Pengamanan Komputer dengan Portsentry

Pengamanan Komputer dengan Portsentry

Pada sistem keamanan dengan Intrusion Detection System (IDS), IDS akan memberitahukan kepada administrator jika ada penyusup yang memasuki jaringan. Namun jika hanya mengandalkan IDS sebagai pusat keamanan suatu jaringan komputer maka tidak cukup, karena IDS hanya mendeteksi serangan yang telah terjadi dan kemudian mengandalkan kecepatan respon dari administrator. Untuk mengatasi masalah tersebut, maka perlu penggabungan antara IDS dan firewall. Fungsi dari firewall adalah menentukan paket-paket yang layak melewati jaringan dan yang tidak layak melewati jaringan. Jika IDS dan firewall digabungkan maka akan menjadi IPS (Intrusion Prevention Sistem).
 Ada 3 jenis IDS :
1.      Packet sniffer, untuk melihat paket yang melintas jaringan.
2.      Packet logger, untuk mencatat semua paket yang melintasi jaringan untuk dianalisis di kemudian hari.
3.      Intrusion detection mode. Pada mode ini portsentry berfungsi untuk mendeteksi serangan pada jaringan komputer. Untuk menggunakan mode intrusion detection memerlukan pengaturan dari berbagai aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.

Disini yang akan kita bahas adalah PORTSENTRY :

PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning. Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet. Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan.
Cara kerja port sentry dengan melakukan melihat komputer yang melakukan scan dan  secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita.

Beberapa fitur utama dari PortSentry :
1.      Portsentry akan mendeteksi berbagai teknik scan seperti SYN/half-open, FIN, NULL dan XMAS. Untuk mengetahui lebih jelas tentang berbagai teknik ini diharapkan untuk membaca manual dari software nmap yang merupakan salah satu software portscan terbaik yang ada. 
2.      Portsentry akan bereaksi terhadap usaha port scan dari lawan dengan cara memblokir penyerang secara real time dari usaha auto scanner, probe penyelidik, maupun serangan terhadap sistem. 
3.      Portsentry akan melaporkan semua kejanggalan dan pelanggaran kepada software daemon syslog lokal maupun remote yang berisi nama sistem, waktu serangan, IP penyerang maupun nomor port TCP atau UDP tempat serangan di lakukan. 
4.      Fitur cantik Portsentry adalah pada saat terdeteksi sebuah port scan, sistem anda tiba-tiba menghilang dari hadapan penyerang. Fitur ini membuat penyerang tidak berkutik. 
5.      Portsentry selalu mengingat alamat IP penyerang, jika ada serangan port scan yang bersifat random maka portsentry akan bereaksi. Salah satu hal yang menarik dari portsentry adalah bahwa program ini dirancang agar dapat dikonfigurasi secara sederhana sekali dan bebas dari keharusan memelihara. 

Dengan adanya berbagai fitur di atas maka system yang kita gunakan tampaknya seperti hilang dari
pandangan penyerang. Hal ini biasanya cukup membuat kecut nyali penyerang. Penggunaan PortSentry
sendiri sangat mudah sekali, bahkan untuk penggunaan biasa saja praktis semua instalasi default tidak
perlu di ubah apa-apa dapat langsung digunakan.Yang mungkin perlu di tune-up sedikit adalah file
konfigurasi portsentry yang semuanya berlokasi di /etc/portsentry secara default. Untuk mengedit file
konfigurasi tersebut anda membutuhkan privilige sebagai root.

Cara penggunaan PortSentry :

