Pentingnya Evaluasi
- Lubang keamanan diketemukan hampir setiap hari.
- Kesalahan konfigurasi bisa terjadi.
- Penambahan perangkat baru yang mengubah konfigurasi yang sudah ada.
Sumber Lubang Keamanan
- Disain kurang baik
- TCP/IP sequence numbering, IP spoofing
- Algoritma enkripsi yang lemah
- Implementasi kurang baik
- Implementasi terburu-buru
- Bad programming, out-of-bound array
- sloppy programming
- Kesalahan konfigurasi
- Berkas yang esensial menjadi writeable for all. Contoh: berkas password, aliases, log.
- Default account masih aktif
- False sense of security
- Kesalahan menggunakan program.
- rm -rf /
- del *,*
Penguji Keamanan Sistem
- Automated tools berbasis informasi tentang security hole
- Crack: memecahkan password
- Tripwire: integritas berkas dan direktori
- Satan/Saint: Menguji keamanan sistem melalui Web
- Cops
MENGUJI KEAMANAN SISTEM
Berbicara mengenai keamanan dalam sebuah sistem komputer, tak akan lepas dari bagaimana seorang cracker dapat melakukan penetrasi ke dalam sistem dan melakukan pengrusakan. Ada banyak cara yang biasanya digunakan untuk melakukan penetrasi antara lain : IP Spoofing (Pemalsuan alamat IP), FTP Attack, Unix Finger Exploit, Flooding, Email Exploitsm Password Attacks, Remote File Sisem Attacks, dll.
Pada umumnya, cara-cara tersebut bertujuan untuk membuat server dalam sebuah sistem menjadi sangat sibuk dan bekerja di atas batas kemampuannya sehingga sistem akan menjadi lemah dan mudah dicrack.
Seorang hacker bisa dipekerjakan untuk mencari celah-celah (hole) dalam sebuah sistem keamanan. Hacker akan menggunakan berbagai teknik yang diketahuinya termasuk teknik-teknik di atas untuk melakukan penetrasi ke dalam sistem. Hacker juga akan mengkombinasikan berbagai cara di atas dan menggunakan berbagai teknik terbaru yang lebih canggih. Dengan demikian diharapkan titik rawan dalam sebuah sistem dapat diketahui untuk kemudian dilakukan perbaikan. Setelah perbaikan dilakukan (dengan melibatkan sang hacker), sistem akan kembali diuji. Demikianlah proses ini dilakukan berulang-ulang sehingga semua celah yang ada dalam sistem kemanan bisa ditutup.
Untuk melakukan proses ini, tentunya dibutuhkan seorang hacker yang benar-benar berpengalaman dan memiliki tingkat pengetahuan yang tinggi. Tidak semua hacker bisa melakukan hal ini dengan baik, apalagi jika kita memakai seorang cracker.
Probing Services
- Melihat servis yang diberikan oleh sebuah server
- Servis diberikan melalui TCP atau UDP dengan port tertentu.
- telnet, port 23
- SMTP, port 25
- HTTP/WWW, port 80
- POP, port 110
- Menguji secara manual lewat telnet
- Menguji SMTP: telnet localhost 25
Mendeteksi Probling
�� Untuk mendeteksi adanya probing ke sistem informasi
dapat dipasang suatu program yang memonitornya.
Probing biasanya meninggalkan jejak di berkas log di
sistem. Dengan mengamati entry di dalam berkas log
dapat diketahui adanya probing.
Contoh : root# tail /var/log/syslog
May 16 15:40:42 epson tcplogd: "Syn probe"
notebook[192.168.1.4]:[8422]-
epson[192.168.1.2]:[635]
Dari contoh diatas diketahui IP : 192.168.1.4
melakukan probing
Program Probe lain : courtney, portsentry dan tcplogd.
OS Finger Printing
Mengetahui operating system (OS) dari target yang akan diserang merupakan salah satu pekerjaan pertama yang dilakukan oleh seorang cracker. Setelah mengetahui OS yang dituju, dia dapat melihat database kelemahan sistem yang dituju. Fingerprinting merupakan istilah yang umum digunakan untuk menganalisa OS sistem yang dituju. Beberapa cara konvensional antara lain : telnet, ftp, netcat, dll.
Jika server tersebut kebetulan menyediakan suatu servis, seringkali ada banner yang menunjukkan nama OS beserta versinya. Misalkan dilakukan dengan telnet dengan port tertentu, atau dapat juga menggunakan program tertentu.
Cara fingerprinting yang lebih canggih adalah dengan menganalisa respon sistem terhadap permintaan (request) tertentu. Misalnya dengan menganalisa nomor urut packet TCP/IP yang dikeluarkan oleh server tersebut dapat dipersempit ruang jenis dari OS yang digunakan.
Ada beberapa tools untuk melakukan deteksi OS ini antara lain: nmap, dan queso.
'TCP / IP stack fingerprinting pasif adalah kumpulan atribut konfigurasi jauh dari standar perangkat selama 4 lapisan jaringan komunikasi. The combination of parameters may then be used to infer the remote machine's operating system (aka, OS fingerprinting ), or incorporated into a device fingerprint . Kombinasi parameter selanjutnya mungkin akan digunakan untuk mengambil keputusan yang jauh dari sistem operasi komputer (alias, OS fingerprinting), atau dimasukkan ke dalam perangkat sidik jari.
