6 - intro network security and scanning.pdf
TRANSCRIPT
-
Network Security
I t t N t k S it Intro to Network Security and Scanningand Scanning
Network SecurityPoliteknik Elektronika Negeri SurabayaPoliteknik Elektronika Negeri Surabaya
2010
PENS-ITS
-
Network Security
Network Security In ActionNetwork Security In Action
ClientConfiguration DNS Network Services FTP/Telnet SMTP/POP Web Server
IP & PortScanning
Web Server Exploit Email Exploit DoS Attack Trojan Attack
Sniffing Traffic
KeyStroke Logging
Password Cracking MITM Attack
Hardening Host
AntiVirus Applications
Using Firewall
Using GPG/PGP Using SSH
Using Certificate Using IPSec
System Log Analysis
Intrusion Detection HoneyPot
Spyware Detection and Backup and Restore
Finding Hidden DataAnalysis System
yRemoval Restore Hidden Data
PENS-ITS
-
Network Security
Why Secure a Network?Why Secure a Network?
External attacker
Internal attacker
Corporate Assets Incorrect permissionsVirus
A network security design protects assets from threats and vulnerabilities in an organized mannerTo design security, analyze risks to your assets and create To design security, analyze risks to your assets and create responses
PENS-ITS
-
Network Security
Computer Security PrinciplesComputer Security Principles
ConfidentialityConfidentiality Protecting information from exposure and
disclosure Integrity
Decrease possible problems caused by corruption f d tof data
AuthenticationR di ti ( k l ) Repudiation (penyangkalan)
PENS-ITS
-
Network Security
Exploits (1)Exploits (1) What is an Exploit?
Crackers break into a computer network by exploiting weaknesses in operating system services.
Types of attacks Local Remote
Categories of exploitsg p 0-day ( new unpublished) Account cracking Buffer overflow Denial of service Impersonation
PENS-ITS
-
Network Security
Exploits (2)Exploits (2)
Categories of exploits (cont.)g p ( ) Man in the middle Misconfiguration
N t k iffi Network sniffing Session hijacking System/application design errorsy pp g
PENS-ITS
-
Network Security
SANS Security ThreatsSANS Security Threats SANS/FBI top 20 security
th tthreats http://www.sans.org/top20/
Goals attackers try to achieveachieve Gain unauthorized access Obtain administrative or
root leveli l d Destroy vital data
Deny legitimate users service
Individual selfish goalsg Criminal intent
PENS-ITS
-
Network Security
Security Statistics: Attack dTrends
Computer Security Institute (http://www.gocsi.com)p y ( p g ) Growing Incident Frequency
Incidents reported to the Computer Emergency Response T /C di ti C tTeam/Coordination Center
1997: 2,1341998 3 474 (75% th f i ) 1998: 3,474 (75% growth from previous year)
1999: 9,859 (164% growth)2000 21 756 (121% th) 2000: 21,756 (121% growth)
2001: 52,658 (142% growth)T ? Tomorrow?
PENS-ITS
-
Network Security
Attack TargetsAttack Targets
SecurityFocusSecurityFocus
31 million Windows-specific attacks
22 million UNIX/LINUX attacks
illi i k 7 million Cisco IOS attacks
All operating systems are attacked!p g y
PENS-ITS
-
Network Security
Hackers Vs CrackersHackers Vs Crackers
Ethical Hackers vs. Crackers Hacker usually is a programmer constantly seeks
further knowledge, freely share what they have discovered and never intentionally damage datadiscovered, and never intentionally damage data.
Cracker breaks into or otherwise violates system integrity with malicious intent. They destroy vital data or cause problems for their targetsdata or cause problems for their targets.
PENS-ITS
-
Network Security
Attack Type
PENS-ITS
-
Network Security
Types of AttacksTypes of Attacks
Attacks
Physical AccessAttacks
Social Engineering--
--Wiretapping/menyadap
Server HackingVandalism/perusakan
Dialog Attacks--
Eavesdropping Penetration
Opening AttachmentsPassword Theft
Information Theftp Eavesdropping
(Mendengar yg tdk boleh)Impersonation
(meniru)Message Alteration
PenetrationAttacks
(Usaha menembus)MalwareMessage Alteration
Merubah message
Scanning(Probing)
Break-inDenial ofService
--VirusesWorms
(Probing)
PENS-ITS
-
Network Security
Social EngineeringSocial Engineering Definisi Social enginering
seni dan ilmu memaksa orang untuk memenuhi harapan anda ( Bernz ), Suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user
legitimate dari sebuah sistem komputer (Palumbo)Mendapatkan informasi yang diperlukan (misalnya sebuah password) Mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang daripada merusak sebuah sistem (Berg).
Tujuan dasar social engineering sama seperti umumnya hacking: mendapatkan akses tidak resmi pada sistem atau c g: e d p ses d es p d s s e uinformasi untuk melakukan penipuan, intrusi jaringan, mata-mata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau jaringan.
