Recommended
More Related Content
Similar to MEDIA PEMBELAJARAN SNORT.pptx
Similar to MEDIA PEMBELAJARAN SNORT.pptx (13)
Recently uploaded
Recently uploaded (20)
MEDIA PEMBELAJARAN SNORT.pptx
- 1. Protech Your Network Now Snort – Intrusion Detection System Wahyu Eko Supriyadi – SMKN 1 Saptosari - 2022
- 2. SNORT - IDS ● Latar Belakang ○ Apa itu SNORT? ● Bagaimana menggunakan SNORT ● Desain dan Arsitektur SNORT WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 3. INTRUSION DETECTION Intrusion Detection, didefinisikan sebagai: “masalah mengidentifikasi akses individu yang menggunakan sebuah sistem komputer tanpa hak” Percobaan untuk masuk secara paksa juga harus teridentifikasi Intrusion Detection bukanlah Intrusion Prevention WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 4. POLICY Kesuksesan Intrusion Detection tidak hanya tergantung kepada teknologi, namun juga kepada policy dan management • Security policy mendefinisikan apa yang boleh atau tidak boleh dilakukan • Notifikasi • Koordinasi dalam memberikan respon WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 5. PERKENALAN DENGAN SNORT Apa itu SNORT? SNORT adalah multi-mode packet analysis tool • Sniffer • Packet Logger • Forensic Data Analysis Tool • Network Intrusion Detection System Darimana datangnya? Dibuat dan dikembangkan pertama kali oleh Martin Roesh, lalu menjadi sebuah opensource project. Versi komersial dibuat oleh SOURCEFIRE. WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 6. ● Berukuran kecil Source code dan rules untuk rilis 2.1.1 hanya 2256k ● Portable untuk banyak OS telah diporting ke Linux, Windows, OSX, Solaris, BSD, IRIX, Tru64, HP-UX, dll ● Cepat mampu mendeteksi serangan pada 100Mbps network ● Mudah dikonfigurasi ● Free Opensource software with GPL license MATRIKS WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 7. DESAIN SNORT • Packet sniffing yang “sangat ringan” • Sniffing interface berbasis libpcap • Rules-based detection engine • Memiliki plug-in systems menjadikannya sangat fleksibel WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 8. DETECTION ENGINE • Memiliki signatures dalam bentuk rules • Memiliki elemen-elemen deteksi modular terkombinasi untuk membentuk signatures • Memiliki kapabilitas deteksi yang sangat luas o Stealth scans, OS fingerprinting, buffer overflows, shellcodes, backdoors, CGI exploits, SQL injections, dll • Rules system sangatlah fleksibel, dan untuk membuat sebuah rules relatif sangat mudah WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 9. DETECTION ENGINE • Pre-Processor Dilakukan analisis dan/atau manipulasi terhadap packets sebelum dikirimkan ke detection engine • Detection Melakukan sebuah atau beberapa test pada sebuah bagian dari packet • Output Memberikan report dan alert WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 10. PENGGUNAAN SNORT • Standard packet sniffing • Policy Enforcement • Honeypot monitor • Scan detections WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 11. IMPLEMENTASI NIDS WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 12. MENGGUNAKAN SNORT • Modus operasi utama Sniffer mode Packet Logger Mode NIDS mode Forensic Data Analysis Mode • Modus operasi yang dikonfigurasi dari CLI (Command Line Interface) SNORT akan secara otomatis masuk ke modus NIDS jika tidak diberikan command switches dan kemudian mencari serta menggunakan konfigurasi pada file snort.conf WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 13. SNIFFER MODE • Bekerja seperti tcpdump • Melakukan dekoding terhadap packets dan menampilkan hasilnya ke stdout • BPF filtering interface tersedia memilah-milah network traffic WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 14. TAMPILAN SNORT PACKET DUMP =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/09-11:12:02.954779 10.1.1.6:1032 -> 10.1.1.8:23 TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF ***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20 FF FC 23 FF FC 27 FF FC 24 FF FA 18 00 41 4E 53 ..#..'..$....ANS 49 FF F0 I.. =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 11/09-11:12:02.956582 10.1.1.8:23 -> 10.1.1.6:1032 TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF ***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 20 0D 0A 0D 0A 53 75 6E 4F 53 20 35 2E 37 0D 0A 0D ....SunOS 5.7... 00 0D 0A 0D 00 ..... =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 15. TAMPILAN SNORT PACKET DUMP ● 11:16:35.648944 10.1.1.8.23 > 10.1.1.6.1033: P 16:34(18) ack 16 win 8760 (DF) (ttl 255, id 49913) ● 4500 003a c2f9 4000 ff06 a2b4 0a01 0108 ● 0a01 0106 0017 0409 1cf9 e7f6 001a e050 ● 5018 2238 31c6 0000 fffe 1fff fe23 fffe ● 27ff fe24 fffa ● 11:16:35.649457 10.1.1.6.1033 > 10.1.1.8.23: P 16:19(3) ack 34 win 8727 (DF) (ttl 128, id 57861) ● 4500 002b e205 4000 8006 02b8 0a01 0106 ● 0a01 0108 0409 0017 001a e050 1cf9 e808 ● 5018 2217 6f19 0000 fffc 1f20 2020 WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 16. PACKET LOGGER MODE ● Menyimpan packets ke disk (harddisk, removeable disk) ● Pilihan packet logging ○ Flat ASCII (teks), tcpdump format, XML, database (MySQL, MsSQL, ORACLE, dsb) ● Melakukan logging semua data dan kemudian diproses untuk mendeteksi aktivitas yang dicurigai WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 17. ● Menggunakan semua fase-kerja SNORT & plug-ins’nya untuk menganalisa traffic agar mendeteksi penyalahgunaan dan anomalous activities ● Dapat melakukan deteksi portscanning, IP defragmentation, TCP stream reassembly, application layer analysis, normalisasi, dsb NIDS MODE WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 18. NIDS MODE • Pilihan output Database MySQL, MsSQL, PostgreSQL, Oracle, unixODBC, dsb XML Tcpdump binary format Unified (snort specific) format ASCII (teks) syslog atau WinPopUp dsb WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 19. NIDS MODE • Memiliki rules yang sangat banyak yang digunakan sebagai signature dari detection engine • Modus deteksi yang beragam Rules (signature) Statistical anomaly Protocol verification WAHYU EKO SUPRIYADI-SMKN 1 SAPTOSARI-2022
- 20. TERIMAKASIH