Intro to Network Security and Scanning
Network Security
I t t N t k S it Int ro t o Net work Securit y and Scanning and Scanning
Muhammad Zen Samsono Hadi, ST. MSc.
Network Security Politeknik Elektronika Negeri Surabaya Politeknik Elektronika Negeri Surabaya 2011
PENS-ITS
Network Security
Net work Securit y In Act ion Net work Securit y In Act ion
Client Configuration DNS Network Services FTP/Telnet SMTP/POP Web Server
IP & Port Scanning Web Server Exploit Email Exploit DoS Attack Trojan Attack Sniffing Traffic KeyStroke Logging Password Cracking MITM Attack Hardening Host AntiVirus Applications Using Firewall Using GPG/PGP Using SSH Using Certificate Using IPSec System Log Analysis Intrusion Detection HoneyPot Spyware Detection and Backup and Restore Finding Hidden Data Analysis System y Removal Restore Hidden Data
PENS-ITS
Network Security
Mengapa perlu Securit y Jar. ? Mengapa perlu Securit y Jar ?
Internal attacker External attacker Virus Corporate Assets permissions Incorrect pencurian dan titik2 kelemahan dari suatu organisasi. Desain security jaringan melindungi aset perusahaan dari perusahaan dan untuk membuat respon jika ada pencurian. Untuk mendesain security, analisa resiko yang timbul ke aset Untuk mendesain security, analisa resiko yang timbul ke aset PENS-ITS
Network Security
Prinsip Keamanan Jaringan Prinsip Keamanan Jaringan
- Confidentiality (Kerahasiaan pesan) Confidentiality (Kerahasiaan pesan) – Melindungi informasi dari serangan.
- Integrity (keaslian pesan) g y ( p )
- – Menurunkan problem yang mungkin muncul yang disebabkan oleh data yang hilang/dirubah.
- Authentication (keabsahan pengirim)
- Non Repudiation (anti penyangkalan)
PENS-ITS
Exploit s (1) Exploit s (1)
Network Security
- What is an Exploit? – Crackers break into a computer network by exploiting weaknesses in operating system services.
- Types of attacks – Local – Remote • Categories of exploits g p – zero-day attack (pada bug-bug software/patch dimasuki virus)
- – Account cracking – Buffer overflow – Denial of service
- – Impersonation
PENS-ITS
Exploit s (2) Exploit s (2)
Network Security
- Categories of exploits (cont.) g p ( ) – Man in the middle
- – Misconfiguration N t k iffi – Network sniffing
- – Session hijacking – System/application design errors y pp g
PENS-ITS
Network Security
SANS Securit y Threat s SANS Securit y Threat s SANS/FBI top 20 security • threats th t http://www.sans.org/top20/ – achieve achieve Goals attackers try to • – Gain unauthorized access Destroy vital data – i l d root level Obtain administrative or – Individual selfish goals g – service Deny legitimate users –
Criminal intent –
PENS-ITS
Network Security
Securit y St at ist ics: At t ack Trends d
Computer Security Institute ( p y ( http://www.gocsi.com p g ) • ) Growing Incident Frequency • Incidents reported to the Computer Emergency Response – – 1997: 2,134 Team/Coordination Center T /C di ti C t
- – 1998: 1998 3 474 (75% 3,474 (75% growth from previous year) th f i ) 1999: 9,859 (164% growth) – 2001: 52,658 (142% growth) – 2000: 21,756 (121% growth) 2000 – 21 756 (121% th) Tomorrow? – T ?
PENS-ITS
Network Security
At t ack Target s At t ack Target s
- SecurityFocus SecurityFocus
- – 31 million Windows-specific attacks
- – 22 million UNIX/LINUX attacks
- – 7 million Cisco IOS attacks illi i k
- – All operating systems are attacked! p g y
PENS-ITS
Network Security
Hackers Vs Crackers Hackers Vs Crackers
- Ethical Hackers vs. Crackers
- – Hacker usually is a programmer constantly seeks further knowledge, freely share what they have discovered, and never intentionally damage data. discovered and never intentionally damage data
- – Cracker breaks into or otherwise violates system integrity with malicious intent. They destroy vital data or cause problems for their targets. data or cause problems for their targets
PENS-ITS
Network Security
e p y T k c PENS-ITS a tt A
Network Security
Types of At t acks Types of At t acks Physical Access
Attacks
Social Engineering Wiretapping/menyadap --- -- Attacks Dialog Attacks Opening Attachments Password Theft Vandalism/perusakan p --
- (Merubah pesan) Scanning Break-in Denial of Service Viruses Worms (Probing) (Probing)
- Definisi Social enginering (dikenalkan Kevin Mitnick)
– Suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user
– seni dan ilmu memaksa orang untuk memenuhi harapan anda ( Bernz ), – Mendapatkan informasi yang diperlukan (misalnya sebuah password) Mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang daripada merusak sebuah sistem (Berg). legitimate dari sebuah sistem komputer (Palumbo) - Tujuan dasar social engineering sama seperti umumnya hacking: mendapatkan akses tidak resmi pada sistem atau c