Target-target tipikal termasuk perusahaan telepon dan jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan dengan nama besar, badan-badan militer dan pemerintah dan
h kitrumah sakit.
PENS-ITS
-
Network Security
Bentuk Social EngineeringBentuk Social Engineering Social Engineering dengan telepon
S h k k l d i d l k d d k Seorang hacker akan menelpon dan meniru seseorang dalam suatu kedudukanberwenang atau yang relevan dan secara gradual menarik informasi dari user.
Diving Dumpster Sejumlah informasi yang sangat besar bisa dikumpulkan melalui company j y g g p p y
Dumpster. Social engineering on-line :
Internet adalah lahan subur bagi para teknisi sosial yang ingin mendapatkanpassword p
Berpura-pura menjadi administrator jaringan, mengirimkan e-mail melaluijaringan dan meminta password seorang user.
PersuasiSasaran utamanya adalah untuk meyakinkan orang untuk memberikan Sasaran utamanya adalah untuk meyakinkan orang untuk memberikaninformasi yang sensitif
Reverse social engineering sabotase, iklan, dan assisting
PENS-ITS
-
Network Security
Penetration Attacks StepsPenetration Attacks Steps Footprinting (nslookup, whois, dig) Port scanner (nmap) Network enumeration (nullsession) : cari account name yang
sah Gaining & keeping root / administrator access Using access and/or information gained Leaving backdoor Leaving backdoor Attack
Denial of Services (DoS) :Network floodingB ff fl S f Buffer overflows : Software error
Malware :Virus, worm, trojan horse Brute force
Covering his tracks (hapus jejak)PENS-ITS
-
Network Security
Scanning (Probing) AttacksScanning (Probing) Attacks
Probe Packets to172.16.99.1, 172.16.99.2, etc.
Reply from172.16.99.1
Internet
Attacker
Host172.16.99.1
Attacker
No Host172.16.99.2 No Reply Results
172 16 99 1 is reachable
Corporate Network
172.16.99.1 is reachable172.16.99.2 is not reachable
PENS-ITS
-
Network Security
Network ScanningNetwork Scanning
PENS-ITS
-
Network Security
Denial-of-Service (DoS) l d kFlooding Attack
Message Flood
ServerServerOverloaded ByMessage Flood
Attacker
PENS-ITS
-
Network Security
DoS By ExampleDoS By Example
PENS-ITS
-
Network Security
Dialog AttackDialog Attack
Eavesdropping biasa disebut dengan spoofingEavesdropping, biasa disebut dengan spoofing, cara penanganan dengan Encryption
Impersonation dan message alteration Impersonation dan message alteration ditangani dengan gabungan enkripsi dan autentikasiautentikasi
PENS-ITS
-
Network Security
Eavesdropping on a DialogEavesdropping on a Dialog
Dialog
Client PCHello
Client PCBob Server
Alice
Hello
Attacker (Eve) intercepts
Hello
and reads messages
PENS-ITS
-
Network Security
Password Attack By ExamplePassword Attack By Example
PENS-ITS
-
Network Security
Sniffing By ExampleSniffing By Example
PENS-ITS
-
Network Security
KeyLogger KeyLogger
PENS-ITS
-
Network Security
Message AlterationMessage Alteration
Di lDialog
Client PC ServerBalance =
$1Balance =$1,000,000
BobServerAlice
$1
Balance =B l
Attacker (Eve) interceptsand alters messages
$1 Balance =$1,000,000
and alters messages
PENS-ITS
-
Network Security
Network Scanning dan Probing
PENS-ITS
-
Network Security
Scanning nmapScanning nmap
Scanning nmap dengan TCP paketScanning nmap dengan TCP paket
PENS-ITS
-
Network Security
PENS-ITS
-
Network Security
FlagFlag
29PENS-ITS
-
Network Security
Three Way HandshakeThree Way Handshake
30PENS-ITS
-
Network Security
Port ScanningPort Scanning
Port scanning adalah proses koneksi ke port-port TCP atau g p p pUDP pada host yang menjadi target untuk menentukan service apa yang sedang berjalan (Listening).D id tifik i t t li t i i i kit d t Dengan mengidentifikasi port-port yang listening ini kita dapat menentukan jenis aplikasi dan sistem operasi apa yang dipergunakan pada host tersebut.
Service yang dalam status listening ini memungkinkan orang yang tidak berhak menerobos ke dalam host tersebut.
PENS-ITS
-
Network Security
Well Known PortsWell Known Ports The Well Known Ports are assigned by the IANA and on
l b d b ( )most systems can only be used by system (or root) processes or by programs executed by privileged users.
A list of commonly used well known ports are .
