BAB 1Keamanan jaringan (Bahasa Inggris: Network Security) dalam
jaringan komputer sangat penting dilakukan untuk memonitor akses
jaringan dan mencegah penyalahgunaan sumber daya jaringan yang
tidak sah. Tugas keamanan jaringan dikontrol oleh administrator
jaringan.
Segi-segi keamanan didefinisikan dari kelima point ini.a.
Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa
diakses oleh pihak yang memiliki wewenang.b. Integrity Mensyaratkan
bahwa informasi hanya dapat diubah oleh pihak yang memiliki
wewenang.c. Availability Mensyaratkan bahwa informasi tersedia
untuk pihak yang memiliki wewenang ketika dibutuhkan.d.
Authentication Mensyaratkan bahwa pengirim suatu informasi dapat
diidentifikasi dengan benar dan ada jaminan bahwa identitas yang
didapat tidak palsu.e. Nonrepudiation Mensyaratkan bahwa baik
pengirim maupun penerima informasi tidak dapat menyangkal
pengiriman dan penerimaan pesan.
Tujuan Keamanan Jaringana. Availability / Ketersediaan b. User
yg mempunyai hak akses / authorized users diberi akses tepat waktu
dan tidak terkendala apapun. c. Reliability / Kehandalan d. Object
tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi
dalam perjalanannya dari sumber menuju penerimanya. e.
Confidentiality / Kerahasiaan f. Object tidak diumbar / dibocorkan
kepada subject yang tidak seharusnya berhak terhadap object
tersebut, lazim disebut tidak authorize. Cara Pengamanan Jaringan
Komputer : a. Autentikasi Proses pengenalan peralatan, sistem
operasi, kegiatan, aplikasi dan identitas user yang terhubung
dengan jaringan komputer. b. Enkripsi Autentikasi dimulai pada saat
user login kejaringan dengan cara memasukkan password. Tahapan
Autentikasi a. Autentikasi untuk mengetahui lokasi dari peralatan
pada suatu simpul jaringan (data link layer dan network layer) b.
Autentikasi untuk mengenal sistem operasi yang terhubung ke
jaringan (transport layer) c. Autentikasi untuk mengetahui
fungsi/proses yang sedang terjadi di suatu simpul jaringan (session
dan presentation layer) d. Autentikasi untuk mengenali user dan
aplikasi yang digunakan (application layer)
Resiko yang Muncul Pada Tahapan Autentikasi a. Enkripsi Teknik
pengkodean data yang berguna untuk menjaga data / file baik di
dalam komputer maupun pada jalur komunikasi dari pemakai yang tidak
dikehendaki Enkripsi diperlukan untuk menjaga kerahasiaan data b.
Teknik Enkripsi DES (Data Encription Standard) RSA (Rivest Shamir
Adelman) c. Resiko Jaringan Komputer Segala bentuk ancaman baik
fisik maupun logik yang langsung atau tidak langsung mengganggu
kegiatan yang sedang berlangsung dalam jaringan. Faktor- Faktor
Penyebab Resiko Dalam Jaringan Komputer Kelemahan manusia (human
error) Kelemahan perangkat keras komputer Kelemahan sistem operasi
jaringan Kelemahan sistem jaringan komunikasi Ancaman Jaringan
komputer FISIK Pencurian perangkat keras komputer atauperangkat
jaringan Kerusakan pada komputer dan perangkatkomunikasi jaringan
Wiretapping Bencana alam LOGIK Kerusakan pada sistem operasi atau
aplikasi Virus Sniffing Beberapa Bentuk Ancaman Jaringan Sniffer
Peralatan yang dapat memonitor proses yang sedang berlangsung
Spoofing Penggunaan komputer untuk meniru (dengan cara menimpa
identitas atau alamat IP. Remote Attack Segala bentuk serangan
terhadap suatu mesin dimana penyerangnya tidak memiliki kendali
terhadap mesin tersebut karena dilakukan dari jarak jaruh di luar
sistem jaringan atau media transmisi Hole Kondisi dari software
atau hardware yang bisa diakses oleh pemakai yang tidak memiliki
otoritas atau meningkatnya tingkat pengaksesan tanpa melalui proses
otorisasi. Beberapa Bentuk Ancaman Jaringan Phreaking Perilaku
menjadikan sistem pengamanan teleponmelemah Hacker Orang yang
secara diam-diam mempelajari sistem yang biasanya sukar dimengerti
untuk kemudian mengelolanya dan men-share hasil ujicoba yang
dilakukannya. Hacker tidak merusak sistem Craker Orang yang secara
diam-diam mempelajari sistemdengan maksud jahat Muncul karena sifat
dasar manusia yang selalu ingin membangun (salah satunya merusak)
Ciri-ciri cracker : Bisa membuat program C, C++ atau pearl Memiliki
pengetahuan TCP/IP Menggunakan internet lebih dari 50 jam per-bulan
Menguasai sistem operasi UNIX atau VMS Suka mengoleksi software
atau hardware lama Terhubung ke internet untuk menjalankan aksinya
Melakukan aksinya pada malam hari, denganalasan waktu yang
memungkinkan, jalur komunikasi tidak padat, tidak mudah diketahui
orang lain. Penyebab cracker melakukan penyerangan : spite, kecewa,
balas dendam sport, petualangan profit, mencari keuntungan dari
imbalan orang lain stupidity, mencari perhatian cruriosity, mencari
perhatian politics, alasan politis Ciri-ciri target yang dibobol
cracker : Sulit ditentukan Biasanya organisasi besar dan financial
dengan sistem pengamanan yang canggih Bila yang dibobol jaringan
kecil biasanya sistem pengamanannya lemah, dan pemiliknya baru
dalam bidang internet Ciri-ciri target yang berhasil dibobol
cracker : Pengguna bisa mengakses, bisa masuk ke jaringan tanpa
nama dan password Pengganggu bisa mengakses, merusak, mengubah atau
sejenisnya terhadap data Pengganggu bisa mengambil alih kendali
sistem Sistem hang, gagal bekerja, reboot atau sistem berada dalam
kondisi tidak dapat dioperasikan Manajemen Resiko Pengumpulan
Informasi Analisis Output Pengumpulan Informasi Identifikasi Assets
Perangakat Keras Perangkat Lunak (Sistem Operasi danAplikasi)
Perangkat Jaringan dan Komunikasi Data Pengguna Jaringan Lingkungan
Sarana Pendukung lainnya Penilaian terhadap segala bentuk Ancaman
(threat) Penilaian terhadap bagian yang berpotensi terkena gangguan
(vulnerability) Penilaian terhadap perlindungan yang effektif
(safeguard) keamanan fasilitas fisik jaringan keamanan perangkat
lunak keamanan pengguna jaringan keamanan komunikasi data keamanan
lingkungan jaringan Menjalankan safeguard / risk analysis tools
BAB 2 NETWORK SCANNING DAN PROBING
Server tugasnya adalah melayani client dengan menyediakan
service yang dibutuhkan. Server menyediakan service dengan
bermacam-macam kemampuan, baik untuk lokal maupun remote. Server
listening pada suatu port dan menunggu incomming connection ke
port. Koneksi bisa berupa lokal maupuan remote. Port sebenarnya
suatu alamat pada stack jaringan kernel, sebagai cara dimana
transport layer mengelola koneksi dan melakukan pertukaran data
antar komputer. Port yang terbuka mempunyai resiko terkait dengan
exploit. Perlu dikelola port mana yang perlu dibuka dan yang
ditutup untuk mengurangi resiko terhadap exploit. Ada beberapa
utility yang bisa dipakai untuk melakukan diagnosa terhadap sistem
service dan port kita. Utility ini melakukan scanning terhadap
sistem untuk mencari port mana saja yang terbuka, ada juga
sekaligus memberikan laporan kelemahan sistem jika port ini
terbuka. Port Scanner merupakan program yang didesain untuk
menemukan layanan (service) apa saja yang dijalankan pada host
jaringan. Untuk mendapatkan akses ke host, cracker harus mengetahui
titik-titik kelemahan yang ada. Sebagai contoh, apabila cracker
sudah mengetahui bahwa host menjalankan proses ftp server, ia dapat
menggunakan kelemahan-kelemahan yang ada pada ftp server untuk
mendapatkan akses. Dari bagian ini kita dapat mengambil kesimpulan
bahwa layanan yang tidak benar-benar diperlukan sebaiknya
dihilangkan untuk memperkecil resiko keamanan yang mungkin
terjadi.Type Scanning connect scan (-sT) Jenis scan ini konek ke
port sasaran dan menyelesaikan three-way handshake (SYN, SYN/ACK,
dan ACK). Scan jenis ini mudah terdeteksi oleh sistem sasaran. -sS
(TCP SYN scan) Paling populer dan merupakan scan default nmap. SYN
scan juga sukar terdeteksi, karena tidak menggunakan 3 way
handshake secara lengkap, yang disebut sebagai teknik half open
scanning. SYN scan juga efektif karena dapat membedakan 3 state
port, yaitu open, filterd ataupun close. Teknik ini dikenal sebagai
half-opening scanning karena suatu koneksi penuh TCP tidak sampai
terbentuk. Sebaliknya, suatu paket SYN dikirimkan ke port sasaran.