Melindungi terhadap dan mendeteksi fingerprinting
Protect against all types of fingerprinting attempts by using a TCP/IP fingerprint obfuscator. Melindungi terhadap semua jenis upaya fingerprinting dengan menggunakan TCP / IP obfuscator sidik jari. Also known as fingerprint scrubbing, tools exist for MS Windows [ 3 ] , Linux [ 4 ] , FreeBSD [ 5 ] , and likely others. Juga dikenal sebagai sidik jari penggosokan, ada alat untuk MS Windows [3], Linux [4], FreeBSD [5], dan kemungkinan lain.
Otherwise, protect against active fingerprinting attempts by limiting the type and amount of traffic your system responds to. Jika tidak, melindungi terhadap fingerprinting mencoba aktif dengan membatasi jenis dan jumlah lalu lintas sistem anda merespon. Examples include the following: block all unnecessary outgoing ICMP traffic, especially unusual packet types like address masks and timestamps. Contoh meliputi: blok semua lalu lintas yang tidak perlu keluar ICMP, terutama yang tidak biasa seperti jenis paket alamat masker dan waktu. Also, block any ICMP echo replies . Selain itu, setiap blok ICMP echo balasan. Be warned that blocking things without knowing exactly what they are for can very well lead to a broken network; for instance, your network could become a black hole . Peringatan yang akan memblokir sesuatu tanpa tahu persis apa yang mereka sangat baik untuk dapat mengakibatkan jaringan yang rusak, misalnya, jaringan Anda bisa menjadi lubang hitam. Alternatively, active fingerprinting tools themselves have fingerprints that can be detected. [ 6 ] . Atau, aktif fingerprinting tools sendiri ada sidik jari yang dapat terdeteksi. [6].
Many service software packages allow you to customize or remove the banners that they present. Banyak operator paket software memungkinkan Anda untuk menyesuaikan atau menghapus banner mereka yang hadir.
Similarly, protect against passive fingerprint attempts by limiting the the type and amount of traffic your system generates, and limit the number of destinations that it communicates with. Demikian pula, melindungi terhadap upaya pasif sidik jari dengan membatasi jenis dan jumlah lalu lintas yang menghasilkan sistem anda, dan membatasi jumlah tujuan yang berkomunikasi dengan. Anyone who can see your traffic could passively fingerprint you, and once you send a packet, it's out of your control. Setiap orang yang dapat melihat lalu lintas dapat pasif sidik jari Anda, dan setelah Anda mengirim paket, itu dari Anda.
Receipt of excessive TCP SYN packets may indicate active fingerprinting. Penerimaan berlebihan paket TCP Syn dapat menunjukkan aktif fingerprinting.
Defeating TCP/IP stack or banner fingerprinting does not provide system security. Mengalahkan TCP / IP stack fingerprinting atau banner tidak menyediakan sistem keamanan. If attackers cannot determine the target operating system type, they can simply try a series of different attacks until one is successful. [ 7 ] Jika penyerang tidak dapat menentukan target sistem operasi jenis, mereka dapat mencoba berbagai rangkaian serangan sampai ada yang berhasil.
Penggunaan Program Penyerang
Salah satu cara untuk mengetahui kelemahan sistem informasi anda adalah dengan menyerang diri sendiri dengan paket-paket program penyerang (attack) yang dapat diperoleh di Internet.
�� Internet Security Scanner (ISS) atau Security Analysis Tool for Auditing (SATAN)
program ini akan menginformasikan kelemahan dari sistem yang dituju dan
dapat melakukan scanning seluruh domain atau sub network.
�� TCP Wrapper untuk memonitor jaringan komputer
�� Crack untuk melakukan testing password security.
�� IP Scanner, IP Sniper, Network Analyzer DLL
Selain program penyerang yang sifatnya agresif
melumpuhkan sistem yang dituju, ada juga program
penyerang yang sifatnya melakukan pencurian
atau penyadapan data. Untuk penyadapan data,
biasanya dikenal dengan istilah “sniffer”.
Contoh program penyadap (sniffer) antara lain:
• pcapture (Unix)
• sniffit (Unix)
• tcpdump (Unix)
• WebXRay (Windows)
Penggunaan Sistem Pemantau Jaringan
Sistem pemantau jaringan (network monitoring) dapat digunakan untuk mengetahui adanya lubang keamaman. Misalnya apabila anda memiliki sebuah server yang semestinya hanya dapat diakses oleh orang dari dalam, akan tetapi dari pemantau jaringan dapat terlihat bahwa ada yang mencoba mengakses melalui tempat lain. Selain itu dengan pemantau jaringan dapat juga dilihat usaha-usaha untuk melumpuhkan sistem dengan melalui denial of service attack (DoS) dengan mengirimkan packet yang jumlahnya berlebihan. Network monitoring biasanya dilakukan dengan menggunakan protokol SNMP (Simple Network Management Protocol).
