Snort 04
of 25
-
Upload
ahmad-mahbubi-rawi -
Category
Documents
-
view
216 -
download
0
Transcript of Snort 04
-
8/15/2019 Snort 04
1/25
-
8/15/2019 Snort 04
2/25
•
Latar Belakang• Apa itu SNORT?• Bagaimana menggunakan SNORT• Desain dan Arsitektur SNORT
TOPIK PRESENTASI
-
8/15/2019 Snort 04
3/25
•
Intrusion Detection, didenisikan sebagai:“masalah mengidentikasi akses individu yangmenggunakan sebuah sistim komputer tanpa ha
• Percobaan untuk masuk secara paksa juga harus teridentikasi
• Intrusion Detectionbukanlah Intrusion Prevention
INTRUSION DETECTION
-
8/15/2019 Snort 04
4/25
•
Kesuksesan Intrusion Detection tidak hanya terkepadateknologi , namun juga kepadapolicy danmanagement
•
Security policymendenisikan apa yang boleh atau tidak boleh dilakukan• Notikasi• Koordinasi dalam memberikan respon
POLICY
-
8/15/2019 Snort 04
5/25
•
Apa itu SNORT?• SNORT adalah multi-mode packet analysis tool• Sniffer• Packet Logger• Forensic Data Analysis Tool• Network Intrusion Detection System
• Darimana datangnya?• Dibuat dan dikembangkan pertama kali oleh Martin Roesh, lalu men
opensource project. Versi komersial dibuat oleh SOURCEFIRE.
PERKENALAN DENGANSNORT
-
8/15/2019 Snort 04
6/25
•
Berukuran kecilSource code dan rules untuk rilis 2.1.1 hanya 2256k• Portable untuk banyak OS
telah diporting ke Linux, Windows, OSX, Solaris, BSD, IRIX, Tru64,
• Cepatmampu mendeteksi serangan pada 100Mbps network
• Mudah dikongurasi• Free
Opensource software with GPL license
MATRIKS
-
8/15/2019 Snort 04
7/25
•
Packet snifng yang “sangat ringan”• Snifng interface berbasis libpcap• Rules-based detection engine• Memiliki plug-in systems menjadikannya sang
DESAINSNORT
-
8/15/2019 Snort 04
8/25
•
Memiliki signatures dalam bentuk rules• Memiliki elemen-elemen deteksi modular terko
untuk membentuk signatures• Memiliki kapabilitas deteksi yang sangat luas
• Stealth scans, OS ngerprinting, buffer overows, shellcodes, backdSQL injections, dll
•
Rules system sangatlah eksibel, dan untuk mesebuah rules relatif sangat mudah
DETECTION ENGINE
-
8/15/2019 Snort 04
9/25
•
Pre-Processor• Dilakukan analisis dan/atau manipulasi terhadap packets sebelum dikdetection engine
• Detection• Melakukan sebuah atau beberapa test pada sebuah bagian dari packe
• Output• Memberikan report dan alert
PLUG-INS
-
8/15/2019 Snort 04
10/25
•
Standard packet snifng• Policy Enforcement• Honeypot monitor• Scan detections
PENGGUNAANSNORT
-
8/15/2019 Snort 04
11/25
IMPLEMENTASI NIDS
FilteringRouter
(Perimeter Logs)
Firewall(Perimeter
Logs)
Generic Server (Host-Based ID)
Network IDS(Snort)
Internet
Statistical IDS(Snort)
-
8/15/2019 Snort 04
12/25
•
Modus operasi utama• Sniffer mode• Packet Logger Mode• NIDS mode• Forensic Data Analysis Mode
• Modus operasi yang dikongurasi dari CLI (CoInterface)
• SNORT akan secara otomatis masuk ke modus NIDS jika tidak dibeswitches dan kemudian mencari serta menggunakan kongurasi pad
MENGGUNAKANSNORT
-
8/15/2019 Snort 04
13/25
•
Bekerja seperti tcpdump• Melakukan dekoding terhadap packets dan men
hasilnya ke stdout• BPF ltering interface tersedia memilah-milahtrafc
SNIFFER MODE
-
8/15/2019 Snort 04
14/25
TAMPILANSNORT PACKET DUMP