Bila SYN/ACK diterima dari port sasaran, kita dapat mengambil
kesimpulan bahwa port itu berada dalam status LISTENING. Suatu
RST/ACT akan dikirim oleh mesin yang melakukan scanning sehingga
koneksi penuh tidak akan terbentuk. Teknik ini bersifat siluman
dibandingkan TCP connect penuh, dan tidak aka tercatat pada log
sistem sasaran. TCP FIN scan (-sF) Teknik ini mengirim suatu paket
FIN ke port sasaran. Berdasarkan RFC 793, sistem sasaran akan
mengirim balik suatu RST untuk setiap port yang tertutup. Teknik
ini hanya dapat dipakai pada stack TCP/IP berbasis UNIX. TCP Xmas
Tree scan (-sX) Teknik ini mengirimkan suatu paket FIN, URG, dan
PUSH ke port sasaran. Berdasarkan RFC 793, sistem sasaran akan
mengembalikan suatu RST untuk semua port yang tertutup. TCP Null
scan (-sN). Teknik ini membuat off semua flag. Berdasarkan RFC 793,
sistem sasaran akan mengirim balik suatu RST untuk semua port yang
terturup. TCP ACK scan (-sA) Teknik ini digunakan untuk memetakan
set aturan firewall. Dapat membantu menentukan apakah firewall itu
merupakan suatu simple packet filter yang membolehkan hanya
koneksi-koneksi tertentu (koneksi dengan bit set ACK) atau suatu
firewall yang menjalankan advance packet filtering. TCP Windows
scanTeknik ini dapat mendeteksi port-port terbuka maupun
terfilter/tidak terfilter pada sistem-sistem tertentu (sebagai
contoh, AIX dan FreeBSD) sehubungan dengan anomali dari ukuran
windows TCP yang dilaporkan.
TCP RPC scan Teknik ini spesifik hanya pada system UNIX dan
digunakan untuk mendeteksi dan mengidentifikasi port RPC (Remote
Procedure Call) dan program serta normor versi yang berhubungan
dengannya.
UDP scan (-sU) Teknik ini mengirimkan suatu paket UDP ke port
sasaran. Bila port sasaran memberikan respon berupa pesan (ICMP
port unreachable) artinya port ini tertutup. Sebaliknya bila tidak
menerima pesan di atas, kita dapat menyimpulkan bahwa port itu
terbuka. Karena UDP dikenal sebagai connectionless protocol,
akurasi teknik ini sangat bergantung pada banyak hal sehubungan
dengan penggunaan jaringan dan system resource. Sebagai tambahan,
UDP scanning merupakan proses yang amat lambat apabila anda mencoba
men-scan suatu perangkat yang menjalankan packet filtering berbeban
tinggi. Beberapa Tools dan cara scanning ke sistem Netstat Netstat
merupakan utility yang powerfull untuk menngamati current state
pada server, service apa yang listening untuk incomming connection,
interface mana yang listening, siapa saja yang terhubung. Nmap
Merupakan software scanner yang paling tua yang masih dipakai
sampai sekarang. Nessus => openvas-client / openvas-server
Nessus merupakan suatu tools yang powerfull untuk melihat kelemahan
port yang ada pada komputer kita dan komputer lain. Nessus akan
memberikan report secara lengkap apa kelemahan komputer kita dan
bagaimana cara mengatasinya. Contoh Scanning menggunakan nmap tipe
tcp syn scan # nmap -sT -v 192.168.0.10 Starting nmap 3.81 (
http://www.insecure.org/nmap/ ) at 2005-04-11 12:30 EDT Initiating
Connect() Scan against 192.168.0.10 [1663 ports] at 12:30
Discovered open port 3389/tcp on 192.168.0.10 Discovered open port
80/tcp on 192.168.0.10 Discovered open port 3306/tcp on
192.168.0.10 Discovered open port 445/tcp on 192.168.0.10
Discovered open port 139/tcp on 192.168.0.10 Discovered open port
520/tcp on 192.168.0.10 Discovered open port 135/tcp on
192.168.0.10 The Connect() Scan took 1.45s to scan 1663 total
ports. Host 192.168.0.10 appears to be up ... good. Interesting
ports on 192.168.0.10: (The 1656 ports scanned but not shown below
are in state: closed) PORT STATE SERVICE 80/tcp open http 135/tcp
filtered msrpc 139/tcp filtered netbios-ssn 445/tcp open
microsoft-ds 520/tcp open efs 3306/tcp open mysql 3389/tcp open
ms-term-serv MAC Address: 00:30:48:11:AB:5A (Supermicro Computer)
Nmap finished: 1 IP address (1 host up) scanned in 2.242 seconds #
nmap -sP 192.168.4.0/24 Option sP merupakan salah satu type
scanning dari Nmap berbasis ICMP, dimana umumnya dipergunakan untuk
melakukan ping terhadap sejumlah IP sekaligus. Mendeteksi OS dengan
Nmap # nmap -O no_ip_target Pada dasarnya tcp SYN melakukan half
koneksi ke target dan secara berulang-ulang mencari port yang
terbuka
1. Sebutkan langkah dasar yang biasa dipakai untuk melakukan
proses hacking! Jawab : FootPrinting merupakan proses untuk mencari
informasi mengenai target. Selain footprinting ada pula Active
FootPrinting yang merupakan proses pengumpulan informasi dengan
melibatkan interaksi secara langsung dengan target. Scanning
merupakan sebuah teknik untuk mencari port atau pintu masuk yang
terbuka dari target. Reconnaissance adalah suatu tahap persiapan di
mana hacker atau pihak yang akan melakukan serangan berusaha
mencari informasi sebanyak-banyaknya mengenai target atau sasaran
sistem yang di ingin di serang sebelum rangakaian proses
penyerangan dilaksanakan. Ada dua jenis model reconnaissance yang
di kenal, yaitu yang bersifat pasif dan aktif. Usaha terkait di
katakan pasif apabila tidak ada interaksi langsung antara pihak
penyerang dengan target atau sasaran yang ingin di serang.
