PROTOCOLS TCP/IP, UDP &

OSI MODEL
Oleh
Syaifuddin, Skom

Security Network

Whats a protocol?
a human protocol and a computer network protocol:
Hi

TCP connection
request

Hi

TCP connection
response

Got the
time?

Get http://www.awl.com/kurose-ross

2:00

<file>
time

Q: Other human protocols?

Protocol layers
Networks are complex,
with many pieces:
! hosts
! routers
! links of various
media
! applications
! protocols
! hardware, software

Question:
is there any hope of
organizing structure of
network?
. or at least our discussion
of networks?

Organization of air travel

ticket (purchase)

ticket (complain)

baggage (check)

baggage (claim)

gates (load)

gates (unload)

runway takeoff

runway landing

airplane routing

airplane routing
airplane routing

! a

series of steps

Layering of airline functionality

ticket (purchase)

ticket (complain)

ticket

baggage (check)

baggage (claim

baggage

gates (load)

gates (unload)

gate

runway (takeoff)

runway (land)

takeoff/landing

airplane routing

airplane routing

airplane routing

departure
airport

airplane routing

airplane routing

intermediate air-traffic
control centers

arrival
airport

layers: each layer implements a service

! via its own internal-layer actions
! relying on services provided by layer below

Why layering?

Kenapa perlu Layering? (1)

Application

Transmission
Media

Telnet

FTP

Coaxial
cable

NFS

Fiber
optic

HTTP

Packet
radio

Tidak ada layering: setiap aplikasi baru harus di reimplementasi untuk setiap teknologi jaringan!

Kenapa perlu Layering? (2)

Solution: introduce an intermediate layer that provides a
unique abstraction for various network technologies
Application

Telnet

FTP

NFS

HTTP

Intermediate
layer
Transmission
Media

Coaxial
cable

Fiber
optic

Packet
radio

Internet protocol stack

! application:

applications
! FTP,

SMTP, HTTP

! transport:

transfer
! TCP,

supporting network

process-process data

UDP

! network:

routing of datagrams
from source to destination
! IP,

routing protocols

! link:

data transfer between

neighboring network elements
! Ethernet,

! physical:

802.111 (WiFi), PPP

bits on the wire

application
transport
network
link
physical

ISO/OSI reference model

! presentation:

allow applications to
interpret meaning of data, e.g.,
encryption, compression, machinespecific conventions
! session: synchronization,
checkpointing, recovery of data
exchange
! Internet stack missing these
layers!
! these

services, if needed, must be

implemented in application
! needed?

application
presentation
session
transport
network
link
physical

How Protocols Work

How do protocols work?
!
!

Systematic steps
Consistent order
Routable
"

!
!
!

!
!
!

Application
Presentation

Stays in one LAN

Packetize messages
Address (source & dest.)
Transmit

Receiving computer
!

Application

6 Presentation

Sending computer
!

LAN-to-LAN communication

Non-Routable
"

Pick data off cable

Strip header/trailer
Buffer and reassemble
Pass to application

Session

Transport

Network

Data Link

Data Link

Physical

Physical

Protocols

Layers

Network

Session
Transport
Network

The OSI Model

Application Layer
A
7 Application

Layers

6 Presentation
5

Session

Transport

Network

Data-Link

Physical

Application Layer
User-to-Process Interface
Database Access
E-Mail
File Transfer
Remote Connection
e.g. X.400
Protocols
FTP, TFTP
HTTP
LPD
SMTP
SNMP
Telnet
TFTP
WWW

The OSI Model

Presentation Layer
A
7 Application

Layers

6 Presentation
5

Session

Transport

Network

Data-Link

Physical

Presentation Layer
Process-to-Session Interface
Protocol Conversion
Data Translation
Compression/Encryption
Character Set Conversion
Graphics Command Interpretation
Redirectors
Formats
File System
ASCII
Printers
EBCDIC
Encrypted
Networks

GIF
JPEG
MPEG
MIDI
TIFF
Compressed

The OSI Model

Session Layer
A
7 Application

Layers

6 Presentation
5

Session

Transport

Network

Data-Link

Physical

Session Layer
Process-to-Process
Establishes comm link between processes
Controls Dialog: transmit/receive
Synchronization: Keeps track of long
messages
Modes:
Simplex
Protocols
Half-Duplex
SSL
Full-Duplex
NFS
SQL
RPC