informasi untuk melakukan penipuan, intrusi jaringan, mata-
g: e d p ses d es p d s s e u untuk mengganggu sistem atau jaringan. mata industrial, pencurian identitas, atau secara sede • Target-target tipikal termasuk perusahaan telepon dan jasa-jasa
dengan nama besar, badan-badan militer dan pemerintah dan
pemberian jawaban, perusahaan dan lembaga keuangan rumah sakit. h kitPENS-ITS
- – sabotase, iklan, dan assisting
- • Port scanner (nmap) • Footprinting (nslookup, whois, dig)
- Network enumeration (nullsession) : cari account name yang sah • Using access and/or information gained • Gaining & keeping root / administrator access
- Attack • Attack – Denial of Services (DoS) :Network flooding – Malware :Virus, worm, trojan horse M l Vi j h – Buffer overflows : Software error • Leaving backdoor g
- – Brute force
- Covering his tracks (hapus jejak)
PENS-ITS
• Eavesdropping biasa disebut dengan spoofing Eavesdropping, biasa disebut dengan spoofing,
cara penanganan dengan Encryption • Impersonation dan message alteration • Impersonation dan message alteration ditangani dengan gabungan enkripsi dan autentikasi autentikasi- Port scanning adalah proses koneksi ke port-port TCP atau g p p p UDP pada host yang menjadi target untuk menentukan service
• Dengan mengidentifikasi port-port yang listening ini kita dapat D id tifik i t t li t i i i kit d t
apa yang sedang berjalan (Listening). dipergunakan pada host tersebut. menentukan jenis aplikasi dan sistem operasi apa yang - Service yang dalam status listening ini memungkinkan orang yang tidak berhak menerobos ke dalam host tersebut.
- “The Well Known Ports are assigned by the IANA and on or by programs executed by privileged users”. most systems can only be used by system (or root) processes l b d b ( ) A list of commonly used well known ports are . • • Port 21 – FTP, control • Port 20 – FTP, data o t 0 , data • Port 23 – Telnet • Port 23 Telnet • Port 22 – SSH • Port 53 – DNS • Port 25 – SMTP
- Port 80 - HTTP
PENS-ITS
- Netstat Netstat merupakan utility yang powerfull untuk menngamati current connection, interface mana yang listening, siapa saja yang state pada server, service apa yang listening untuk incomming • Nmap terhubung. sampai sekarang.
Merupakan software scanner yang paling tua yang masih dipakai Merupakan software scanner yang paling tua yang masih dipakai
- Nessus Nessus merupakan suatu tools yang powerfull untuk melihat Nessus akan memberikan report secara lengkap apa kelemahan
kelemahan port yang ada pada komputer kita dan komputer lain.
komputer kita dan bagaimana cara mengatasinya.PENS-ITS
Server Hacking (Mendengar yg tdk boleh) Eavesdropping Eavesdropping Penetration Penetration Attacks Information Theft Message Alteration Message Alteration Impersonation (meniru) (Usaha menembus) Malware
PENS-ITS
Network Security
Social Engineering Social Engineering
Network Security
Bent uk Social Engineering Bent uk Social Engineering
Social Engineering dengan telepon (IVR atau phone pishing) •
– Seorang hacker akan menelpon dan meniru seseorang dalam suatu kedudukan S h k k l d i d l k d d k
berwenang atau yang relevan dan secara gradual menarik informasi dari user.Diving Dumpster •
– Sejumlah informasi yang sangat besar bisa dikumpulkan melalui company j y g g p p y
Dumpster.Social engineering on-line : • – Internet adalah lahan subur bagi para teknisi sosial yang ingin mendapatkan p password Persuasi •
– Berpura-pura menjadi administrator jaringan, mengirimkan e-mail melalui
jaringan dan meminta password seorang user. Reverse social engineering • – Sasaran utamanya adalah untuk meyakinkan orang untuk memberikan Sasaran utamanya adalah untuk meyakinkan orang untuk memberikan informasi yang sensitif
PENS-ITS
Network Security
Penet rat ion At t acks St eps Penet rat ion At t acks St epsNetwork Security
is is o o h h PENS-ITS w w
Network Security
ig ig d d PENS-ITS n n a a d d p p
Network Security
Scanning (Probing) At t acks Scanning (Probing) At t acks 172.16.99.1 Reply from 172.16.99.1, 172.16.99.2, etc. Probe Packets to 172.16.99.1 Host Internet No Host Results Attacker Attacker 172.16.99.2 No Reply 172.16.99.2 is not reachable 172.16.99.1 is reachable 172 16 99 1 is reachable Corporate Network …
PENS-ITS
Network Security
g g in in n n n n a a c c S S PENS-ITS rk rk o o tw tw e e
Network Security
Denial-of -Service (DoS) Flooding At t ack l d k
Message Flood
Message Flood Overloaded By Server Server AttackerPENS-ITS