Sementara proses terkait di katakan aktif, jika di lakukan
aktivitas interaksi secara langsung. Gaining Accsess merupakan
langkah untuk mendapatkan data lebih banyak agar dapat mengakses
sasaran, seperti mencuri word, menebak password, serta melakukan
buffer overflow. Maintaining Accsess adalah sebuah periode di mana
setelah hacker berhasil masuk ke dalam system dan berusaha untuk
tetap bertahan memperoleh hak akses tersebut Covering Tracks
merupakan langkah untuk menyembunyikan atau menghilangkan jejak
kita jika kita sudah berhasil melakukan langkah-langkah di atas.
Jika langkah ini tidak diperhatikan atau di anggap tidak penting,
maka seorang hacker akan mudah di lacak jejaknya oleh pihak penegak
hukum 2. Sebutkan cara penggunaan netstat dan option-option yang
dipakai serta arti option tersebut? Jawab : Pertama, buka terminal:
Applications > Accessories > Terminal Ketikan perintah
netstat, akan muncul informasi seperti di bawah ini.
keterangan dari output Netstat di atas: a. Proto. Kolom proto
menunjukan jenis protokol yang dipakai bisa TCP atau UDP. b. Local
Address. Merupakan kolom yang menjelaskan alamat IP dan nomor port
yang ada di komputer apabila koneksi sedang aktif. Contoh di atas
192.168.40.8 adalah IP dari komputer saya dan 53571 adalah nomor
port di komputer saya yang sedang melakukan koneksi. c. Foreign
Address. Kolom ini menunjukan koneksi yang dituju oleh local
address beserta nomor portnya. Contoh diatas menunjukan adanya
koneksi melalui port http dan https d. State. Kolom ini menunjukan
status dari koneksi yang sedang terjadi. ESTABLISED yang berarti
status komputer sedang terhubung dengan suatu koneksi internet atau
komputer lain dan siap mengirimkan data.State yang mungkin terjadi:
o LISTENING -> siap untuk melakukan koneksi o SYN_SENT ->
mengirimkan paket SYN o SYN_RECEIVED -> menerima paket SYN o
ESTABLISHED -> koneksi terjadi dan siap mengirimkan data o
TIME_WAIT -> sedang menunggu koneksi 3. Sebutkan cara pemakaian
software nmap dengan menggunakan tipe scanning: TCP Connect scan
Jenis scan ini terhubung ke port host target dan menyelesaikan
three-way handshake (SYN, SYN/ACK dan ACK) Scan ini mudah
terdeteksi oleh pengelola host target. Perintah : nmap -sT
[IP-Target] TCP SYN Scan Teknik ini dikenal sebagai half-opening
scanning karena suatu koneksi penuh tidak sampai terbentuk.Teknik
ini bersifat siluman dibandingkan dengan TCP koneksi penuh dan
tidak akan tercatat pada log host target. Perintah : nmap -sS
[IP-Target] TCP FIN scan Teknik ini mengirimkan suatu paket FIN ke
port host target. Berdasarkan RFC 793, host target akan mengirim
balik suatu RST untuk setiap port yang tertutup. Teknik ini hanya
dapat dipakai pada stack TCP/IP berbasis Unix. Perintah : nmap -sF
[IP-Target] TCP Xmas Tree scan Teknik ini mengirimkan suatu paket
FIN, URG dan PUSH ke port host target. Berdasarkan RFC 793, host
target akan mengembalikan suatu RST untuk semua port yang tertutup.
Perintah : nmap -sX [IP-Target] TCP null scan Teknik ini membuat
off semua flag. Berdasarkan RFC 793, host target akan mengirim
balik suatu RST untuk semua port yang tertutup. Perintah : nmap -sN
[IP-Target] TCP ACK scan Teknik ini digunakan untuk memetakan set
aturan firewall. Hal ini sangat membantu sobat dalam menentukan
apakah firewall yang dipergunakan adalah simple packet filter yang
membolehkan hanya koneksi penuh saja (koneksi dengan bit set ACK)
atau suatu firewall yang menjalankan advance packet filtering.
Perintah : nmap -sA [IP-Target] TCP Windows scan Teknik ini dapat
mendeteksi port-port terbuka maupun terfilter/tidak terfilter pada
sistem-sistem tertentu seperti pada AIX dan Free BSD sehubungan
dengan anomali dari ukuran Windows TCPnya. Perintah : nmap -sW
[IP-Target] TCP RPC scan Teknik ini spesifik hanya pada sistem Unix
dan digunakan untuk mendeteksi dan mengidentifikasi port RPC dan
program serta nomor versi yang berhubungan dengannya. Perintah :
nmap -sR [IP-Target] UDP scan Teknik ini mengirimkan suatu paket
UDP ke port host target. Bila port host target memberikan response
pesan berupa ICMP port unreachable artinya port ini tertutup.
Sebaliknya bila tidak menerima pesan tersebut, Anda dapat
menyimpulkan bahwa port tersebut terbuka. Karena UDP dikenal
sebagai connectionless protocol, maka akurasi teknik ini sangat
bergantung pada banyak hal sehubungan dengan penggunaan jaringan
dan sistem reources lainnya. Perintah : nmap -sU [IP-Target OS
fingerprinting Teknik ini digunakan untuk mengetahui operating
system dari os IP target yang di scan. Perintah : # nmap -O
no_ip_target 4. Apa kegunaan dari utility chkconfig? Jawab :
chkconfig berfungsi untuk menjalankan secara otomatis daemon2 yg
kita inginkan pada saat boot dan pada run level yg kita tentukan.
klo ngeliat hasil chkconfig diatas maka squid berjalan secara
otomatis pada run level 3 (multi user) untuk melihat service pada
tiap run level bisa digunakan chkconfig. 5. Bagaimana cara
mematikan dan menghidupkan service yang ada. Untuk menghidupkan
service dari nmap kita dapat gunakan perintah : #service nmap start
Untuk mematikan service dari nmap kita dapat menggunakan perintah :
#service nmap stop
BAB 3 PASSWORD MANAGEMENT
Untuk dapat mengakses sistem operasi Linux digunakan mekanisme
password. Pada distribusi-distribusi Linux yang lama, password
tersebut disimpan dalam suatu file teks yang terletak di
/etc/passwd. File ini harus dapat dibaca oleh setiap orang (world
readable) agar dapat digunakan oleh program-program lain yang
menggunakan mekanisme password tersebut. Password login yang
terdapat pada file /etc/passwd dienkripsi dengan menggunakan
algoritma DES yang telah dimodifikasi. Meskipun demikian hal
tersebut tidak mengurangi kemungkinan password tersebut dibongkar
(crack). Karena penyerang (attacker) dapat melakukan
dictionary-based attack dengan cara : 1. Menyalin file /etc/passwd
tersebut 1. Menjalankan program-program yang berguna untuk
membongkar password, contohnya adalah John the Ripper
(www.openwall.com/john/). Untuk mengatasi permasalahan ini pada
distribusi-distribusi Linux yang baru digunakan program utility
shadow password yang menjadikan file /etc/passwd tidak lagi
berisikan informasi password yang telah dienkripsi, informasi
tersebut kini disimpan pada file /etc/shadow yang hanya dapat
dibaca oleh root.
