modul 1 - intro network security and scanning
TRANSCRIPT
Network Security
Intro to Network S I t t N t k Security it and ScanningMuhammad Zen Samsono Hadi, ST. MSc. Network Security Politeknik Elektronika Negeri Surabaya 2011PENS-ITS
Network Security
Network Security In ActionClient Configuration DNS Network Services FTP/Telnet SMTP/POP Web Server
IP & Port Scanning
Web Server Exploit
Email Exploit
DoS Attack
Trojan Attack
Sniffing Traffic
KeyStroke Logging
Password Cracking
MITM Attack
Hardening Host
AntiVirus Applications
Using Firewall
Using GPG/PGP
Using SSH
Using Certificate
Using IPSec
System Log Analysis
Intrusion Detection System
HoneyPot y
Spyware Detection and Removal
Backup and Restore
Finding Hidden Data
PENS-ITS
Network Security
Mengapa perlu Security Jar ? Jar.?Internal attacker External attacker
Corporate AssetsVirus
Incorrect permissions
Desain security jaringan melindungi aset perusahaan dari pencurian dan titik2 kelemahan dari suatu organisasi. Untuk mendesain security, analisa resiko yang timbul ke aset perusahaan dan untuk membuat respon jika ada pencurian.PENS-ITS
Network Security
Prinsip Keamanan Jaringan Confidentiality (Kerahasiaan pesan) Melindungi informasi dari serangan.
Integrity (keaslian pesan) g y( p ) Menurunkan problem yang mungkin muncul yang disebabkan oleh data yang hilang/dirubah.
Authentication (keabsahan pengirim) Non Repudiation (anti penyangkalan)
PENS-ITS
Network Security
Exploits (1) What is an Exploit? Crackers break into a computer network by exploiting weaknesses in operating system services. Local Remote zero-day attack (pada bug-bug software/patch dimasuki virus) Account cracking Buffer overflow Denial of service Impersonation
Types of attacks
Categories of exploits g p
PENS-ITS
Network Security
Exploits (2) Categories of exploits ( g p (cont.) ) Man in the middle Misconfiguration Network sniffing N t k iffi Session hijacking System/application design errors y pp g
PENS-ITS
Network Security
SANS Security Threats SANS/FBI top 20 security threats th t http://www.sans.org/top20/
Goals attackers try to achieve Gain unauthorized access Obtain administrative or root level Destroy vital data i ld Deny legitimate users service Individual selfish goals g Criminal intent
PENS-ITS
Security Statistics: Attack Trends d
Network Security
Computer Security Institute ( p p y (http://www.gocsi.com) g ) Growing Incident Frequency Incidents reported to the Computer Emergency Response Team/Coordination Center T /C di ti C t 1997: 1998 1998: 1999: 2,134 3,474 3 474 (75% growth from previous year) th f i ) 9,859 (164% growth)
2000 21 756 (121% growth) 2000: 21,756 th) 2001: 52,658 (142% growth) T Tomorrow? ?PENS-ITS
Network Security
Attack Targets SecurityFocus 31 million Windows-specific attacks 22 million UNIX/LINUX attacks 7 million Cisco IOS attacks illi i k All operating systems are attacked! p g y
PENS-ITS
Network Security
Hackers Vs Crackers Ethical Hackers vs. Crackers Hacker usually is a programmer constantly seeks further knowledge, freely share what they have discovered, discovered and never intentionally damage data. data Cracker breaks into or otherwise violates system integrity with malicious intent. They destroy vital data or cause problems for their targets. targets
PENS-ITS
Network Security
Attack Type
PENS-ITS
Network Security
Types of AttacksAttacksPhysical Access Social Engineering Attacks --Opening Attachments Wiretapping/menyadap Dialog Attacks Password Theft Server Hacking -Information Theft Vandalism/perusakan Eavesdropping p Penetration (Mendengar yg tdk boleh) Attacks Impersonation (Usaha menembus) (meniru) Malware Message Alteration -(Merubah pesan) Denial of Viruses Break-in Service Worms Scanning (Probing)
PENS-ITS
Network Security
Social Engineering Definisi Social enginering (dikenalkan Kevin Mitnick) seni dan ilmu memaksa orang untuk memenuhi harapan anda ( Bernz ), Suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user legitimate dari sebuah sistem komputer (Palumbo) Mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang daripada merusak sebuah sistem (Berg).