The OSI Model

Transport Layer
A
7 Application

Layers

6 Presentation
5

Session

Transport

Network

Data-Link

Physical

Transport Layer
Session-to-Network Interface
Packetizes Session Messages
Ensures Reliable Connection
Transmits Acknowledgement
Types
Connection-Oriented: TCP allows four
connections thru an X.25 Network
Layer
Connection-Less: Correctly reorders
messages from an IP Network Layer
Protocols
TCP
UDP
SPX

The OSI Model

Network Layer
A
7 Application

Layers

6 Presentation
5

Session

Transport

Network

Data-Link

Physical

Network Layer
Network-to-Network
Packet Transmission
Intermediate Routing Decisions
Load Adaptation
Types
Connection-Oriented = X.25
Connection-Less = IP

Protocols
IP
ICMP
RIP
OSPF
BGP
IGMP

The OSI Model

Data Link Layer

A
7 Application

Layers

6 Presentation
5

Session

Transport

Network

Data-Link

Physical

Data Link Layer

Machine-to-Machine
Frame Creation
Error Detection
Error Correction
Frame Sequence
Checksums
Formats
Ethernet
Token-Ring
ATM
FDDI
ISDN
Protocols
SLIP
PPP
ARP, RARP
L2F, L2TP

The OSI Model

Physical Layer
A
7 Application

Layers

6 Presentation
5

Session

Transport

Network

Data-Link

Physical

Physical Layer
Adapter-to-Adapter
Transmission of Bits
Voltage Levels
Bits per Second
Connector Dimensions
Adapter Interrupts
Formats
RS-232
HSSI
X.21
EIA-449
Cat-5, -6
Coax
PCMCIA
USB

The OSI Model

Encapsulation
Headers

Trailer
Message

A
Application
Presentation
Session
Transport
Network
Data Link
Physical

TCP/IP
(and the OSI model)
OSI Model
A
7

TCP/IP Suite
B

TCP/IP Layers

Application

6 Presentation

Layers

V52: Split Application Layer.

WinSock

Application

FTP

NetBIOS

HTTP SMTP APPC

TFTP Telnet SNMP FTAM

Session

Transport

Host-to-Host

Network

Internet

Data Link

Physical

Network Access

TCP

UDP

DHCP

IP

ICMP

LLC

ARP

MAC

RARP

Encapsulation

source
message
Ht
segment
datagram Hn Ht
frame Hl Hn Ht

M
M
M
M

application
transport
network
link
physical
link
physical
switch

destination
M
Ht

Hn Ht
Hl Hn Ht

M
M

application
transport
network
link
physical

Hn Ht
Hl Hn Ht

M
M

network
link
physical

Hn Ht

router

TCP/IP

TCP, UDP, IP
!

TCP: Transmission Control Protocol

! Service

addressing: Port #s
! Governs transmission between devices
" Connection-Oriented: TCP Three-Way Handshake
" Packet

sequencing, flow control, error detection & correction

UDP: User Datagram Protocol

! Does

not governs transmission

" Connectionless: Best effort

IP: Internet Protocol

! Inter-network

addressing: IP addresses
! Packet forwarding & routing

TCP/IP

TCP Three-Way Handshake

Internet

SYN

Port #, ISN
ACK, ISN+1

10.10.1.2

ACK

SYN/ACK

ACK, ISN+2

ISN

123.45.67.8

! Initial

Client

Sequence Number
! Picked at random
! Controls packet sequence

Server

TCP/IP

Packet Structures
32 bits
Source Port
Destination Port
Sequence Number
Acknowledgement Number
Data Offset & Codes
Window
Checksum
Urgent Pointer
Options
Padding

UDP
32 bits
Source Port
Destination Port
Length
Checksum

Application Layer Data

Application Layer Data

Goldman, James E. Local Area Networks Wiley & Sons. 1997. pp 486-487

UDP Header

TCP Header

TCP

TCP/IP

IPv4 Packet Structure

IP Header

IPv4
32 bits
IP
Hdr
Service
Total Length
Ver. Len
Type
Frag. ID
Frag. Control
Lifetime
Protocol
Checksum
Source IP Address
Destination IP Address
Options
Padding

TCP or UDP Data

Goldman, James E. Local Area Networks Wiley & Sons. 1997. pg 482

INFORMATION SECURITY
GOVERNANCE AND RISK
MANAGEMENT
Security Network

Fundamental Principles of Security

Availability
!

