Dari sekian banyak hal yang paling banyak di takuti orang pada saat
mengkaitkan diri ke Internet adalah serangan virus & hacker. Penggunaan
Software Firewall akan membantu menahan serangan dari luar. Pada kenyataan di
lapangan, menahan serangan saja tidak cukup, kita harus dapat mendeteksi adanya
serangan bahkan jika mungkin secara otomatis menangkal serangan tersebut sedini
mungkin. Proses ini biasa disebut dengan istilah Intrusion Detection.
PortSentry
adalah sebuah perangkat lunak yang dirancang untuk mendeteksi adanya port
scanning & meresponds secara aktif jika ada port scanning. Port scan adalah
proses scanning berbagai aplikasi servis yang dijalankan di server Internet.
Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan.
Cara
kerja port sentry dengan melakukan melihat komputer yang melakukan scan dan
secara aktif akan memblokir mesin penyerang agar tidak dapat masuk &
melakukan transaksi dengan Server kita. PortSentry dapat di download secara
pada http://www.psionic.com. Beberapa fitur
utama dari PortSentry:
a. Berjalan di atas soket TCP
& UDP untuk mendeteksi scan port ke sistem kita.
b. Mendeteksi stealth scan,
seperti SYN/half-open, FIN, NULL, X-MAS.
c.
PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP
address si penyerang.
d. Hal
ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file
/etc/host.deny secara otomatis oleh TCP Wrapper.
e. PortSentry mempunyai mekanisme untuk mengingat
mesin / host mana yang pernah connect ke dia. Dengan cara itu, hanya mesin /
host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang
akan di blokir.
f.
PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan
nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan
dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator
system akan memperoleh laporan melalui e-mail.
Dengan
adanya berbagai fitur di atas maka system yang kita gunakan tampaknya seperti
hilang dari pandangan penyerang. Hal ini biasanya cukup membuat kecut nyali
penyerang.
Penggunaan
PortSentry sendiri sangat mudah sekali, bahkan untuk penggunaan biasa saja
praktis semua instalasi default tidak perlu di ubah apa-apa dapat langsung
digunakan.
Yang
mungkin perlu di tune-up sedikit adalah file konfigurasi portsentry yang
semuanya berlokasi di /etc/portsentry secara default. Untuk mengedit file
konfigurasi tersebut anda membutuhkan privilige sebagai root. Beberapa hal yang
mungkin perlu di set adalah:
a. File
/etc/portsentry/portsentry.conf merupakan konfigurasi utama portsentry. Disini
secara bertahap diset port mana saja yang perlu di monitor, responds apa yang
harus di lakukan ke mesin yang melakukan portscan, mekanisme menghilangkan
mesin dari routing table, masukan ke host.deny. Proses setting sangat mudah
hanya dengan membuka / menutup tanda pagar (#) saja.
b. Pada
file /etc/portsentry/portsentry.ignore.static masukan semua IP address di LAN
yang harus selalu di abaikan oleh portsentry. Artinya memasukan IP address ke
sini, agar tidak terblokir secara tidak sengaja.
c. Pada
file /etc/default/portsentry kita dapat menset mode deteksi yang dilakukan
portsentry. Semakin baik mode deteksi yang dipilih (advanced stealth TCP/UP
scanning), biasanya PortSentry akan semakin sensitif & semakin rewel karena
sedikit-sedikit akan memblokir mesin.
langkah percobaan:
1. Jalankan perintah berikut untuk installasi
# apt-get install portsentry
2. Edit file konfigurasi :
#gedit /etc/portsentry/portsentry.conf
3. Edit File
/etc/portsentry/portsentry.ignore.static
Lalu isi dengan IP yang tidak terblokir, misal :
# Format : /
# Misalnya: Konfigurasi Ip di Router
initrd@vmlinuz.unixminix.com
# eth0 : 202.212.77.99/30
# eth1 : 192.168.1.1/24 # # Maka Daftar Hosts-nya
menjadi : # # Exclude all local interface 192.168.1.1/32 127.0.0.1
# Exclude default Gateway
202.212.77.98 # # Exclude nameserver 202.212.77.1 # # Catatan: jika kita tidak
mencantumkan nilai mask_length-nya # maka diasumsikan bernilai 32 bits. # Jadi
192.168.1.1 sama dengan 192.168.1.1/32
4. Edit
file /etc/default/portsentry
TCP_MODE=”atcp”
UDP_MODE=”audp”
5. Bukalah port sebanyak mungkin
untuk persiapan portsentry.
6. Insialisasi Daemon
#/etc/init.d/portsentry restart
7. Jika sudah jalan, jalankan #
tail -f /var/log/syslog, akan keluar hasil spt berikut : Nov 20 08:35:27 localhost
portsentry[2192]: adminalert: PortSentry is now active and listening.
8. Pada komputer lain jalankan nmap pada komputer yang diinstal
portsentry (PC target) apa yang terjadi.
a. Pada PC 1, dengan IP address 192.168.1.4
• Pertama
mengaktifkan Poertsentry terlebih dahulu kemudian reboot komputer.
• # nmap –sT –v no_IP_komputer_portsentry
Maka akan muncul tampilan error
saat proses scan ke PC klien karena pada PC klien telah mengaktifkan
Portsentry.
• Kemudian coba ping IP address
PC klien
Maka setelah dipimg hasilnya
Destination Host Unreachable atau tidak dapat tersambung.
b. Pada
PC 2, dengan IP address 192.168.1.16
• Pertama mengaktifkan Poertsentry terlebih dahulu kemudian reboot
komputer.
• # nmap –sT –v
no_IP_komputer_portsentry
Maka akan muncul tampilan error
saat proses scan ke PC klien karena pada PC klien telah mengaktifkan
Portsentry.
Kemudian
coba ping IP address PC klien
Maka setelah diping hasilnya
Destination Host Unreachable atau tidak dapat tersambung.
9. Cek ip yang terblokir di PC target
# gedit /etc/hosts.deny
Jika berhasil, akan muncul alamat
IP yang diblokir oleh Portsentry sebagai berikut :
10. Cek informasi file pada HISTORY_FILE seperti di
step 2.
11. Selanjutnya tutup/matikan service portsentry
dan jalankan nmap lagi, apa yang terjadi
Tidak ada komentar:
Posting Komentar