Dengan demikian, penggunaan shadow password akan mempersulit
attacker untuk melakukan dictionary-based attack terhadap file
password. Selain menggunakan shadow password beberapa distribusi
Linux juga menyertakan program hashing MD5 yang menjadikan password
yang dimasukkan pemakai dapat berukuran panjang dan relatif mudah
diingat karena berupa suatu passphrase. Mekanisme yang telah
disediakan sistem operasi tersebut di atas tidaklah bermanfaat bila
pemakai tidak menggunakan password yang "baik". Berikut ini adalah
beberapa kriteria yang dapat digunakan untuk membuat password yang
"baik" : 1. Jangan menggunakan nama login anda dengan segala
variasinya. 1. Jangan menggunakan nama pertama atau akhir anda
dengan segala variasinya. 1. Jangan menggunakan nama pasangan atau
anak anda. 1. Jangan menggunakan informasi lain yang mudah didapat
tentang anda, seperti nomor telpon, tanggal lahir. 1. Jangan
menggunakan password yang terdiri dari seluruhnya angka ataupun
huruf yang sama. 1. Jangan menggunakan kata-kata yang ada di dalam
kamus, atau daftar kata lainnya. 1. Jangan menggunakan password
yang berukuran kurang dari enam karakter. 1. Gunakan password yang
merupakan campuran antara huruf kapital dan huruf kecil. 1. Gunakan
password dengan karakter-karakter non-alfabet. 1. Gunakan password
yang mudah diingat, sehingga tidak perlu ditulis. 1. Gunakan
password yang mudah diketikkan, tanpa perlu melihat pada
keyboard.
Beberapa tool yang bisa dipakai untuk melihat strong tidaknya
password adalah john the ripper. Kita bisa memakai utility ini
untuk melihat strong tidaknya suatu pasword yang ada pada
komputer.
Tugas1. Bagaimana cara installasi john the ripper password?
Jawab :a. Download JTR melalui situs
http://www.openwall.com/john/b. Ketikkan perintah sebagai berikut
untuk ekstrak file john.tar.gz (sebelumnya pastikan masuk pada
direktori file tersebut)# tar -xvzf john-1.7.9.tar.gz
--dir=/usr/localc. Masuk ke direktori john-1.7.9, dan masuk folder
src#cd /usr/local/john-1.7.9/src d. Kompilasi john dengan
perintah#make dan #make clean generic1. Jelaskan cara penggunaan
john the ripper? Jawab :Untuk menggunakan john the ripper dapat
dilakukan dengan cara seperti berikuta. Mengamati isi file
/etc/passwd dan /etc/shadow#cat /etc/passwd#cat /etc/shadowb.
Melakukan umask di direktori john-1.7.9#umask 077c. Jika password
sudah ter-shadow, kita harus melakukan unshadow # ./unshadow
/etc/passwd /etc/shadow > mypasswd d. Mengecek isi dari data
mypasswd, password dari user yang dibuat tetap terenkripsi#cat
mypasswde. Untuk melihat password yang di crack gunakan perintah
#./john-1.7.9/run/john-show datapasswdf. Kemudian ketikan perintah
untuk mengcrack semua password user gunakan yaitu # john
datapasswd.1. Apa kegunaan shadow password pada linux?Jawab :
Kegunaan shadow password pada linux untuk menyimpan informasi
password user. File ini disembunyikan (mempunyai mod 600) sehingga
hanya administrator yang berhak melihat dan memodifikasi file ini.
Sebagian besar sistem linux terbaru menggunakan shadow password.
Dalam sistem shadow password, kolom password pada file /etc/passwd
diganti dengan karakter x, dan seluruh informasi password disimpan
dalam file /etc/shadow. Setiap baris dalam file /etc/shadow
mewakili informasi password seorang user. Setiap baris memiliki 8
kolom yang masing-masing dipisahkan oleh karakter :.
BAB 4 WEB SERVER SECURITYSaat ini web merupakan salah satu
layanan informasi yang banyak diakses oleh pengguna internet di
dunia. Sebagai salah satu layanan informasi maka perlu dibangun web
yang mampu menangani permintaan (request) dari banyak pengguna
dengan baik (reliable) tanpa meninggalkan aspek keamanannya.
Masalah keamanan merupakan salah satu aspek yang penting dalam
pembangunan web karena kelalaian dalam menangani keamanan web
server dapat berakibat fatal. Apache merupakan salah satu
distribusi web server yang populer dengan dukungan feature yang
sangat banyak. Perhitungan statistik yang ada saat ini menunjukkan
bahwa Apache menjadi web server yang paling banyak digunakan dalam
dunia internet, yaitu mencapai nilai 60 % dari seluruh web server
yang ada. Keberhasilan Apache mencapai kepopuleran saat ini selain
dikarenakan memiliki banyak feature yang sering tidak dijumpai pada
web server yang lain, juga dikarenakan Apache merupakan aplikasi
gratis yang berjalan dalam berbagai sistem operasi. Ada beberapa
aspek yang perlu diterapkan dalam mengamankan web server, antara
lain: 1. Layanan web server dengan low previllages 2. Pengaturan
akses terhadap web server 3. Meminimalkan layanan publik pada mesin
yang menjalankan web server 4. Menyediakan filesystem khusus untuk
layanan web server Layanan web server dengan low previllages Pada
sistem operasi berbasis UNIX semacam Linux, FreeBSD, OpenBSD setiap
proses memiliki berbagai properti seperti nomor proses, pemilik
proses, dan alokasi memori yang digunakan.Apache web server
merupakan layanan publik, sehingga sangat dianjurkan prosesproses
yang dijalankan oleh Apache dimiliki oleh user dengan hak akses
terhadap sistem yang ada serendah mungkin (low previllages).
Idealnya perlu dibuat user yang khusus menjalankan web server,
misal user dengan nama www. Dari perintah Linux di atas tampak
bahwa home direktori dari user www adalah / yang secara default
tidak dimiliki oleh user www melainkan dimiliki oleh root sehingga
user www tidak memiliki akses tulis terhadap home direktorinya
sendiri dan shell yang dimiliki oleh user www adalah /bin/true
sehingga secara otomatis user www tidak dapat menggunakan
fasilitas-fasilitas semacam telnet, rlogin, rsh. Langkah
selanjutnya adalah melakukan setting pada Apache web serversehingga
web server akan dijalankan oleh user www yang baru saja dibuat.
