Modul 6 : Intrusion Detection System [Portsentry & Honeypot]

  • 0

Modul 6 : Intrusion Detection System [Portsentry & Honeypot]

Category : Uncategorized

TUJUAN PEMBELAJARAN:

  1. Mengenalkan pada mahasiswa tentang konsep portsentry dan honeypot di linux
  2. Mahasiswa memahami sistem blocking portsentry di linux
  3. Mahasiswa memahami sistem pendeteksian serangan dengan honeypot
  4. Mahasiswa mampu melakukan analisa terhadap portsentry yang ada di linux

DASAR TEORI
A. Portsentry
Dari sekian banyak hal yang paling banyak di takuti orang pada saat mengkaitkan diri ke Internet adalah serangan virus & hacker. Penggunaan Software Firewall akan membantu menahan serangan dari luar. Pada kenyataan di lapangan, menahan serangan saja tidak cukup, kita harus dapat mendeteksi adanya serangan bahkan jika mungkin
secara otomatis menangkal serangan tersebut sedini mungkin. Proses ini biasa disebut dengan istilah Intrusion Detection.
PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning. Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet. Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. Cara kerja port sentry dengan melakukan melihat komputer yang melakukan scan dan secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita. PortSentry dapat di download secara pada http://www.psionic.com
Beberapa fitur utama dari PortSentry:

  • Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
  • Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
  • PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
  • PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir.
  • PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail.

    Dengan adanya berbagai fitur di atas maka system yang kita gunakan tampaknya seperti hilang dari pandangan penyerang. Hal ini biasanya cukup membuat kecut nyali penyerang. Penggunaan PortSentry sendiri sangat mudah sekali, bahkan untuk penggunaan biasa saja praktis semua instalasi default tidak perlu di ubah apa-apa dapat langsung digunakan. Yang mungkin perlu di tune-up sedikit adalah file konfigurasi portsentry yang
    semuanya berlokasi di /etc/portsentry secara default. Untuk mengedit file konfigurasi tersebut anda membutuhkan privilige sebagai root. Beberapa hal yang mungkin perlu di set adalah:

    • file /etc/portsentry/portsentry.conf merupakan konfigurasi utama portsentry. Disini secara bertahap diset port mana saja yang perlu di monitor, responds apa yang harus di lakukan ke mesin yang melakukan portscan, mekanisme menghilangkan mesin dari routing table, masukan ke host.deny. Proses setting sangat mudah hanya dengan membuka / menutup tanda pagar (#) saja.
    • file /etc/portsentry/portsentry.ignore.static masukan semua IP address di LAN yang harus selalu di abaikan oleh portsentry. Artinya memasukan IP address ke sini, agar tidak terblokir secara tidak sengaja.
    • file /etc/default/portsentry kita dapat menset mode deteksi yang dilakukan portsentry. Semakin baik mode deteksi yang dipilih (advanced stealth TCP/UP scanning), biasanya PortSentry akan semakin sensitif & semakin rewel karena sedikit-sedikit akan memblokir mesin.

B. Honeypot
Honeypot merupakan sumber sistem informasi yang bersifat terbuka (opensif) yang memfocuskan pada proses pemgumpulan informasi tentang aktifitas ilegal si Attacker yang mencoba menyusup dan mengeksplorasi authorisasi system komputer (server). Dengan Honeypot kita bisa mengetahui tingkah laku si Attacker diantaranya : port yang
diserang, perintah-perintah yang dipergunakan, dan jenis aktifitas lainnya yang bisa direkam. Honeypot akan melindungi server asli yang kita miliki karena kita mendirikan server palsu yang tanpa disadari sebenarnya si Attacker sedang menyerang sistem yang bukan sebenarnya sehingga terperangkap.
Macam-Macam Honeypot
Honeypot sendiri dibagi menjadi dua kategori yaitu :
1. High Interaction Honeypot
adalah sistem yang mengoperasikan Sistem Operasi penuh sehingga penyerang akan melihatnya sebagai sebuah sistem operasi/host yang siap untuk dieksploitasi (dan memang seperti itu lah keadaannya). Inti dari High Interaction adalah sistem ini nantinya akandiserang oleh penyerang. Yang perlu dipahami dari High Interaction Honeypot adalah sistem ini bukan sebuah software ataupun daemon yang siap diinstall pada komputer Host namun lebih kepada sebuah paradigma,sebuah arsitektur jaringan, dengan kata lain High Interaction Honeypot adalah sekumpulan komputer yang dirancang sedemikian rupa dalam sebuah jaringan agar terlihat dari sisi penyerang dan tentunya sekumpulan komputer ini akan terus dimonitor dengan berbagai tools networking. Komputer-komputer ini
bisa dikatakan adalah komputer secara fisik (komputer yang benar-benar ada) atau komputer secara virtual (Virtual Operating System seperti VMware dan XEN).

2. Low Interaction Honeypot
mensimulasikan sebuah sistem operasi dengan service-service tertentu(misalnya SSH,HTTP,FTP) atau dengan kata lain sistem yang bukan merupakan sistem operasi secara keseluruhan, service yang berjalan tidak bisa dieksploitasi untuk mendapatkan akses penuh terhadap honeypot. Low interaction akan melakukan analisa terhadap jaringan dan aktifitas worm. Sayangnya perkembangan dari Honeypot (Honeyd Low Interaction Honeypot) sendiri tidak terlalu cepat bahkan update terbaru terjadi pada tahun 2007.

 

Facebook Comments

-- Download Modul 6 : Intrusion Detection System [Portsentry & Honeypot] as PDF --



Leave a Reply