1. Sistem Deteksi Intrusion
Berbasis Jaringan
Kelompok
Duwinowo NT : 09.01.53.0008
Eko Purwanto : 09.01.53.0050
Subaedi : 09.01.53.0053
Taufan Arif M : 09.01.53.0065
Miftahul Anwar : 09.01.53.0064
2. KEGUNAAN
Memantau jaringan berdasar
anomali (gejala menyimpang) dari
tanda-tanda sebuah serangan atau
gangguan pada jaringan kita
3. Kebutuhan akan Deteksi Intrusi
Berbasis Jaringan
Serangan dari pihak dalam (intern attack )
cenderung lebih merugikan karena mereka
mempunyai pengetahuan yang lebih mendalam
tentang jaringan internal.
Serangan dari luar (misal dari jaringan internet )
tetap lebih banyak volumenya dibanding
serangan dari dalam
4. Kebutuhan akan Deteksi Intrusi
Berbasis Jaringan
Begitu banyak volume serangan yang
diterima,bisa menembus Firewall juga.
Network-based Intrusion Detecting System
(NIDS) atau Sistem Deteksi Intusi berbasis
Jaringan dapat digunakan sebagai deteksi awal
terhadap gejala-gejala serangan yang muncul.
NIDS akan melakukan langkah penyelidikan
gangguan, analisa ancaman dan penanggulangan
terhadap ancaman tersebut.
5. WinNuke
Salah satu serangan klasik terhadap jaringan
WinNuke mengirimkan sebuah paket tunggal ,
disusun dengan data OOB menggunakan jalur
port TCP 139
Mengakibatkan layar Windows “Blue Screen of
Death”.
7. WinNuke
Nuke eM bekerja dengan cara mengirimkan
sebuah paket ilegal melalui koneksi TCP,
membuat kinerja Windows 95 melemah.
8.
9. BlackIce – Nuke ‘Em Detection
Pada gambar tersebut menunjukkan serangan
Nuke eM terdeteksi dan diblokir oleh Protection
PC BlackIce, sebuah firewall terkemuka.
Area yang disorot menggambarkan NetBIOS
probe dari alamat IP 192.168.1.100 terdeteksi
sebagai sebuah ancaman dan berhasil diblokir
oleh mesin firewall sebanyak 6 kali.
10. Dari dua gambar tadi bisa kita lihat sebuah serangan
jaringan tunggal terhadap rentannya jaringan Microsoft.
WinNuke menjatuhkan sistem Microsoft, oleh
Microsoft di respon dengan sebuah patch yaitu merilis
berbagai kemungkinan penyerang sistem.
Para penyerang membalas dengan modifikasi tools
serangan mereka, dan oleh Microsoft di rilis patch yang
lebih lengkap lagi untuk menyelesaikan serangan ini.
11.
12. Deteksi Intrusi Jaringan 101
Screen shot tersebut menggambarkan sebuah
aktifitas di jaringan yang sangat sibuk dan di
deteksi terjadi penyerangan (ping nmap,probe
port SNMP dan zona DNS transfer)
Logging merupakan bagian integral dari deteksi
intrusi. Akan sangat berguna ketika anda
mencari kerusakan atau penuntutan dari
serangan pada jaringan anda.
13.
14. Dalam contoh ini, di tunjukkan cara
mengaktifkan logging di personal firewall
BlackICE.
Kita mempunyai beberapa tab yang
memungkinkan kita merubah settingan fundsi
dari firewall
Untuk kali ini,kita fokus pada tab “Evidence
Log” dan “Packet Log”
15. Untuk memastikan bahwa logging diaktifkan
pada tab Evidence Log.
Kita juga bisa menyesuaikan ukuran file
maksimum dan jumlah maksimum pengaturan
file untuk mencerminkan jaringan anda
Fitur Packet Log memungkinkan kita
menangkap semua lalu lintas yang datang pada
interface.
16.
17. Pada screen shot tersebut menunjukkan
terjadinya lonjakan aktivita pada jendela
“Events” yang merupakan pengamatan gejala
serangan di sebuah jaringan.
Dapat membantu , menemukan waktu perkiraan
dari suatu peristiwa serangan.
19. Deteksi Intrusi berbasis Sistem Libpcap
Merupakan paket open source menangkap
perpustakaan yang dirancang untuk mengambil
data dari kernel dan menyebarkannya ke lapisan
aplikasi
Libpcap memiliki keuntungan menjadi bebas
untuk menggunakan dan telah terbukti, sejak
awal, menjadi sangat diandalkan
menggunakan library Libpcap termasuk Shadow,
Snort, Cisco IDS (sebelumnya NetRanger), dan
NFR.
20. Deteksi Intrusi Jaringan dengan
Snort
Snort adalah tagihan sebagai sistem deteksi
intrusi jaringan ringan. Ini diperkenalkan kepada
komunitas open-source pada tahun 1998 oleh
pengembang, Marty Roesch. Snort telah cepat
memperoleh reputasi untuk menjadi solusi NIDS
sangat efisien, ringan, dan rendah-biaya dan
berutang popularitas dan fitur yang luas untuk tim
dikhususkan pengembang inti dan basis pengguna
aktif.
22. Aturan Menulis Snort
Pass - Ini berarti Anda ingin drop paket dan
mengambil tindakan apapun.
Log - Pilihan ini memungkinkan Anda untuk log
tindakan tertentu ke lokasi yang Anda tentukan
dalam file konfigurasi snort Anda (misalnya
snort.conf).
23. Alert - Pilihan ini memungkinkan Anda untuk
mengirimkan alert ke server syslog pusat, jendela
pop-up melalui SMB atau menulis file ke file
terpisah waspada. File waspada umumnya
digunakan dengan alat seperti Swatch (Watcher
Sederhana).
Activate - Opsi ini menentukan bahwa Snort
adalah untuk mengirim peringatan dan kemudian
mengaktifkan aturan lain yang dinamis. Misalnya,
Snort dapat dikonfigurasi untuk secara dinamis
memblokir