Port 20 FTP, datao t 0 , data Port 21 FTP, control Port 22 SSH Port 23 Telnet Port 23 Telnet Port 25 SMTP Port 53 DNS Port 80 - HTTP
PENS-ITS
-
Network Security
Tools ScanningTools Scanning Netstat
Netstat merupakan utility yang powerfull untuk menngamati current state pada server, service apa yang listening untuk incomming connection, interface mana yang listening, siapa saja yang terhubung.
NmapMerupakan software scanner yang paling tua yang masih dipakaiMerupakan software scanner yang paling tua yang masih dipakai sampai sekarang.
NessusNessus merupakan suatu tools yang powerfull untuk melihat kelemahan port yang ada pada komputer kita dan komputer lain. Nessus akan memberikan report secara lengkap apa kelemahan komputer kita dan bagaimana cara mengatasinya.
PENS-ITS
-
Network Security
Scan ResultScan Result
Hasil dari scan dibagi dalam 3 kategori berikutg ga. Open atau Accepted:
Host mengirim reply yang menunjukkan service listening pada port
b. Closed atau Denied atau Not Listening: Host mengirim reply yang menunjukkan koneksi akan ditolakpada port tsb.
c. Filtered Dropped atau Blocked:c. Filtered, Dropped atau Blocked: Tidak ada reply dari host.
PENS-ITS
-
Network Security
Contoh Hasil ScanContoh Hasil Scan
PENS-ITS
-
Network Security
Type ScanningType Scanninga. TCP connect scan -sT
Jenis scan ini terhubung ke port host target dan menyelesaikan three-way handshake (SYN, SYN/ACK dan ACK) .Scan ini mudah terdeteksi oleh pengelola host target.
b. TCP SYN Scan -sSTeknik ini dikenal sebagai half-opening scanning karena suatu koneksi penuh tidak sampai terbentuk. Suatu paket SYN dikirimkan ke port host
il S /AC di i d i h k ki dtarget. Bila SYN/ACK diterima dari port host target, maka kita dapat mengambil kesimpulan bahwa port tersebut dalam status listening.Jika RST/ACK diterima, biasanya menunjukkan bahwa port tersebut tidak listeninglistening. Suatu RST/ACK akan dikirim oleh mesin yang melakukan scanning sehingga koneksi penuh tidak akan terbentuk. Teknik ini bersifat siluman dibandingkan dengan TCP koneksi penuh dan tidak akan tercatat pada logdibandingkan dengan TCP koneksi penuh dan tidak akan tercatat pada log host target.
PENS-ITS
-
Network Security
Type Scanning (Cont-)c. TCP FIN scan sF
Type Scanning (Cont )
Teknik ini mengirimkan suatu paket FIN ke port host target. Berdasarkan RFC 793, host target akan mengirim balik suatu RST untuk setiap port yang tertutup.
k ik i i h d di k i d k / b b i iTeknik ini hanya dapat dipakai pada stack TCP/IP berbasis Unix.d. TCP Xmas tree scan -sX
Teknik ini mengirimkan suatu paket FIN, URG dan PUSH ke port host d k C 93 h k b lik Starget. Berdasarkan RFC 793,host target akan mengembalikan suatu RST
untuk semua port yang tertutup.e. TCP Null scan -sN
T k ik i i b ff fl B d k RFC 793 h kTeknik ini membuat off semua flag. Berdasarkan RFC 793, host target akan mengirim balik suatu RST untuk semua port yang tertutup.
PENS-ITS
-
Network Security
Type Scanning (Cont-)f. TCP ACK scan -sA
T k ik i i di k k k fi ll H l i i b d l
Type Scanning (Cont )
Teknik ini digunakan untuk memetakan set aturan firewall. Hal ini sangat membantu dalammenentukan apakah firewall yang dipergunakan adalah simple packet filter yang membolehkan hanya koneksi penuh saja (koneksi dengan bit set ACK) atau suatu firewall yang menjalankan advance packet filtering.
g. TCP Windows scan -sWTeknik ini dapat mendeteksi port-port terbuka maupun terfilter/tidak terfilter pada sistem-sistem tertentu seperti pada AIX dan Free BSD sehubungan dengan anomali dari ukuranwindows TCPnya.
h. TCP RPC Scan -sRTeknik ini spesifik hanya pada sistem Unix dan digunakan untuk mendeteksi danmengidentifikasi port RPC dan program serta nomor versi yang berhubungan dengannya
i. UDP Scan -sUi. UDP Scan sUTeknik ini mengirimkan suatu paket UDP ke port host target. Bila port host target memberikan response pesan berupa ICMP port unreachable artinya port ini tertutup. Sebaliknya bila tidak menerima pesan tersebut, kita dapat menyimpulkan bahwa port tersebutterbuka.terbuka.
j. Juga bisa mendeteksi tipe OS yang digunakan (nmap O)
PENS-ITS