Program network monitoring / management :
~ Etherboy (Windows), Etherman (Unix)
~ HP Openview (Windows)
~ Packetboy (Windows), Packetman (Unix)
~ SNMP Collector (Windows)
~ Webboy (Windows)
Program pemantau jaringan yang tidak menggunakan SNMP :
• iplog, icmplog, updlog, yang merupakan bagian dari paket iplog untuk memantau paket
IP, ICMP, UDP.
• iptraf, sudah termasuk dalam paket Linux Debian netdiag
• netwatch, sudah termasuk dalam paket Linux Debian netdiag
• ntop, memantau jaringan seperti program top yang memantau proses di sistem Unix
• trafshow, menunjukkan traffic antar hosts dalam bentuk text-mode
Pemantau Adanya Serangan
��Sistem pemantau (monitoring system) digunakan untuk
mengetahui adanya tamu tak diundang (intruder) atau
adanya serangan (attack). Nama lain dari sistem ini
adalah “intruder detection system” (IDS). Sistem ini dapat
memberitahu administrator melalui e-mail maupun
melalui mekanisme lain seperti melalui pager.
Contoh software IDS antara lain:
• Autobuse, mendeteksi probing dengan memonitor logfile.
• Courtney dan portsentry, mendeteksi probing (port scanning)
dengan memonitor packet yang lalu lalang. Portsentry bahkan
dapat memasukkan IP penyerang dalam filter tcpwrapper
(langsung dimasukkan kedalam berkas /etc/hosts.deny)
• Shadow dari SANS
• Snort, mendeteksi pola (pattern) pada paket yang lewat dan
mengirimkan alert jika pola tersebut terdeteksi.
Honeypot
Honeypot merupakan sumber sistem informasi yang bersifat terbuka (opensif) yang memfocuskan pada proses pemgumpulan informasi tentang aktifitas ilegal si Attacker yang mencoba menyusup dan mengeksplorasi authorisasi system komputer (server).Dengan Honyepot kita bisa mengetahui tingkah laku si Attacker diantaranya : port yang diserang, perintah2 yang dipergunakan, dan jenis aktifitas lainnya yang bisa direkam.Honeypot akan melindungi server asli yang kita miliki... krn kita mendirikan server palsu yang tanpa disadari sebenarnya si Attacker sedang menyerang sistem yang bukan sebenarnya... sehingga terperangkap.
Apa sih tujuan dari Honeypot ?
.Pendeteksian Dini (Early Detection).Metode inilah yang akan memberitahukan & mengingatkan kita pada serangan-serangan terhadap system server oleh orang-orang yang tidak memiliki otoritas.
. Pendeteksian Ancaman Baru (New Threat Detection)Metode ini merupakan medote yang digunakan utk mengathui ancaman2 baru beserta teknik2 penyerangan baru yang digunakan oleh si Attacker dalam usaha untuk mendapatkan 'Escalating Priviledge'.
. Mengenel Si Attacker (Know Your Enemy)Metode yang digunakan untuk mengetahui siapa si Attacker sesungguhnya, apa yang dikerjakan oleh Attacker juga metode serta teknik yang dipergunakan.
. Menyelamatkan System (Safe The System)Metode yang digunakan utk menjebak si Attacker sehingga Attacker berusaha tetap melakukan tindakan hanya pada Honeypot system sehingga server asli tetap dalam kondisi yang aman (-- not 100% secure)
. Mengacaukan Pola Fikir Attacker (Make a crodit Attacker Logic)Meteode yang membuat pola fikir Attacker menjadi bingung dalam menghapi pola system network yang tidak sebenarnya.
. Membagun Pertahanan (Building System Defense)Honeypot yang dibangun akan memberikan pertahanan yang lebih bagus dikarenakan si Attacker tidak akan langsung melakukan penyerangan terhadap server sesungguhnya.
. Mencegah Proses Hacking (Hacking Process Prevention)System pertahanan yang kita tanam dan kita bangun akan mengurangi serangan terhadapat proses hacking.
Hal-hal yang terdapat di dalam Honeypot :
. Network Devices HardwareUntuk mendirikan honeypot berati kita juga membutuhkan perangkat jaringan komputer.
. Monitoring or Logging ToolsHoneypot yang kita dirikan dapat memonitor secara langsung aktifitas si Attacker
. Alerting MechanismHoneypot dapat memberikan layanan messanger utk administrator apabila terdapat serangan2.
. KeyStroke LoggerHoneypot dapat memberikan informasi tentang apa saja yang dilakukan oleh Attacker termasuk ketikan2 dari papan keyboard si Attacker.
. Packet AnalyzerHoneypot dapat memberikan informasi ttg packet data yang diberikan oleh Attacker ke system honeypot server
. Forensic ToolsHoneypot dapat memberikan informasi ttg System forensic yang digunakan Attacker terhdapa system.
Dimana Honeypot ditempatkan ?. Penempatan secara langsung dengan menghadapkan honeypot dengan internet tanpa adanya firewall.
. Penempatan secara tidak langsung, dimana honeypot berada diantara firewall dan koneksi internet.
. Penempatan honeypot pada DMZ.
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar