A. Intrussion Detecting System
IDS adalah sebuah metode yang dapat digunakan untuk mendeteksi aktivitas yang mencurigakan dalam sebuah sistem atau jaringan. IDS dapat melakukan inspeksi terhadap lalu lintas inbound dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan).
Ada dua jenis IDS, yakni:
Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada pintu masukjaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
Network-based Intrusion Detection System (NIDS): Semua lalu lintas yang mengalir ke sebuah jaringan akan dianalisis untuk mencari apakah ada percobaan serangan atau penyusupan ke dalam sistem jaringan. NIDS umumnya terletak di dalam segmen jaringan penting di mana server berada atau terdapat pada pintu masukjaringan. Kelemahan NIDS adalah bahwa NIDS agak rumit diimplementasikan dalam sebuah jaringan yang menggunakan switch Ethernet, meskipun beberapa vendor switch Ethernet sekarang telah menerapkan fungsi IDS di dalam switch buatannya untuk memonitor port atau koneksi.
Host-based Intrusion Detection System (HIDS): Aktivitas sebuah host jaringan individual akan dipantau apakah terjadi sebuah percobaan serangan atau penyusupan ke dalamnya atau tidak. HIDS seringnya diletakkan pada server-server kritis di jaringan, seperti halnya firewall, web server, atau server yang terkoneksi ke Internet.
Cara kerja Intrussion Detecting System :
Ada beberapa cara bagaimana IDS bekerja. Cara yang paling populer adalah dengan menggunakan pendeteksian berbasis signature (seperti halnya yang dilakukan oleh beberapa antivirus), yang melibatkan pencocokan lalu lintas jaringan dengan basis data yang berisi cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama seperti halnya antivirus, jenis ini membutuhkan pembaruan terhadap basis data signature IDS yang bersangkutan.
Metode selanjutnya adalah dengan mendeteksi adanya anomali, yang disebut sebagai Anomaly-based IDS. Jenis ini melibatkan pola lalu lintas yang mungkin merupakan sebuah serangan yang sedang dilakukan oleh penyerang. Umumnya, dilakukan dengan menggunakan teknik statistik untuk membandingkan lalu lintas yang sedang dipantau dengan lalu lintas normal yang biasa terjadi. Metode ini menawarkan kelebihan dibandingkan signature-based IDS, yakni ia dapat mendeteksi bentuk serangan yang baru dan belum terdapat di dalam basis data signature IDS. Kelemahannya, adalah jenis ini sering mengeluarkan pesan false positive. Sehingga tugas administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.
Teknik lainnya yang digunakan adalah dengan memantau berkas-berkas sistem operasi, yakni dengan cara melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini seringnya diimplementasikan di dalam HIDS, selain tentunya melakukan pemindaian terhadap log sistem untuk memantau apakah terjadi kejadian yang tidak biasa.
B.Port Scanning
Port Scanning adalah suatu kegiatan atau aktifitas atau proses untuk mencari dan melihat serta meneliti port pada suatu komputer atau perlengkapan dan peralatannya. Tujuan dari kegiatan port scanning adalah meneliti kemungkinan-kemungkinan kelemahan dari suatu sistem yang terpasang pada suatu komputer atau perlengkapan dan peralatannya melalui port yang terbuka.
Cara Kerja Port Scanning
1. TCP Connect Scan
Yang pertama adalah dengan menggunakan metode yang dinamakan TCP Three Way Handshake. TCP koneksi akan dicoba dilakukan terhadap target dengan mengirimkan SYN paket, dan apabila Port dalam keadaan terbuka, maka target akan mengembalikan SYN/ACK paket.
Apabila paket RSET atau dalam waktu tertentu tidak diterima jawaban apa-apa, Timeout, maka dapat diambil kesimpulan target port dalam keadaan tertutup. Walaupun sebenarnya, hal ini dapat saja diakibatkan oleh firewall atau filtering lainnya di komputer target.
2. TCP Syn Scan
Dengan mengirimkan paket RSET sebelum koneksi TCP terjadi, server target tidak sempat mengambil log dari komunikasi waktu scan dilakukan. Apabila port dalam keadaan tertutup, kondisinya sama dengan pada saat TCP Connect Scan.
3. UDP Scan (ICMP Port Unreach)
Metode terakhir di sini adalah dengan menggunakan UDP paket. Port dianggap terbuka apabila tidak ada jawaban dari komputer target.
Dan, apabila port dalam keadaan tertutup, maka komputer target akan mengirimkan paket ICMP Port Unreachable, seperti terlihat pada gambar. Hanya saja, di beberapa network yang menggunakan firewall atau filtering lainnya, paket ini tidak diteruskan ke luar network.
C.Packet Fingerprinting
Packet Fingerprinting adalah sebuah alat yang dapat mengetahui peralatan apa saja yang ada dalam sebuah jaringan komputer. Hal ini menjadi penting, sehingga kita dapat mengetahui bagaimana cara melindungi jaringan komputer tersebut.
Perlindungan terhadap pintu sidik jari untuk menyerang dicapai dengan membatasi jenis dan jumlah lalu lintas sistem pertahanan merespon. Contohnya termasuk blocking masker alamat dan cap dari outgoing ICMP traffic control-pesan, dan memblokir ICMP balasan gema . Sebuah alat keamanan dapat mengingatkan potensi fingerprinting. Dapat mencocokkan mesin lain sebagai memiliki konfigurasi fingerprinter dengan mendeteksi sidik jari
Pelarangan TCP / IP fingerprinting memberikan perlindungan dari scanner kerentanan mencari untuk menargetkan mesin yang menjalankan sistem operasi tertentu. Fingerprinting memfasilitasi serangan. Memblokir pesan-pesan ICMP hanya salah satu dari berbagai pertahanan diperlukan untuk perlindungan penuh terhadap serangan.
Menargetkan datagram ICMP, obfuscator berjalan di atas IP pada lapisan internet bertindak sebagai "alat menggosok" untuk membingungkan sidik jari TCP / IP data. Ini ada untuk MS Windows , Linux dan FreeBSD ,
Daftar TCP / OS Fingerprinting Alat :
- Ettercap - pasif TCP / IP stack fingerprinting.
- NetworkMiner - pasif DHCP dan TCP / IP stack fingerprinting (menggabungkan p0f, Ettercap dan Satori database)
- Nmap - luas stack fingerprinting aktif.
- p0f - luas pasif TCP / IP stack fingerprinting.
- NetSleuth - gratis pasif fingerprinting dan alat analisis
- PacketFence - open source NAC dengan sidik jari DHCP pasif.
- Prads - Pasif luas fingerprinting TCP / IP stack dan deteksi layanan
- Satori - pasif CDP , DHCP, ICMP, HPSP , HTTP , TCP / IP dan sidik jari tumpukan lainnya.
- SinFP - single-port aktif / fingerprinting pasif.
- XProbe2 - aktif TCP / IP stack fingerprinting.
- Perangkat Fingerprint Situs Web - Menampilkan pasif TCP SYN sidik jari dari komputer browser Anda (atau proxy menengah)
- queso - terkenal alat dari akhir 1990-an yang tidak lagi diperbarui untuk sistem operasi modern
Tidak ada komentar:
Posting Komentar