1.      Siapkan 2 buah PC (di sini saya menggunakan virtual machine tapi lebih nyaman jika menggunakan 2 buah PC). 1 PC wajib di install ubuntu untuk dipasang portsentry dan 1 PC lagi bebas boleh menggunakan Windows/LINUX yang kita posisikan sebagai port scanner.
2.      Install portsentry dengan mengetikkan perintah "sudo apt-get install portsentry" pada PC yang dipasangi Ubuntu.
3.      Install aplikasi port scanner, disini kita memakai NMAP. Jika PC yang akan diposisikan sebagai port scanner menggunakan Ubuntu maka kita install terlebih dahulu di terminal dengan mengetikkan perintah "sudo apt-get install nmap". Jika menggunakan Windows maka kita dapat menggunakan aplikasi Zenmap yang dapat kita cari melalui Google.
4.      Lakukan scanning di PC kedua kepada PC pertama yang akan kita jadikan target yaitu PC yang telah kita install dengan portsentry. Tentunya dengan keadaan portsentry belum berjalan. Dengan mengetikkan "nmap -sS -sV -v -v -Pn (ip target)" pada terminal.
5.      Setelah itu akan muncul hasil port-port mana saja yang terbuka sehingga dapat memudahkan kita dalam penyerangan.
6.      Kembali ke PC Pertama kita konfigurasikan portsentry agar dapat berjalan untuk mengelabuhi PC kedua saat melakukan port scanning sehingga para attacker susah untuk mencari port yang terbuka sehingga proses hacking akan terhambat. Kita ketikkan perintah "nano /etc/portsentry/portsentry.conf"pada PC pertama untuk melakukan konfigurasi.
7.      Cari baris yang berisikan menu BLOCK UDP & TCP. Lalu kita ubah semua angka 0 menjadi angka 1. Dan pastikan juga baris yang berisi tulisan "KILL ROUTE="s/bin/route add -host $TARGET reject" aktif yaitu dengan menghilangkan tanda "#"di depan kata KILL.
8.      Setelah itu kita close konfigurasinya dengan menekan CTRL+X lalu tekan Enter untuk Save,Tekan "Y"untuk overwrite file lalu Enter. Setelah itu kita nyalakan portsentry dengan mengetikkan perintah "/etc/init.d/portsentry start".
9.      Lalu kita kembali ke PC Kedua untuk melakukan scanning ulang dengan mengetikkan "nmap -sS -sV -v -v -Pn (ip target)" pada terminal seperti tadi. Kemudian akan muncul port yang tertangkap dan keadaannya tetap Open tetapi dibagian state tertulis TCPWRAPPED. Maksudnya adalah ini adalah port-port tiruan yang dibuat oleh portsentry yang bertujuan untuk mengecoh para attacker sehingga akan menyulitkan mereka untuk melakukan penyerangan kepada PC Pertama.
10.  Kembali ke PC Pertama, kita juga dapat melihat log para attacker yang telah melakukan port scanning pada PC kita dengan mengetikkan perintah "tail -f /var/log/syslog"pada terminal. Disana akan muncul info ATTACKALERT yang berarti itu adalah sinyal untuk mengindikasikan telah terjadi penyerangan port scanning pada PC kita lengkap disertai IP penyerang serta waktu penyerangannya. Tetapi disini statusnya masih IGNORING dengan kata lain portsentry masih mengabaikan IP sang attacker.
11.  Setelah kita mengetahui IP sang penyerang (dalam ini adalah PC kedua) kita dapat melakukan langkah selanjutnya yaitu Blocking IP dengan mengetikkan perintah "nano /etc/hosts.deny"pada terminal PC Pertama. Kemudian kita menuju baris paling bawah, disana terdapat menu yang bertuliskan "#ALL : PARANOID". Untuk melakukan blocking terhadap semua IP yang melakukan port scanning pada PC kita, kita cukup menghilangkan tanda # pada menu tersebut. Ini berarti portsentry akan bertindak secara paranoid yaitu dengan melakukan blocking terhadap semua IP yang melakukan port scanning pada PC kita.
12.  Setelah itu kita close konfigurasinya dengan menekan CTRL+X lalu tekan Enter untuk Save,Tekan "Y"untuk overwrite file lalu Enter. Setelah itu kita restart portsentry dengan mengetikkan perintah "/etc/init.d/portsentry restart".
13.  Setelah itu kita kembali buka log pada PC Pertama untuk mengawasi perubahan yang akan kita dapat setelah melakukan konfigurasi blocking IP tadi dengan mengetikkan "tail -f /var/log/syslog"
14.  Kembali ke PC Kedua kita lakukan scanning ulang dengan mengetikkan  "nmap -sS -sV -v -v -Pn (ip target)" pada terminal.
15.  Kita amati perubahan yang terjadi pada log PC Pertama, disana ada yang berubah yaitu keterangan IGNORING menjadi LISTENING. Disini berarti port sentry mulai aktif bertahan untuk bersiap melakukan blocking kepada IP yang melakukan port scanning. Setelah beberapa detik kemudian portsentry akan melakukan blocking IP secara otomatis kepada PC sang attacker (PC Kedua).
16.  Kita lihat pada PC Kedua, disana NMAP akan terhambat dan tidak akan bisa memberikan hasil akhir scanning nya. Hal ini dibuktikan dengan keterangan waktu di "time remaining"dalam nmap tersebut yang selalu bertambah dari 5 menit menjadi 10 menit lalu 15 menit dan seterusnya.
17.  Sekarang kita buktikan bahwa IP sang attacker (PC Kedua) telah terblokir yaitu dengan mengetikkan perintah "nano /etc/hosts.deny" pada terminal PC Pertama. Kemudian kita lihat di baris paling bawah, tepatnya dibawah menu "ALL : PARANOID" yang telah kita aktifkan tadi dan kita akan menemukan tulisan "ALL : (IP pc kedua) : DENY". Ini berarti IP sang attacker (PC Kedua) telah berhasil diblokir secara otomatis oleh portsentry saat melakukan port scanning.

