Download Snort

TOPIK PRESENTASI
• Latar Belakang
• Apa itu SNORT?
• Bagaimana menggunakan SNORT
• Desain dan Arsitektur SNORT
INTRUSION DETECTION
• Intrusion Detection, didefinisikan sebagai:
“masalah mengidentifikasi akses individu yang
menggunakan sebuah sistim komputer tanpa
hak”
•
•
Percobaan untuk masuk secara paksa juga
harus teridentifikasi
Intrusion Detection bukanlah Intrusion
Prevention
POLICY
• Kesuksesan Intrusion Detection tidak hanya
tergantung kepada teknologi, namun juga
kepada policy dan management
•
•
•
Security policy
mendefinisikan apa yang boleh atau tidak boleh dilakukan
Notifikasi
Koordinasi dalam memberikan respon
PERKENALAN DENGAN SNORT
• Apa itu SNORT?
• SNORT adalah multi-mode packet analysis
tool
•
•
•
•
•
Sniffer
Packet Logger
Forensic Data Analysis Tool
Network Intrusion Detection System
Darimana datangnya?
•
Dibuat dan dikembangkan pertama kali oleh
Martin Roesh, lalu menjadi sebuah
opensource project. Versi komersial dibuat
MATRIKS
• Berukuran kecil
Source code dan rules untuk rilis 2.1.1 hanya
2256k
•
•
Portable untuk banyak OS
telah diporting ke Linux, Windows, OSX,
Solaris, BSD, IRIX, Tru64, HP-UX, dll
Cepat
mampu mendeteksi serangan pada 100Mbps network
•
•
Mudah dikonfigurasi
Free
Opensource software with GPL license
DESAIN SNORT
• Packet sniffing yang “sangat ringan”
• Sniffing interface berbasis libpcap
• Rules-based detection engine
• Memiliki plug-in systems menjadikannya sangat
fleksibel
DETECTION ENGINE
• Memiliki signatures dalam bentuk rules
• Memiliki elemen-elemen deteksi modular
terkombinasi untuk membentuk signatures
•
•
Memiliki kapabilitas deteksi yang sangat luas
•
Stealth scans, OS fingerprinting, buffer
overflows, shellcodes, backdoors, CGI
exploits, SQL injections, dll
Rules system sangatlah fleksibel, dan untuk
membuat sebuah rules relatif sangat mudah
PLUG-INS
• Pre-Processor
• Dilakukan analisis dan/atau manipulasi
terhadap packets sebelum dikirimkan ke
detection engine
•
•
Detection
•
Melakukan sebuah atau beberapa test pada
sebuah bagian dari packet
Output
•
Memberikan report dan alert
PENGGUNAAN SNORT
• Standard packet sniffing
• Policy Enforcement
• Honeypot monitor
• Scan detections
IMPLEMENTASI NIDS
Generic Server
(Host-Based ID)
Internet
Filtering
Router
(Perimeter Logs)
Firewall
(Perimeter
Logs)
Statistical IDS
(Snort)
Network IDS
(Snort)
MENGGUNAKAN SNORT
• Modus operasi utama
• Sniffer mode
• Packet Logger Mode
• NIDS mode
• Forensic Data Analysis Mode
• Modus operasi yang dikonfigurasi dari CLI
(Command Line Interface)
•
SNORT akan secara otomatis masuk ke
modus NIDS jika tidak diberikan command
switches dan kemudian mencari serta
menggunakan konfigurasi pada file snort.conf
SNIFFER MODE
• Bekerja seperti tcpdump
• Melakukan dekoding terhadap packets dan
menampilkan hasilnya ke stdout
•
BPF filtering interface tersedia memilah-milah
network traffic
TAMPILAN SNORT PACKET DUMP
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/09-11:12:02.954779 10.1.1.6:1032 -> 10.1.1.8:23
TCP TTL:128 TOS:0x0 ID:31237 IpLen:20 DgmLen:59 DF
***AP*** Seq: 0x16B6DA Ack: 0x1AF156C2 Win: 0x2217 TcpLen: 20
FF FC 23 FF FC 27 FF FC 24 FF FA 18 00 41 4E 53 ..#..'..$....ANS
49 FF F0
I..