Tujuan dasar social engineering sama seperti umumnya hacking: mendapatkan akses tidak resmi pada sistem atau c g: e d p ses d es p d s s e u informasi untuk melakukan penipuan, intrusi jaringan, matamata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau jaringan. Target-target tipikal termasuk perusahaan telepon dan jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan dengan nama besar, badan-badan militer dan pemerintah dan rumah sakit. h kitPENS-ITS
Network Security
Bentuk Social Engineering Social Engineering dengan telepon (IVR atau phone pishing) S Seorang h k akan menelpon dan meniru seseorang dalam suatu kedudukan hacker k l d i d l k d d k berwenang atau yang relevan dan secara gradual menarik informasi dari user.
Diving Dumpster Sejumlah informasi yang sangat besar bisa dikumpulkan melalui company j y g g p p y Dumpster.
Social engineering on-line : Internet adalah lahan subur bagi para teknisi sosial yang ingin mendapatkan p password Berpura-pura menjadi administrator jaringan, mengirimkan e-mail melalui jaringan dan meminta password seorang user.
Persuasi Sasaran utamanya adalah untuk meyakinkan orang untuk memberikan informasi yang sensitif
Reverse social engineering sabotase, iklan, dan assisting PENS-ITS
Network Security
Penetration Attacks Steps Footprinting (nslookup, whois, dig) Port scanner (nmap) Network enumeration (nullsession) : cari account name yang sah Gaining & keeping root / administrator access Using access and/or information gained Attack Denial of Services (DoS) :Network flooding Buffer overflows : Software error M l Malware :Virus, worm, trojan horse Vi j h Brute force g Leaving backdoor Covering his tracks (hapus jejak)PENS-ITS
Network Security
whois
PENS-ITS
Network Security
nslookup dan dig
PENS-ITS
Network Security
Scanning (Probing) AttacksReply from 172.16.99.1 Host 172.16.99.1 Probe Packets to 172.16.99.1, 172.16.99.2, etc. Internet Attacker No Host 172.16.99.2 No Reply Results 172.16.99.1 172 16 99 1 is reachable 172.16.99.2 is not reachable
Corporate Network
PENS-ITS
Network Security
Network Scanning
PENS-ITS
Denial-of-Service (DoS) Flooding Attack l d kMessage Flood
Network Security
Server Overloaded By Message Flood
Attacker
PENS-ITS
Network Security
DoS By Example
PENS-ITS
Network Security
Dialog Attack Eavesdropping biasa disebut dengan spoofing, Eavesdropping, spoofing cara penanganan dengan Encryption Impersonation dan message alteration ditangani dengan gabungan enkripsi dan autentikasi
PENS-ITS
Network Security
Eavesdropping on a DialogDialog
Hello Client PC Bob Hello Attacker (Eve) intercepts and reads messages PENS-ITS Server Alice
Network Security
Password Attack By Example
PENS-ITS
Network Security
Sniffing By Example
PENS-ITS
Network Security
KeyLogger
PENS-ITS
Network Security
Message AlterationDialog Di l
Client PC Bob Balance = $1
Balance = $1
Balance = $1,000,000
Server Alice
Balance = B l $1,000,000 Attacker (Eve) intercepts and alters messages PENS-ITS
Network Security
Network Scanning dan Probing
PENS-ITS
Network Security
Scanning nmap Scanning nmap dengan TCP paket
PENS-ITS
Network Security
PENS-ITS
Network Security
Flag
PENS-ITS
31
Network Security
Three Way Handshake
PENS-ITS
32
Network Security
Port Scanning Port scanning adalah proses koneksi ke port-port TCP atau g p p p UDP pada host yang menjadi target untuk menentukan service apa yang sedang berjalan (Listening). D Dengan mengidentifikasi port-port yang listening ini kita dapat id tifik i t t li t i i i kit d t menentukan jenis aplikasi dan sistem operasi apa yang dipergunakan pada host tersebut. Service yang dalam status listening ini memungkinkan orang yang tidak berhak menerobos ke dalam host tersebut.