File konfigurasi utama yang digunakan Apache adalah file
httpd.conf. Pada file tersebut ditambahkan line semacam ini :
Pengaturan akses terhadap web server Pengaturan akses pada
Apache web server dapat dibedakan menjadi 2 macam : Pengaturan
akses berdasarkan alamat IP dari client Pengaturan akses dengan
proses autentikasi pengguna
Pengaturan akses berdasarkan IP Address client Model pengaturan
akses web server yang diterapkan disini didasarkan pada informasi
IP address dari pengguna. Aturan dapat dibuat sehingga untuk file
atau direktori tertentu akses dari IP address pengguna diterima
atau ditolak. Untuk menerapkan aturan ini perlu dilakukan perubahan
pada file konfigurasi Apache yaitu httpd.conf. Ada 3 kata kunci
yang berkaitan dengan pengaturan ini yaitu Order, Deny, dan Allow.
Kata kunci Order dapat diikuti oleh deny, allow atau allow, deny
yang menunjukkan urutan evaluasi pengaturan berdasarkan aturan Deny
dan aturan Allow. Kata kunci Allow maupun Deny diikuti oleh kata
kunci from dan : all : menunjukkan akses untuk semua host
diperbolehkan (Allow) atau ditolak (Deny) IP address : yaitu alamat
IP yang diperbolehkan atau ditolak semisal : 167.205.25.6
167.205.25. (berarti berlaku untuk alamat IP 167.205.25.0
167.205.25.255) atau 167.205. atau 167. 167.205.25.0/27 (berlaku
untuk 167.205.25.0-167.205.25.31) 167.205.0.0/255.255.0.0 (berlaku
untuk 167.205.0.0-167.205.255.255) Pengaturan akses Apache dapat
dilakukan pula dengan membuat aturanaturan pada file .htaccess pada
direktori yang bersangkutan baik untuk mengatur akses terhadap file
maupun akses terhadap direktori dimana file ini berada.
Pengaturan akses dengan proses autentikasi pengguna Model
pengaturan akses dengan proses autentikasi pengguna lebih fleksibel
dibandingkan dengan pengaturan akses berdasarkan IP address
pengguna. Ketika anda mencoba untuk mengakses suatu resources yang
dilindungi oleh model autentikasi user semacam ini maka anda harus
memasukan informasi login dan password yang sesuai dalam suatu form
semacam ini. Untuk mengimplementasikan mekanisme autentikasi ini
perlu dilakukan perubahanperubahan pada file httpd.conf ataupun
pada file .htaccess yang diletakkan pada direktori yang
bersangkutan. Informasi data login dibuat dengan menggunakan
program htpasswd. Username:password
Meminimalkan layanan publik pada mesin yang menjalankan web
server Pada umumnya mesin-mesin komputer yang terhubung dengan
internet melayani beberapa program layanan sekaligus. Ada beberapa
alasan yang mendasari hal tersebut antara lain : Keterbatasan
alamat IP saat ini Keterbatasan sumber daya mesin komputer
Keinginan memaksimalkan sumber daya komputer dengan menjalankan
TUGAS1. Sebutkan dan jelaskan denngan singkat apa kegunaan dari
htaccess ?Jawab :File .htaccess adalah file konfigurasi yang
disediakan oleh web server Apacehe yang bertujuan untukmengubah
settingan default Apache server itu sendiri.Banyak manfaat,
terutama dari sisi keamanan,yang dapat dilakukan dengan
memodifikasi isi file .htaccess tersebut.file .htaccess ini dapat
digunakanuntuk melakukan konfigurasi subdirektori-subdirektori yang
ada di dalamnya, sehingga kita hanyacukup mempunyai satu file
.htaccess saja yang diletakkan pada root direktori.2. Sebutkan pula
kegunaan dari SSL pada HTTP ?Jawab :SSL (Secure Socket Layer)
dikembangkan oleh Netscape untuk mengamankan HTTP dan
sampaisekarang masih inilah pemanfaatan utama SSL. SSL menjadi
penting karena beberapa produk umumseperti Netscape Communicator,
Internet Explorer, dan WS_FTP Pro,yang merupakan produk yanglazim
digunakan, menggunakan SSL. Secure Sockets Layer,adalah metode
enkripsi yangdikembangkan oleh Netscape untuk memberikan keamanan
diInternet. Ia mendukung beberapaprotokol enkripsi dan memberikan
autentikasi client dan server.
BAB 5 PORTSENTRY
Dari sekian banyak hal yang paling banyak di takuti orang pada
saat mengkaitkan diri ke Internet adalah serangan virus &
hacker. Penggunaan Software Firewall akan membantu menahan serangan
dari luar. Pada kenyataan di lapangan, menahan serangan saja tidak
cukup, kita harus dapat mendeteksi adanya serangan bahkan jika
mungkin secara otomatis menangkal serangan tersebut sedini mungkin.
Proses ini biasa disebut dengan istilah Intrusion Detection.
PortSentry adalah sebuah perangkat lunak yang di rancang untuk
mendeteksi adanya port scanning & meresponds secara aktif jika
ada port scanning. Port scan adalah proses scanning berbagai
aplikasi servis yang dijalankan di server Internet. Port scan
adalah langkah paling awal sebelum sebuah serangan di lakukan. Cara
kerja port sentry dengan melakukan melihat komputer yang melakukan
scan dan secara aktif akan memblokir mesin penyerang agar tidak
dapat masuk & melakukan transaksi dengan Server kita.Beberapa
fitur utama dari PortSentry: Berjalan di atas soket TCP & UDP
untuk mendeteksi scan port ke sistem kita. Mendeteksi stealth scan,
seperti SYN/half-open, FIN, NULL, X-MAS. PortSentry akan bereaksi
secara real-time (langsung) dengan cara memblokir IP address si
penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm
dan memasukan ke file /etc/host.deny secara otomatis oleh TCP
Wrapper. PortSentry mempunyai mekanisme untuk mengingat mesin /
host mana yang pernah connect ke dia. Dengan cara itu, hanya mesin
/ host yang terlalu sering melakukan sambungan (karena melakukan
scanning) yang akan di blokir. PortSentry akan melaporkan semua
pelanggaran melalui syslog dan mengindikasikan nama system, waktu
serangan, IP mesin penyerang, TCP / UDP port tempat serangan
dilakukan. Jika hal ini di integrasikan dengan Logcheck maka
administrator system akan memperoleh laporan melalui e-mail. Dengan
adanya berbagai fitur di atas maka system yang kita gunakan
tampaknya seperti hilang dari pandangan penyerang. Hal ini biasanya
cukup membuat kecut nyali penyerang. Penggunaan PortSentry sendiri
sangat mudah sekali, bahkan untuk penggunaan biasa saja praktis
semua instalasi default tidak perlu di ubah apa-apa dapat langsung
digunakan. Yang mungkin perlu di tune-up sedikit adalah file
konfigurasi portsentry yang semuanya berlokasi di /etc/portsentry
secara default. Untuk mengedit file konfigurasi tersebut anda
membutuhkan privilige sebagai root. Beberapa hal yang mungkin perlu
di set adalah: file /etc/portsentry/portsentry.conf merupakan
konfigurasi utama portsentry. Disini secara bertahap diset port
mana saja yang perlu di monitor, responds apa yang harus di lakukan
ke mesin yang melakukan portscan, mekanisme menghilangkan mesin
dari routing table, masukan ke host.deny. Proses setting sangat
mudah hanya dengan membuka / menutup tanda pagar (#) saja. pada
file /etc/portsentry/portsentry.ignore.static masukan semua IP
address di LAN yang harus selalu di abaikan oleh portsentry.