Availability
! Redundant

array of inexpensive disks (RAID)

! Clustering
! Loadbalancing
! Redundant

data and power lines

! Software and data backups
! Diskshadowing
! Co-location and off-site facilities
! Roll-backfunctions
! Fail-overconfigurations

Integrity
!

Integrity
! Hashing

(data integrity)
! Configuration management (system integrity)
! Change control (process integrity)
! Access control (physical and technical)
! Software digital signing
! Transmission CRC functions

Confidentiality
!

Confidentiality
! Encryption

for data at rest (whole disk, database

encryption)
! Encryption for data in transit (IPSec, SSL, PPTP, SSH)
! Access control (physical and technical)

ATTACK AND
MONITORING
Security Network

Course Objective
Mahasiwa paham konsep tentang monitoring
dan mampu mengaktualisasikan konsep
tersebut pada praktis nyata.
! Mahasiswa paham konsep tentang metode
serangan (Method of Security Attack) serta
mampu mengimplementasikan pada sistem
aman secara nyata.
!

Menu
Monitoring
! Intrusion Detection
! IDS Tools
! Penetration Testing
! Method of Attack
! Access Control Compensation
!

Monitoring
Subjek terakuntabilitas sesuai dengan
aksinya pada system.
! Menggunakan log file untuk mendeteksi
masalah pada sistem
!

Intrusion Detection
!

Sebuah produk yang melakukan automatisasi

kegiatan inspeksi dari log audit dan event yang
berlangsung nyata.

Response Type of IDS

!

Active Response
! Secara

langsung mempengaruhi kegiatan yang

mencurigakan pada traffic jaringan atau aplikasi dari
host.

Passive Response
! Menyimpan

informasi kegiatan yang mencurigakan

dan melaporkannya ke admin.

Hybrid Response
! Menghentikan

aktifitas yang tidak diinginkan,

menyimpan informasi tersebut dan melaporkannya ke
admin

Approach to IDS
Data apa yang digunakan?

Host and Network based

IDS

Host-BAsed IDS
"
"

Terfokus pada sebuah host komputer.

Mencatat secara detail aktivitas setiap host.
"

Termasuk kegiatan copy dan moving file.

NEtwork Based IDS

"

"

"

Melakukan deteksi serangan dengan cara

menangkap dan mengevaluasi paket data di
jaringan.
Dapat bermasalah saat traffic di jaringan
sangatlah besar.
Menyediakan fungsional terbatas untuk
mengungkap asal serangan.

knowledge and behavior Based Detection

!

Deteksi yang dilakukan IDS

Knowledge Based Detection

"

"
"

Deteksi yang dilakukan berdasarkan

pengetahuan yang sudah dibubuhkan ke
sistem sebelum terjadi serangan.
Library
Matching action to library

Behavior BAsed Detection

"
"
"

Standarisasi status normal dari sistem.

Sistem dibuat untuk mengerti status normal.
Ada gejala (yg tidak dimengerti sistem IDS) =
abnormal.

IDS-Related tools

Honeypots
"

"

Sebuah sistem komputer atau jaringan yang digunakan untuk

memancing penyusup
"

Fake system.

"

Pancingan berupa transaksi data yang terlihat penting.

"

Keeping the intruder inside the honeypots

Enticement VS Entrapment
"

"

Enticement --> menempatkan sebuah sistem diinternet dengan celah

keamanan yang terbuka.
Entrapment --> penjebakan, mengisolasi, membatalkan autorisasi.

Padded Cell
"

menggunakan pancingan data yang hampir

mirip untuk keperluan record dan pembuktian
di ranah hukum.

Vulnerability scanner
"

"

Istilah untuk mengetahui kelemahan dan

celah keamanan sistem.
Becoming step of Intrusion Prevention
System (IPS).

You might interesting about

hacking..
"
"
"

White Hat --> good guy, ethical hacker

Black Hat --> bad guy, malicious hacker
Grey Hat --> depends,

Ethical hacker? shall we?

"

Yup, karena ini adalah sebuah sebuah bagian

pekerjaan professional.
"

Menggunakan skill dan tools hack untuk tujuan

melindungi sebuah sistem.

Ethical hacker VS Cracker

"
"
"

Very different on approach.

Hacker --> protective
Craker --> destructive

Penetration Testing

Penetrasi
"

Disebut penetrasi saat sebuah serangan

sukses dan intruder mampu masuk kedalam
ruang lingkup sistem anda yang dilindungi.

