Menganalisis Snort sebuah MendeteksiSnort mendeteksi ditampilkan dalam file log, seperti yang ditunjukkan sebelumnya, dan
  11. 11. dipisahkan oleh baris kosong. Log adalah file flat, file teks juga disebut, dan memilikikeuntungan karena mudah untuk menyortir, pencarian, dan menganalisis. Keuntunganlain dari Snort log adalah kemampuan untuk memotong dan menyisipkan berbagaimendeteksi ke dalam pesan e-mail yang akan dikirim ke analis lain, CIRT Anda, ataupihak yang bersalah. Fitur ini sendiri tidak tersedia dalam produk komersial banyak.Dalam contoh ini, Anda akan melihat bahwa nama mendeteksi, RPC Query Info,terdaftar di bagian atas dan ringkasan informasi yang diberikan di bawah ini. Tiga baristerakhir menunjukkan payload yang sebenarnya dari serangan tertentu. Prosedurpanggilan remote (RPC) serangan seperti ini adalah bagian dari daftar Top FORESECDua puluh (http://www.foresecacademy.com/top20/) dan dapat menunjukkan potensikerentanan pada jaringan Anda. Bayar perhatian khusus untuk semua nol dalam payload.Hal ini karena RPC paket yang empuk untuk 32-bit kata-kata, sering untuk membawabidang yang hanya memiliki pilihan tunggal bilangan bulat, sehingga angka nolmerupakan indikasi Remote Procedure Calls. Item lain layak disebutkan adalah stringhex, 01 86 A0 00 00 00 02 00 00 00 04. Ini adalah string untuk perintah rpcinfo-p yangberisi daftar RPC port yang tersedia pada host remote.Menulis Aturan SnortSnort menyediakan kemampuan untuk membuat aturan adat, atau tanda tangan, untukmenyaring konten yang spesifik. Kode sumber dikompilasi menyediakan ratusan pra-tertulis aturan. Namun, mungkin ada saat-saat ketika Anda perlu membuat aturan yangtidak disertakan secara default. Mengingat dunia yang serba cepat deteksi intrusi danbahwa ancaman baru yang dirilis pada hari, kemampuan untuk cepat menulis aturan adatsering dapat membuat atau menghancurkan karir Anda sebagai keamanan informasi yangprofesional!Aturan Snort sederhana untuk menulis namun cukup kuat untuk menangkap jenissebagian besar lalu lintas. Ada lima pilihan untuk diingat ketika menulis aturan:• Pass - Ini berarti Anda ingin drop paket dan mengambil tindakan apapun.• Log - Pilihan ini memungkinkan Anda untuk log tindakan tertentu ke lokasi yang Andatentukan dalam file konfigurasi snort Anda (misalnya snort.conf).*Tanda - Pilihan ini memungkinkan Anda untuk mengirimkan alert ke server syslogpusat, jendela pop-up melalui SMB atau menulis file ke file terpisah waspada. Filewaspada umumnya digunakan dengan alat seperti Swatch (Watcher Sederhana) untukmengingatkan analis untuk tanda-tanda intrusi atau elektronik gangguan. Setelahperingatan tersebut dikirim, paket yang login.• Aktifkan - Opsi ini menentukan bahwa Snort adalah untuk mengirim peringatan dankemudian mengaktifkan aturan lain yang dinamis. Misalnya, Snort dapat dikonfigurasiuntuk secara dinamis memblokir

×