Artinya memasukan IP address ke sini, agar tidak terblokir secara
tidak sengaja. Pada file /etc/default/portsentry kita dapat menset
mode deteksi yang dilakukan portsentry. Semakin baik mode deteksi
yang dipilih (advanced stealth TCP/UP scanning), biasanya
PortSentry akan semakin sensitif & semakin rewel karena
sedikitsedikit akan memblokir mesin.Tugas1. Sebutkan dan jelaskan
dengan singkat apa yang disebut dengan konsep portsentry!Jawab
:PortSentry adalah sebuah perangkat lunak yang di rancang untuk
mendeteksi adanya port scanning & meresponds secara aktif jika
ada port scanning. Cara kerja port sentry dengan melakukan melihat
komputer yang melakukan scan dan secara aktif akan memblokir mesin
penyerang agar tidak dapat masuk & melakukan transaksi dengan
Server kita. 2. Sebutkan fasilitas portsentry yang ada di
linux!Jawab : Mendeteksi adanya Stealth port scan untuk semua
platform Unix. Stealth port scan adalah teknik port scan yang
tersamar / tersembunyi, biasanya sukar di deteksi oleh sistem
operasi. PortSentry akan mendeteksi berbagai teknik scan seperti
SYN/half-open, FIN, NULL dan X-MAS. Untuk mengetahui lebih jelas
tentang berbagai teknik ini ada baiknya untuk membaca-baca manual
dari software nmap yang merupakan salah satu software portscan
terbaik yang ada. PortSentry akan bereaksi terhadap usaha port scan
dari lawan dengan cara membolkir penyerang secara real-time dari
usaha auto-scanner, probe penyelidik maupun serangan terhadap
sistem. PortSentry akan melaporkan semua kejanggalan &
pelanggaran kepada software daemon syslog lokal maupun remote yang
berisi nama sistem, waktu serangan, IP penyerang maupun nomor port
TCP atau UDP di mana serangan di lakukan. Jika PortSentry
didampingkan dengan LogSentry, dia akan memberikan berita kepada
administrator melalui e-mail. Fitur cantik dari PortSentry adalah
pada saat terdeteksi sebuah scan, sistem anda tiba-tiba menghilang
dari hadapan si penyerang. Fitur ini betul-betul membuat penyerang
tidak berkutik. PortSentry selalu mengingat alamat IP penyerang,
jika ada serangan Port Scan yang sifatnya random PortSentry akan
bereaksi.
Tugas1. Dengan bekerja hanya mendeteksi port dimana sebaiknya
portsentry ditempatkan?Jawab:penggunaan portsentry lebih kepada
pengamanan dari sisi server untuk menghindari ataupun menghalau
sebuah ancaman dari pihak luar. Penggunaan portsentry sebaiknya
ditempatkan pada jaringan komputer ataupun pada jalur yang memiliki
banyak sekali traffic user. Seperti halnya warnet, perkantoran dan
anggota ISP sehingga penggunaan portsentry lebih cocok di install
dan dikonfigurasi pada masing-masing server tempat tersebut.
2. Jelaskan arsitektur portsentry sehingga bisa melakukan blok
menggunakan firewall jika ada yang dicurigai!Jawab :berikut adalah
beberapa arsitektur ataupun mode yang dapat digunakan dalam
portsentry : a. tcp untuk monitoring port-port tcp standard. b.
udpuntuk monitoring port-port udp standard. c. stcpuntuk monitoring
port-port tcp dengan mode stealth.d. sudpuntuk monitoring port-port
udp dengan mode stealth. e. atcpuntuk monitoring port-port tcp
dengan mode advance. f. audpuntuk monitoring port-port udp dengan
mode advance.
BAB 6 SNORT
Deteksi Penyusupan (Intrusion Detection) Deteksi penyusupan
adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan
menggunakan program khusus yang otomatis. Program yang dipergunakan
biasanya disebut sebagai Intrusion Detection System (IDS). Tipe
dasar dari IDS adalah: Rule-based systems - berdasarkan atas
database dari tanda penyusupan atau serangan yang telah dikenal.
Jika IDS mencatat lalulintas yang sesuai dengan database yang ada,
maka langsung dikategorikan sebagai penyusupan. Adaptive systems -
mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan
database yang ada, tapi juga membuka kemungkinan untuk mendeteksi
terhadap bentuk bentuk penyusupan yang baru. Bentuk yang sering
dipergunakan untuk komputer secara umum adalah rule-based systems.
Pendekatan yang dipergunakan dalam rule-based systems ada dua,
yakni pendekatan pencegahan (preemptory) dan pendekatan reaksi
(reactionary). Perbedaannya hanya masalah waktu saja. Pendekatan
pencegahan, program pendeteksi penyusupan akan memperhatikan semua
lalu lintas jaringan. Jika ditemukan paket yang mencurigakan, maka
program akan melakukan tindakan yang perlu. Pendekatan reaksi,
program pendeteksi penyusupan hanya mengamati file log. Jika
ditemukan paket yang mencurigakan, program juga akan melakukan
tindakan yang perlu. Snort Mengoperasikan Snort Tiga (3) buah mode,
yaitu 1. Sniffer mode, untuk melihat paket yang lewat di jaringan.
2. Packet logger mode, untuk mencatat semua paket yang lewat di
jaringan untuk di analisa di kemudian hari. 3. Intrusion Detection
mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan
yang dilakukan melalui jaringan komputer. Untuk menggunakan mode
IDS ini di perlukan setup dari berbagai rules / aturan yang akan
membedakan sebuah paket normal dengan paket yang membawa
serangan.