TAMBAHAN:
1. Untuk memberikan fasilitas whitelist (ip yang kita bebaskan dari pemblokiran portsentry) kita dapat mengetikkan perintah "nano /etc/portsentry/portsentry.ignore" pada terminal lalu kita tinggal memasukkan IP komputer-komputer yang tidak ingin kita blok dengan portsentry di sana.
2. Kita juga dapat melihat history atau riwayat IP mana saja yang telah melakukan port scanning pada PC kita dengan mengetikkan perintah "nano /var/lib/portsentry/portsentry.history" pada terminal.

Nama : Desy kurniati
Nim   : 141420231
Kelas : IF6IB
Dosen Pembimbing : Suryayusra, M.kom
Universitas Bina Darma Palembang
www.binadarma.ac.id 


Komentar

Posting Komentar

Postingan populer dari blog ini

Materi Keamanan Jaringan Portsentry, Ossec, ModSecurity, dan Snort

Gambar
Materi Ke a manan Jaringan Portsentry, Ossec, ModSecurity, dan Snort 1. Portsentry Portsentry merupakan tools yang digunakan untuk menghindari berbagai aktifitas scanning (terutama stealth scanning) yang dilakukan oleh hacker. Portsentry dapat mengingat ip address dari si hacker. Portsentry juga dapat membuat server kita seolah-olah menghilang dari hadapan hacker bilamana terjadi aktifitas scanning dan juga dapat memblok IP hacker tersebut juga secara otomatis. Tujuannya adalah untuk melindungi dari scanning yang dilakukan oleh pihak lain. Dari sekian banyak hal yang paling banyak di takuti orang pada saat mengkaitkan diri ke Internet adalah serangan virus & hacker. Penggunaan Software Firewall akan membantu menahan serangan dari luar. Pada kenyataan di lapangan, menahan serangan saja tidak cukup, kita harus dapat mendeteksi adanya serangan bahkan jika mungkin secara otomatis menangkal serangan tersebut sedini mungkin. Proses ini istilah keren-nya Intrusion Detection...
Baca selengkapnya
Gambar
Pengertian Remote Akses? Remote Access adalah kemampuan untuk terhubung dengan resource pada suatu jaringan (network) sentral dari suatu lokasi. Ini berarti menggunakan sebuah PC dan modem di suatu tempat, lewat kabel telepon, terhubung ke suatu PC atau server pada network utama suatu perusahaan.  Adapun oleh Utomo, dkk (2010) Remote access didefinisikan sebagai Remote access merupakan sistem yang bisa digunakan dalam pengendalian suatu manajemen jaringan, dimana administrator dapat dengan mudah mengontrol dan mengawasi setiap komputer client maupun server, berinteraksi dengan user, backup data, atau aktifitas lainnya. Sedangkan menurut Dhawan (1998) dalam Eliminate Guess Work (2010), Remote Access adalah kemampuan untuk terhubung dengan resource pada suatu network sentral dari suatu lokasi. Ini berarti menggunakan sebuah PC dan modem di satu tempat, lewat kabel telepon, terhubung kesuatu PC atau server pada network utama suatu perusahaan. Secara umum apl...
Baca selengkapnya