Network Security
le le p p m m a a x x E E PENS-ITS y y
B B S S o o
Network Security
Dialog At t ack Dialog At t ack
PENS-ITS
Network Security
Eavesdropping on a Dialog Eavesdropping on a Dialog
Dialog Client PC Hello Client PC Bob Server Alice Hello
Attacker (Eve) intercepts Hello and reads messages PENS-ITS
Network Security
Password At t ack By Example Password At t ack By Example
PENS-ITS
Network Security
le le p p m m a a x x E E y y PENS-ITS
B B g g n n fi fi if if
Network Security
r r e e g g g g o o PENS-ITS
L L y y e e K K
Network Security
Message Alt erat ion Message Alt erat ion
Di l Dialog
Client PC Server Balance = $1 Balance = $1,000,000 Bob Server Alice $1 Balance = B l Attacker (Eve) intercepts $1 and alters messages Balance = $1,000,000 and alters messages
PENS-ITS g in Network Security b ro P n a d g in n PENS-ITS n a c S rk
Network Security
p p a a
paket paket
m m
CP
n n
T TCP
g g PENS-ITS in in n n n n
dengan dengan
a a c c S S
Network Security
PENS-ITS
Network Security 31
g g la la PENS-ITS F F
Network Security e e k k 32 a a sh sh d d n n a a H H PENS-ITS y y a a W W e e
Network Security
Port Scanning Port Scanning
PENS-ITS
Network Security
Well Known Port s Well Known Port s
Network Security
Tools Scanning Tools Scanning
Network Security
Scan Result Scan Result a. Open atau Accepted: Hasil dari scan dibagi dalam 3 kategori berikut g g pada port
Host mengirim reply yang menunjukkan service “listening”
b. Closed atau Denied atau Not Listening: Host mengirim reply yang menunjukkan koneksi akan ditolak c. Filtered, Dropped atau Blocked: c. Filtered Dropped atau Blocked: pada port tsb.
Tidak ada reply dari host.
PENS-ITS
Network Security
n n a a c c S S l l si si a a PENS-ITS
H H h h to to n n o o
Network Security
Type Scanning Type Scanning
Jenis scan ini terhubung ke port host target dan menyelesaikan three-way b. TCP SYN Scan -sS Scan ini mudah terdeteksi oleh pengelola host target. penuh tidak sampai terbentuk. Suatu paket SYN dikirimkan ke port host
Teknik ini dikenal sebagai half-opening scanning karena suatu koneksi
target. Bila SYN/ACK diterima dari port host target, maka kita dapat il S /AC di i d i h k ki d listening. listening Jika RST/ACK diterima, biasanya menunjukkan bahwa port tersebut tidak mengambil kesimpulan bahwa port tersebut dalam status listening. dibandingkan dengan TCP koneksi penuh dan tidak akan tercatat pada log dibandingkan dengan TCP koneksi penuh dan tidak akan tercatat pada log sehingga koneksi penuh tidak akan terbentuk. Teknik ini bersifat siluman Suatu RST/ACK akan dikirim oleh mesin yang melakukan scanning host target.PENS-ITS
Network Security
Type Scanning (Cont -) Type Scanning (Cont )
c. TCP FIN scan –sF RFC 793, host target akan mengirim balik suatu RST untuk setiap port
Teknik ini mengirimkan suatu paket FIN ke port host target. Berdasarkan
Teknik ini hanya dapat dipakai pada stack TCP/IP berbasis Unix. k ik i i h d di k i d k / b b i i yang tertutup.d. TCP Xmas tree scan -sX
target. Berdasarkan RFC 793,host target akan mengembalikan suatu RST d k C 93 h k b lik S
Teknik ini mengirimkan suatu paket FIN, URG dan PUSH ke port host
e. TCP Null scan -sN untuk semua port yang tertutup. mengirim balik suatu RST untuk semua port yang tertutup.T k ik i i Teknik ini membuat off semua flag. Berdasarkan RFC 793, host target akan b ff fl B d k RFC 793 h k
PENS-ITS
Network Security
Type Scanning (Cont ) Type Scanning (Cont -)
f. TCP ACK scan -sA Teknik ini digunakan untuk memetakan set aturan firewall. Hal ini sangat membantu dalam T k ik i i di k k k fi ll H l i i b d l menentukan apakah firewall yang dipergunakan adalah simple packet filter yang g. TCP Windows scan -sW yang menjalankan advance packet filtering.
membolehkan hanya koneksi penuh saja (koneksi dengan bit set ACK) atau suatu firewall
sistem tertentu seperti pada AIX dan Free BSD sehubungan dengan anomali dari ukuran
Teknik ini dapat mendeteksi port-port terbuka maupun terfilter/tidak terfilter pada sistem-
windows TCPnya.h. TCP RPC Scan -sR Teknik ini spesifik hanya pada sistem Unix dan digunakan untuk mendeteksi dan mengidentifikasi port RPC dan program serta nomor versi yang berhubungan dengannya i. UDP Scan sU i. UDP Scan -sU memberikan response pesan berupa “ICMP port unreachable” artinya port ini tertutup. Teknik ini mengirimkan suatu paket UDP ke port host target. Bila port host target j. Juga bisa mendeteksi tipe OS yang digunakan (nmap –O) terbuka. terbuka. Sebaliknya bila tidak menerima pesan tersebut, kita dapat menyimpulkan bahwa port tersebut
PENS-ITS