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
11/09-11:12:02.956582 10.1.1.8:23 -> 10.1.1.6:1032
TCP TTL:255 TOS:0x0 ID:49900 IpLen:20 DgmLen:61 DF
***AP*** Seq: 0x1AF156C2 Ack: 0x16B6ED Win: 0x2238 TcpLen: 20
0D 0A 0D 0A 53 75 6E 4F 53 20 35 2E 37 0D 0A 0D ....SunOS 5.7...
00 0D 0A 0D 00
.....
=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
TAMPILAN TCPDUMP
•
•
•
•
•
•
•
•
•
11:16:35.648944 10.1.1.8.23 >
255, id 49913)
4500
0a01
5018
27ff
11:16:35.649457 10.1.1.6.1033
128, id 57861)
4500
0a01
5018
10.1.1.6.1033: P 16:34(18) ack 16 win 8760 (DF) (ttl
003a c2f9 4000
0106 0017 0409
2238 31c6 0000
fe24 fffa
> 10.1.1.8.23:
ff06 a2b4 0a01 0108
1cf9 e7f6 001a e050
fffe 1fff fe23 fffe
P 16:19(3) ack 34 win 8727 (DF) (ttl
002b e205 4000 8006 02b8 0a01 0106
0108 0409 0017 001a e050 1cf9 e808
2217 6f19 0000 fffc 1f20 2020
PACKET LOGGER MODE
• Menyimpan packets ke disk (harddisk,
removeable disk)
•
•
Pilihan packet logging
•
Flat ASCII (teks), tcpdump format, XML,
database (MySQL, MsSQL, ORACLE, dsb)
Melakukan logging semua data dan kemudian
diproses untuk mendeteksi aktivitas yang
dicurigai
NIDS MODE
• Menggunakan semua fase-kerja SNORT &
plug-ins’nya untuk menganalisa traffic agar
mendeteksi penyalahgunaan dan anomalous
activities
•
Dapat melakukan deteksi portscanning, IP
defragmentation, TCP stream reassembly,
application layer analysis, normalisasi, dsb
NIDS MODE..
• Pilihan output
• Database
MySQL, MsSQL, PostgreSQL, Oracle,
unixODBC, dsb
•
•
•
•
•
•
XML
Tcpdump binary format
Unified (snort specific) format
ASCII (teks)
syslog atau WinPopUp
dsb
NIDS MODE..
• Memiliki rules yang sangat banyak yang
digunakan sebagai signature dari detection
engine
•
Modus deteksi yang beragam
•
•
•
Rules (signature)
Statistical anomaly
Protocol verification
ARSITEKTUR SNORT v2.X
• Goals:
• Lebih cepat
• Lebih extensible
• Protocol support yang lebih baik
• Lebih baik dalam menganalisa aktivitas
network intrusion secara keseluruhan
SNORT v2.X PLUG-INS
• Fleksibilitas
•
•
Akuisisi data
Traffic decoders
•
•
•
Multi-path traffic flows, packets & streams
Multi-format rules input
•
•
Protokol analisis dan verifikasi
Database, XML, dsb
Detection engine yang plugable
•
Standard NIDS, target-based NIDS, statistical NIDS,
host-based NIDS
SNORT v2.X DETECTION ENGINE
alert
tcp
Sip: 1.1.1.1
Dip: 10.1.1.0/24
content: “”foo”;
Dip: 2.2.2.2
Dp: 80
Flags: A+;
content: “bar”;
content: “baz”;
SNORT v2.X PLUG-INS
• Fleksibilitas
• Akuisisi data
• Traffic decoders
• Protokol analisis dan verifikasi
• Multi-path traffic flows, packets & streams
• Multi-format rules input
• Database, XML, dsb
• Detection engine yang plugable
• Standard NIDS, target-based NIDS,
statistical NIDS, host-based NIDS
MORE ABOUT SNORT
• SNORT project,
http://www.snort.org/
•
•
•
•
•
SNORT for Windows
http://www.datanerds.net/~mike/
Writing SNORT rules,
http://www.snort.org/snort_rules.html
FAQ, MANUAL PAGE, README, USAGE
SNORT mailing-list
Commercial SNORT Network Security
Appliances
http://www.sourcefire.com/
No PIG was harmed during the making of this presentation