PENS-ITS
Network Security
Well Known Ports The Well Known Ports are assigned by the IANA and on most systems can only be used by system (or root) processes l b db ( ) or by programs executed by privileged users. A list of commonly used well known ports are . Port 20 FTP, data ot 0 , Port 21 FTP, control Port 22 SSH Port 23 Telnet Port 25 SMTP Port 53 DNS Port 80 - HTTPPENS-ITS
Network Security
Tools Scanning Netstat Netstat merupakan utility yang powerfull untuk menngamati current state pada server, service apa yang listening untuk incomming connection, interface mana yang listening, siapa saja yang terhubung. Nmap Merupakan software scanner yang paling tua yang masih dipakai sampai sekarang. Nessus Nessus merupakan suatu tools yang powerfull untuk melihat kelemahan port yang ada pada komputer kita dan komputer lain. Nessus akan memberikan report secara lengkap apa kelemahan komputer kita dan bagaimana cara mengatasinya.PENS-ITS
Network Security
Scan ResultHasil dari scan dibagi dalam 3 kategori berikut g g a. Open atau Accepted: Host mengirim reply yang menunjukkan service listening pada port b. Closed atau Denied atau Not Listening: Host mengirim reply yang menunjukkan koneksi akan ditolak pada port tsb. c. Filtered Dropped atau Blocked: Filtered, Tidak ada reply dari host.
PENS-ITS
Network Security
Contoh Hasil Scan
PENS-ITS
Network Security
Type Scanninga. TCP connect scan -sT Jenis scan ini terhubung ke port host target dan menyelesaikan three-way handshake (SYN, SYN/ACK dan ACK) . Scan ini mudah terdeteksi oleh pengelola host target. b. TCP SYN Scan -sS Teknik ini dikenal sebagai half-opening scanning karena suatu koneksi penuh tidak sampai terbentuk. Suatu paket SYN dikirimkan ke port host target. Bila S /AC diterima dari port host target, maka kita dapat il SYN/ACK di i d i h k ki d mengambil kesimpulan bahwa port tersebut dalam status listening. Jika RST/ACK diterima, biasanya menunjukkan bahwa port tersebut tidak listening. listening Suatu RST/ACK akan dikirim oleh mesin yang melakukan scanning sehingga koneksi penuh tidak akan terbentuk. Teknik ini bersifat siluman dibandingkan dengan TCP koneksi penuh dan tidak akan tercatat pada log host target.PENS-ITS
Network Security
Type Scanning (Cont-) (Cont )c. TCP FIN scan sF Teknik ini mengirimkan suatu paket FIN ke port host target. Berdasarkan RFC 793, host target akan mengirim balik suatu RST untuk setiap port yang tertutup. Teknik ini hanya dapat dipakai pada stack TCP/IP berbasis Unix. k ik i i h d di k i d k / b b i i d. TCP Xmas tree scan -sX Teknik ini mengirimkan suatu paket FIN, URG dan PUSH ke port host target. Berdasarkan RFC 793,host target akan mengembalikan suatu RST d k C 93 h k b lik S untuk semua port yang tertutup. e. TCP Null scan -sN Teknik ini T k ik i i membuat off semua flag. Berdasarkan RFC 793, host target akan b ff fl B d k 793 h k mengirim balik suatu RST untuk semua port yang tertutup.
PENS-ITS
Network Security
Type Scanning (Cont-) (Cont )f. TCP ACK scan -sA Teknik ini digunakan untuk memetakan set aturan fi T k ik i i di k k k firewall. Hal i i sangat membantu d l ll H l ini b dalam menentukan apakah firewall yang dipergunakan adalah simple packet filter yang membolehkan hanya koneksi penuh saja (koneksi dengan bit set ACK) atau suatu firewall yang menjalankan advance packet filtering. g. TCP Windows scan -sW Teknik ini dapat mendeteksi port-port terbuka maupun terfilter/tidak terfilter pada sistemsistem tertentu seperti pada AIX dan Free BSD sehubungan dengan anomali dari ukuran windows TCPnya. h. TCP RPC Scan -sR Teknik ini spesifik hanya pada sistem Unix dan digunakan untuk mendeteksi dan mengidentifikasi port RPC dan program serta nomor versi yang berhubungan dengannya i. UDP Scan -sU sU Teknik ini mengirimkan suatu paket UDP ke port host target. Bila port host target memberikan response pesan berupa ICMP port unreachable artinya port ini tertutup. Sebaliknya bila tidak menerima pesan tersebut, kita dapat menyimpulkan bahwa port tersebut terbuka. j. Juga bisa mendeteksi tipe OS yang digunakan (nmap O)
PENS-ITS