Sniffer Mode Untuk menjalankan snort pada sniffer mode tidaklah
sukar, beberapa contoh perintah-nya terdapat di bawah ini, #snort v
#snort vd #snort vde #snort v d e dengan menambahkan beberapa
switch v, -d, -e akan menghasilkan beberapa keluaran yang berbeda,
yaitu -v, untuk melihat header TCP/IP paket yang lewat. -d, untuk
melihat isi paket. -e, untuk melihat header link layer paket
seperti ethernet header. Packet Logger Mode Tentunya cukup
melelahkan untuk melihat paket yang lewat sedemikian cepat di layar
terutama jika kita menggunakan ethernet berkecepatan 100Mbps, layar
anda akan scrolling dengan cepat sekali susah untuk melihat paket
yang di inginkan. Cara paling sederhana untuk mengatasi hal ini
adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk
di lihat kemudian, sambil santai. Beberapa perintah yang mungkin
dapat digunakan untuk mencatat paket yang ada adalah ./snort dev l
./log ./snort dev l ./log h 192.168.0.0/24 ./snort dev l ./log b
perintah yang paling penting untuk me-log paket yang lewat adalah
-l ./log yang menentukan bahwa paket yang lewat akan di log / di
catat ke file ./log. Beberapa perintah tambahan dapat digunakan
seperti h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya
packet dari host mana saja, dan b yang memberitahukan agar file
yang di log dalam format binary, bukan ASCII. Untuk membaca file
log dapat dilakukan dengan menjalankan snort dengan di tambahkan
perintah r nama file log-nya, seperti, ./snort dv r packet.log
./snort dvr packet.log icmp Intrusion Detection Mode Mode operasi
snort yang paling rumit adalah sebagai pendeteksi penyusup
(intrusion detection) di jaringan yang kita gunakan. Ciri khas mode
operasi untuk pendeteksi penyusup adaah dengan menambahkan perintah
ke snort untuk membaca file konfigurasi c
nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan
banyak, tapi sebagian besar telah di set secara baik dalam contoh
snort.conf yang dibawa oleh source snort. Beberapa contoh perintah
untuk mengaktifkan snort untuk melakukan pendeteksian penyusup,
seperti ./snort dev l ./log h 192.168.0.0/24 c snort.conf ./snort d
h 192.168.0.0/24 l ./log c snort.conf
Untuk melakukan deteksi penyusup secara prinsip snort harus
melakukan logging paket yang lewat dapat menggunakan perintah l
nama-file-logging, atau membiarkan snort menggunakan default file
logging-nya di directory /var/log/snort. Kemudian menganalisa
catatan / logging paket yang ada sesuai dengan isi perintah
snort.conf. Ada beberapa tambahan perintah yang akan membuat proses
deteksi menjadi lebih effisien, mekanisme pemberitahuan alert di
Linux dapat di set dengan perintah A sebagai berikut, -A fast, mode
alert yang cepat berisi waktu, berita, IP & port tujuan. -A
full, mode alert dengan informasi lengkap. -A unsock, mode alert ke
unix socket. -A none, mematikan mode alert. Untuk mengirimkan alert
ke syslog UNIX kita bisa menambahkan switch s, seperti tampak pada
beberapa contoh di bawah ini. ./snort c snort.conf l ./log s h
192.168.0.0/24 ./snort c snort.conf s h 192.168.0.0/24 Untuk
mengirimkan alert binary ke workstation windows, dapat digunakan
perintah di bawah ini, ./snort c snort.conf b M WORKSTATIONS Agar
snort beroperasi secara langsung setiap kali workstation / server
di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah
di bawah ini /usr/local/bin/snort d h 192.168.0.0/24 c
/root/snort/snort.conf A full s D atau /usr/local/bin/snort d c
/root/snort/snort.conf A full s D dimana D adalah switch yang
menset agar snort bekerja sebagai Daemon (bekerja dibelakang
layar).
Tugas1. Sebutkan dan jelaskan dengan singkat apa yang disebut
dengan konsep logging ? Jawab :Logging adalah prosedur di mana
sebuah sistem operasi atau aplikasi merekam setiap kejadian dan
menyimpan rekaman tersebut untuk dapat dianalisa di kemudian hari.
Kejadian yang direkam ini bisa saja menyangkut sistem operasi, atau
khusus program-program tertentu saja.2. Sebutkan fasilitas logging
yang ada di linux ! Jawab :Portage dapat menciptakan file log untuk
setiap ebuild, tapi hanya jika variable PORT_LOGDIR diatur untuk
menunjuk ke sebuah lokasi yang dapat ditulis oleh portage (user
portage). Secara default, variabel ini tidak ditentukan. Jika anda
tidak menentukan PORT_LOGDIR, maka anda tidak akan mendapatkan log
kompilasi dengan logger sistem saat ini, namun anda mungkin akan
mendapatkan beberapa log dari elog baru. Jika anda tidak
mendefinisikan PORT_LOGDIR dan anda menggunakan elog, anda akan
mendapatkan log kompilasi dan log lain yang disimpan oleh elog,
seperti yang dijelaskan di bawah ini. Portage menyediakan kendali
yang mantap atas logging dengan menggunakan elog:
PORTAGE_ELOG_CLASSES: Di sinilah tempat anda menentukan pesan apa
saja yang ingin anda log. Anda dapat menggunakan kombinasi yang
dipisahkan oleh spasi dari info, warn, error, log dan qa.
PORTAGE_ELOG_SYSTEM: Variabel ini menentukan modul(-modul) yang
akan memproses pesan-pesan log. Jika dikosongkan, logging akan
dinonaktifkan. Anda dapat menggunakan kombinasi yang dipisahkan
dengan spasi dari save, custom, syslog, dan save_summary, dan
mail_summary. Anda harus memilih paling tidak satu modul untuk
menggunakan elog. PORTAGE_ELOG_COMMAND: Variabel ini hanya
digunakan ketika modul custom digunakan. Di sinilah tempat anda
untuk menentukan perintah yang akan memproses pesan-pesan elog.
Catat bahwa anda boleh menggunakan dua variabel: ${PACKAGE} adalah
nama dan versi paket, sedangkan ${LOGFILE} adalah path absolut ke
logfile. Berikut ini adalah contohnya: PORTAGE_ELOG_MAILURI:
Variabel ini berisi pengaturan untuk modul mail seperti alamat,
user, password, mailserver, dan nomor port. Aturan defaultnya
adalah "root@localhost localhost". Berikut ini adalah contoh untuk
server smtp yang membutuhkan username dan otentikasi berbasis
password pada sebuah port tertentu (defaultnya adalah port 25):
PORTAGE_ELOG_MAILURI="[email protected]
username:[email protected]:995" PORTAGE_ELOG_MAILFROM:
Untuk mengatur alamat "from" di mail log; defaultnya adalah
"portage" jika tidak diset. PORTAGE_ELOG_MAILSUBJECT: Untuk
menciptakan baris subject di mail log. Anda dapat menggunakan dua
variabel: ${PACKAGE} akan menampilkan nama dan versi paket,
sedangkan ${HOST} merupakan nama domain yang terkualifikasi dari
host tempat Portage dijalankan.3. Sebutkan beberapa software yang
biasa dipakai untuk melakukan monitoring log di linux.Jawab : w -
Find Out Who Is Logged on And What They Are Doing Software ini
untuk mengetahui siapa saja yang log in ke sistem dan apa yang
mereka lakukan. uptime - Tell How Long The System Has Been Running
Software ini digunakan untuk melihat berapa lama server berjalan.
Berapa banyak user yang login Nagios - Server And Network
Monitoring Nagios software jaringan yang digunakan untuk
memonitoring semua host Anda, perangkat jaringan dan layanan.
Software ini juga dapat mengirimkan alert ketika ada hal yang
salah.
BAB 7 TRIPWIRE
Pemasangan program intrusi deteksi sebenarnya ditujukan untuk
mendeteksi penyusup ataupun hacker ke suatu jaringan atau network
dan bisa memantau seluruh ulah sang hacker yang sedang dilakukan
olehnya. Type IDS sendiri secara garis besar dibagi 2 yaitu
hostbase dan network base IDS. Snort termasuk dalam Network base.