Metode Serangan

"

Brute force and dictionary attack

Denial-of-services attack
SQLi
Keylogger

"

Spamming

"

Man in the middle Ataack

"
"
"

"
"
"

Sniffing
Spoofing (DNS Hijacking)
Phishing

Bersambung...

KONSEP IDS VS IPS

SYSTEM
Security Network

Konsep Dasar (IDS)

"

"

IDS adalah usaha mengidentifikasi adanya

penyusup yang memasuki sistem tanpa
otorisasi (misal cracker) atau seorang
useryang sah tetapi menyalahgunakan
(abuse) sumberdaya sistem.
(Menurut Onno Purbo:2010)

Contoh aplikas dari Konsep Dasar

(IDS) (Snort)
"

mengawasi jika terjadi penetrasi kedalam

sistem, mengawasi traffic yang terjadi pada
jaringan, mendeteksi anomali terjadinya
penyimpangan dari sistem yang normal atau
tingkah laku user, mendeteksi signature dan
membedakan pola antara signature user
dengan attacker.

Cara Kerja IDS

"

dibagi menjadi dua, yaitu:

"
"

Knowledge Based
Behavior Based

Knowledge Based
"

Knowledge Basedpada IDS adalah cara kerja

IDS dengan mengenali adanya penyusupan
dengan cara menyadap paket data kemudian
membandingkannya dengan database rule
pada IDS tersebut.

Behavior Based
"

Behavior Baseadalah cara kerja IDS dengan

mendeteksi adanya penyusupan dengan
mengamati adanya kejanggalan-kejanggalan
pada sistem, atau adanya keanehan dan
kejanggalan dari kondiri pada saat sistem
normal, sebagai contoh: adanya penggunaan
memory yang melonjak secara terus menerus
atau terdapatnya koneksi secara paralel dari satu
IP dalam jumlah banyak dan dalam waktu yang
bersamaan. Kondisi tersebut dianggap
kejanggalan yang selanjutnya oleh IDS Anomaly
Based ini dianggap sebagai serangan.

beberapa metode IPS

"
"

Signature-based Intrusion Detection System.

Anomaly-based Intrusion Detection System

Intrusion Prevention System (IPS)

"

IPS merupakan jenis metode pengamanan

jaringan baik software atau hardware yang
dapat memonitor aktivitas yang tidak
diinginkan atau intrusion dan dapat langsung
bereaksi untuk mencegah aktivitas yang
mencurugakan.

Perkembangan

Intrusion Prevention System (IPS)

"

IPS melakukan kontrol dari suatu sistem

berdasarkan aplikasi konten atau pattern,
tidak hanya berdasarkan ports atau IP
address seperti firewall umumnya. IDS Selain
dapat memantau dan monitoring, IPS dapat
juga mengambil kebijakan dengan memblock
paket yang lewat dengan cara 'melapor' ke
firewall.

Signature-based Intrusion Detection

System
"
"

"

"

Pada metode ini,

telah tersedia daftar signature yang dapat
digunakan untuk menilai apakah paket yang
dikirimkan berbahaya atau tidak.
dengan cara membandingkan dengan daftar
paket yang sudah ada.
Metode ini akan melindungi sistem dari jenisjenis serangan yang sudah diketahui
sebelumnya. Oleh karena itu, untuk tetap
menjaga keamanan sistem jaringan komputer,
data signature yang ada harus tetap ter-update.

Anomaly-based Intrusion Detection

System
"

Metode ini terlebih dahulu harus melakukan

konfigurasi terhadap IDS dan IPS, sehingga IDS
dan IPS dapat mengatahui pola paket seperti apa
saja yang akan ada pada sebuah sistem jaringan
komputer.

Paket Anomali
"

paket anomali adalah paket yang tidak sesuai

dengan kebiasaan jaringan komputer
tersebut. Apabila IDS dan IPS menemukan
ada anomali pada paket yang diterima atau
dikirimkan, maka IDS dan IPS akan
memberikan peringatan pada pengelola
jaringan (IDS) atau akan menolak paket
tersebut untuk diteruskan ke (IPS).

Kombinas IDS & IPS

"

mengkombinasikan kemampuan network

based IDS dengan kemampuan firewall,
sehingga selain mendeteksi adanya
penyusup juga bisa menindaklanjuti dengan
melakukan pengeblokan terhadap IP yang
melakukan serangan. Beberapa IPS
opensource yang dikenal yaitu: portsentry,
sshdfilter, dan snort.