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/09-11:12:02.954779 10.1.1.6:1032 -> 10.1.1.8:23TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20FF FC 23 FF FC 27 FF FC 24 FF FA 18 00 41 4E 53 ..#..'..$....ANS49 FF F0 I..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/09-11:12:02.956582 10.1.1.8:23 -> 10.1.1.6:1032TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 200D 0A 0D 0A 53 75 6E 4F 53 20 35 2E 37 0D 0A 0D ....SunOS 5.7...00 0D 0A 0D 00 .....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
-
8/15/2019 Snort 04
15/25
TAMPILAN TCPDUMP11:16:35.648944 10.1.1.8.23 > 10.1.1.6.1033: P 16:34(18) ack 16 win 8760 (DF) (ttl
255, id 49913) 4500 003a c2f9 4000 ff06 a2b4 0a01 0108 0a01 0106 0017 0409 1cf9 e7f6 001a e050 5018 2238 31c6 0000 fffe 1fff fe23 fffe 27ff fe24 fffa11:16:35.649457 10.1.1.6.1033 > 10.1.1.8.23: P 16:19(3) ack 34 win 8727 (DF) (ttl
128, id 57861)
4500 002b e205 4000 8006 02b8 0a01 0106 0a01 0108 0409 0017 001a e050 1cf9 e808 5018 2217 6f19 0000 fffc 1f20 2020
-
8/15/2019 Snort 04
16/25
•
Menyimpan packets ke disk (harddisk, remove• Pilihan packet logging
• Flat ASCII (teks), tcpdump format, XML, database (MySQL, MsSQ
• Melakukan logging semua data dan kemudian duntuk mendeteksi aktivitas yang dicurigai
PACKET LOGGER MODE
-
8/15/2019 Snort 04
17/25
•
Menggunakan semua fase-kerja SNORT & pluuntuk menganalisa trafc agar mendeteksipenyalahgunaan dan anomalous activities
•
Dapat melakukan deteksi portscanning, IPdefragmentation, TCP stream reassembly, applanalysis, normalisasi, dsb
NIDS MODE
-
8/15/2019 Snort 04
18/25
•
Pilihan output• DatabaseMySQL, MsSQL, PostgreSQL, Oracle, unixODBC, dsb
• XML• Tcpdump binary format• Unied (snort specic) format• ASCII (teks)•
syslog atau WinPopUp• dsb
NIDS MODE..
-
8/15/2019 Snort 04
19/25
•
Memiliki rules yang sangat banyak yang digunsebagai signature dari detection engine• Modus deteksi yang beragam
•
Rules (signature)• Statistical anomaly• Protocol verication
NIDS MODE..
-
8/15/2019 Snort 04
20/25
•
Goals:• Lebih cepat• Lebih extensible• Protocol support yang lebih baik• Lebih baik dalam menganalisa aktivitas network intrusion secara kes
ARSITEKTURSNORT v2.X
-
8/15/2019 Snort 04
21/25
•
Fleksibilitas• Akuisisi data• Trafc decoders
• Protokol analisis dan verikasi• Multi-path trafc ows, packets & streams
• Multi-format rules input• Database, XML, dsb
• Detection engine yang plugable• Standard NIDS, target-based NIDS, statistical NIDS, host-based N
SNORT v2.X PLUG-INS
-
8/15/2019 Snort 04
22/25
SNORT v2.X DETECTION ENG
content: “”foo”;
content: “bar”;
content: “baz”;
alert tcp
Dip: 2.2.2.2
Dip: 10.1.1.0/24
Flags: A+;
Sip: 1.1.1.1
Dp: 80
-
8/15/2019 Snort 04
23/25
• Fleksibilitas• Akuisisi data• Trafc decoders
• Protokol analisis dan verikasi• Multi-path trafc ows, packets & streams
• Multi-format rules input• Database, XML, dsb
• Detection engine yang plugable• Standard NIDS, target-based NIDS, statistical NIDS, host-based N
SNORT v2.X PLUG-INS
-
8/15/2019 Snort 04
24/25
• SNORT project,http://www.snort.org/
• SNORT for Windowshttp://www.datanerds.net/~mike/
• Writing SNORT rules,http://www.snort.org/snort_rules.html
• FAQ, MANUAL PAGE, README, USAGE• SNORT mailing-list• Commercial SNORT Network Security Applia
http://www.sourcere.com/
MORE ABOUTSNORT
-
8/15/2019 Snort 04
25/25
N PIG h d d i h ki f hi i