Salah satu model host-based IDS adalah tripwire Program tripwire
berfungsi untuk menjaga integritas file system dan direktori,
dengan mencatat setiap perubahan yang terjadi pada file dan
direktori. Konfigurasi tripwire meliputi pelaporan melalui email,
bila menemukan perubahan file yang tidak semestinya dan secara
otomatis melakukan pemeriksaan file melalui cron. Penggunaan
tripwire biasanya digunakan untuk mempermudah pekerjaan yang
dilakukan oleh System Administrator dalam mengamankan System. Cara
kerja tripwire adalah melakukan perbandingan file dan direktori
yang ada dengan database sistem. Perbandingan tersebut meliputi
perubahan tanggal, ukuran file, penghapusan dan lain-lainnya.
Setelah tripwire dijalankan, secara otomatis akan melakukan
pembuatan database sistem. Kemudian secara periodik akan selalu
melaporkan setiap perubahan pada file dan direktori. Berikut ini
merupakan penjelasan dari skema di atas: 1. Anda melakukan
instalasi tripwire dan melakukan pengaturan policy file serta
inisialisasi database, 2. Selanjutnya Anda bisa menjalankan
pemeriksaan integritas sistem. 3. Bila ditemukan perubahan ukuran,
tanggal maupun kepemilikan pada file tersebut, maka tripwire akan
melakukan laporan pada sistem tentang adanya perubahan pada file
terkait. 4. Jika perubahan tidak diijinkan, maka Anda bisa
mengambil tindakan yang diperlukan. 5. Sebaliknya, jika perubahan
pada file tersebut diijinkan, maka tripwire akan memeriksa Policy
File, apakah policy file berjalan dengan baik? 6. Jika policy file
tidak berjalan dengan benar, maka policy file harus di-update
sesegera mungkin. 7. Jika policy file sudah berjalan dengan benar,
maka tripwire akan melakukan update database file database. 8. Dan
demikian seterusnya proses ini berlangsung.
1. Jelaskan tentang konsep tripwireJawab :Program tripwire
berfungsi untuk menjaga integritas file system dan direktori,
dengan mencatat setiap perubahan yang terjadi pada file dan
direktori. Konfigurasi tripwire meliputi pelaporan melalui email,
bila menemukan perubahan file yang tidak semestinya dan secara
otomatis melakukan pemeriksaan file melalui cron. Penggunaan
tripwire biasanya digunakan untuk mempermudah pekerjaan yang
dilakukan oleh System Administrator dalam mengamankan System.2. Apa
perbedaan IDS jenis tripwire , snort dan portsentryJawab :Tripwire
merupakan host-based IDS berfungsi untuk menjaga integritas file
system dan direktori, dengan mencatat setiap perubahan yang terjadi
pada file dan direktori.Snort merupakan program IDS (Instucsion
Detection System) yang bekerja dalam sistem informasi linux , yang
digunakan untuk mendeteksi penyusupan secara cepat dan otomatis.
Snort sangat fleksibel karena arsitekturnya yang bersifat rule
Portsentry lebih banyak digunakan pengamanan dari sisi server untuk
menghindari ataupun menghalau sebuah ancaman dari pihak luar.
Penggunaan portsentry sebaiknya ditempatkan pada jaringan komputer
ataupun pada jalur yang memiliki banyak sekali traffic user.
Seperti halnya warnet, perkantoran dan anggota ISP sehingga
penggunaan portsentry lebih cocok di install dan dikonfigurasi pada
masing-masing server tempat tersebut.
1. Berdasarkan percobaan yang anda lakukan jelaskan cara kerja
tripwire dalam melakukan integrity checker? Jawab :Cara kerja
tripwire adalah melakukan perbandingan file dan direktori yang ada
dengan database sistem. Perbandingan tersebut meliputi perubahan
tanggal, ukuran file, penghapusan dan lain-lainnya. Setelah
tripwire dijalankan, secara otomatis akan melakukan pembuatan
database sistem. Kemudian secara periodik akan selalu melaporkan
setiap perubahan pada file dan direktori.2. Carilah di internet,
rule apa saja yang bisa dideteksi oleh tripwireJawab :Rule yang
dideteksi oleh tripwire adalah sebagai berikut ini1. Invariant
Directories2. Tripwire Data Files3. Other binaries4. Tripwire
binaries5. Other Libraries6. Root file-system executables7. System
boot changes8. Root file-system Libraries (/lib)9. Critical system
boot files10. Other configuration files (/etc)11. Boot Scripts12.
Security Control13. Root config files14. Devices & Kernel
information
BAB 8 EMAIL SECURITY
Layanan paling populer di Internet adalah Electronic Mail atau
orang sering menyingkatnya menjadi e-mail. Jika kita mempunyai
program client e-mail misalnya Eudora dan memiliki akses kelayanan
e-mail, maka dapat mengirim e-mail ke setiap orang yang alamat
e-mailnya kita ketahui. Untuk melihat keamanan sistem Internet
perlu diketahui cara kerja system Internet. Antara lain, yang perlu
diperhatikan adalah hubungan antara komputer di Internet, dan
protokol yang digunakan. Internet merupakan jalan raya yang dapat
digunakan oleh semua orang (public). Untuk mencapai server tujuan,
paket informasi harus melalui beberapa system (router, gateway,
hosts, atau perangkat-perangkat komunikasi lainnya) yang
kemungkinan besar berada di luar kontrol dari kita. Setiap titik
yang dilalui memiliki potensi untuk dibobol, disadap, dipalsukan.
Beberapa hal yang bisa dilakukan untuk mengamankan email adalah
melakukan installasi anti spam dan anti virus, sehingga email yang
kita terima terjamin keamanannya sebab di email kadang disertakan
attachment file yang berpotensi Menyebarkan virus, worm dan trojan
serta email spam.
TUGAS PENDAHULUAN1. Jelaskan cara kerja dari Mail Server Jawab
:Pada mail server terdapat dua server yang berbeda yaitu incoming
dan outgoing server. Server yang biasa menangani outgoing e-mail
adalah server SMTP(Simple Mail Transfer Protocol) pada port 25
sedangkan untuk menangani e-mail adalah POP3(Post Office Protocol)
pada port 110.
Saat e-mail dikirim maka akan langsung ditangani oleh SMTP
server dan akan dikiriM ke SMTP tujuan, baik secara langsung maupun
melalui beberapa SMTP server yang ada pada jalur tujuannya. Apabila
server terkoneksi ke jaringan maka pesan akan langsung di kirim,
tapi apa bila server tidak terkoneksi ke jaringan maka pesan akan
dimasukkan ke dalam queue dan di resend setiap 15 menit. Apabila
dalam 5 hari server tidak juga terkoneksi jaringan maka akan muncul
pemberitahuan undeliver notice ke inbox pengirim.
Apabila e-mail terkirim maka akan masuk pada POP3 server atau
IMAP server. Jika menggunakan POP3 server user akan membaca file
pesan maka komputer user akan mendownload file pesan dari server
sehingga file tersebun hanya akan ada pada komputer user tersebut.
Sehingga user dapat membaca pesan yang telah di download tersebut.
Berbeda dengan IMAP server yang mempertahankan e-mail pada server
sehigga e-mail dapat di buka kembali pada device yang berbeda.
2. Sebutkan beberapa software yang dipakai untuk mengamankan
email dari spam dan virus !Jawab :a. MXScanb. 1st Email
Anti-Virusc. ClamAV/ClamDd. SpamAssassine. Messages Sniffer