Laporan Praktikum Ke 5

Keamanan Jaringan Komputer

Konfigurasi Portsentry & HoneyPot

Fredy H. Manurung
13024139
Teknik Informatika

Kementerian Riset, Teknologi dan Pendidikan Tinggi

Politeknik Negeri Manado
2016

TUJUAN PERCOBAAN
1. Mengenalkan pada mahasiswa tentang konsep portsentry dan honeypot di linux
2. Mahasiswa memahami sistem blocking portsentry di linux
3. Mahasiswa memahami sistem pendeteksian serangan dengan honeypot
4. Mahasiswa mampu melakukan analisa terhadap portsentry yang ada di linux
DASAR TEORI
A. Portsentry
Dari sekian banyak hal yang paling banyak di takuti orang pada saat mengkaitkan diri ke
Internet adalah serangan virus & hacker. Penggunaan Software Firewall akan membantu
menahan serangan dari luar. Pada kenyataan di lapangan, menahan serangan saja tidak cukup,
kita harus dapat mendeteksi adanya serangan bahkan jika mungkin secara otomatis menangkal
serangan tersebut sedini mungkin. Proses ini biasa disebut dengan istilah Intrusion Detection.
PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port
scanning & meresponds secara aktif jika ada port scanning.
Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server
Internet. Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. Cara kerja
port sentry dengan melakukan melihat komputer yang melakukan scan dan secara aktif akan
memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita.
Beberapa fitur utama dari PortSentry:

Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IPaddress si
penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm danmemasukan ke

file /etc/host.deny secara otomatis oleh TCP Wrapper.

PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang
pernahconnect ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering

melakukansambungan (karena melakukan scanning) yang akan di blokir.

PortSentry
akan
melaporkan
semua
pelanggaran
melalui

syslog

dan

mengindikasikannama system, waktu serangan, IP mesin penyerang, TCP / UDP port

tempat serangandilakukan. Jika hal ini di integrasikan dengan Logcheck maka

administrator systemakan memperoleh laporan melalui e-mail.
Penggunaan PortSentry sendiri sangat mudah sekali, bahkan untuk penggunaan

biasa saja

praktis semua instalasi default tidak perlu di ubah apa-apa dapat langsung digunakan.

Yang

mungkin perlu di tune-up sedikit adalah file konfigurasi portsentry yang semuanya berlokasi
di /etc/portsentry secara default. Untuk mengedit file konfigurasi tersebut anda membutuhkan
privilige sebagai root. Beberapa hal yang mungkin perlu diset adalah:

file /etc/portsentry/portsentry.conf merupakan konfigurasi utama portsentry. Disini secara

bertahap diset port mana saja yang perlu di monitor, responds apa yang harusdi lakukan
ke mesin yang melakukan portscan, mekanisme menghilangkan mesin darirouting table,
masukan ke host.deny. Proses setting sangat mudah hanya denganmembuka / menutup

tanda pagar (#) saja.

pada file /etc/portsentry/portsentry.ignore.static masukan semua IP address di LANyang
harus selalu di abaikan oleh portsentry. Artinya memasukan IP address ke sini,agar tidak

terblokir secara tidak sengaja.

Pada file /etc/default/portsentry

kita

dapat

menset

mode

deteksi

yang

dilakukanportsentry. Semakin baik mode deteksi yang dipilih (advanced stealth

TCP/UPscanning), biasanya PortSentry akan semakin sensitif & semakin rewel
karenasedikit-sedikit akan memblokir mesin.
B. Honeypot
Honeypot merupakan sumber sistem informasi yang bersifat terbuka (opensif) yang
memfocuskan pada proses pemgumpulan informasi tentang aktifitas ilegal si Attacker yang
mencoba menyusup dan mengeksplorasi authorisasi system komputer (server). Dengan
Honeypot kita bisa mengetahui tingkah laku si Attacker diantaranya : port yang diserang,
perintah-perintah yang dipergunakan, dan jenis aktifitas lainnya yang bisa direkam. Honeypot
akan melindungi server asli yang kita miliki karena kita mendirikan server palsu yang tanpa
disadari sebenarnya si Attacker sedang menyerang sistem yangbukan sebenarnya sehingga
terperangkap.
Macam-Macam Honeypot
Honeypot sendiri dibagi menjadi dua kategori yaitu :

High Interaction Honeypot adalah sistem yang mengoperasikan Sistem Operasi penuh
sehingga penyerang akanmelihatnya sebagai sebuah sistem operasi/host yang siap untuk
dieksploitasi (dan memang seperti itu lah keadaannya). Inti dari High Interaction adalah
sistem ininantinya akandiserang oleh penyerang. Yang perlu dipahami dari High
Interaction Honeypot adalah sistem ini bukan sebuahsoftware ataupun daemon yang siap
diinstall pada komputer Host namun lebih kepada sebuah paradigma,sebuah arsitektur
jaringan, dengan kata lain High InteractionHoneypot adalah sekumpulan komputer yang
dirancang sedemikian rupa dalam

sebuah jaringan agar terlihat dari sisi penyerang dan tentunya sekumpulan komputer ini akan
terus dimonitor dengan berbagai tools networking. Komputer-komputer ini bisa dikatakan adalah
komputer secara fisik (komputer yang benar-benar ada) atau komputer secara virtual (Virtual
Operating System seperti VMware dan XEN).

Low Interaction Honeypot mensimulasikan sebuah sistem operasi dengan service-service

tertentu(misalnyaSSH,HTTP,FTP) atau dengan kata lain sistem yang bukan merupakan
sistem operasisecara keseluruhan, service yang berjalan tidak bisa dieksploitasi untuk
mendapatkanakses penuh terhadap honeypot. Low interaction akan melakukan analisa
terhadapjaringan dan aktifitas worm. Sayangnya perkembangan dari Honeypot (Honeyd
LowInteraction Honeypot) sendiri tidak terlalu cepat bahkan update terbaru terjadi
padatahun 2007.

PC SERVER
1. Install aplikasi portsentry dengan perintah

# apt-get install portsentry

2. Edit file konfigurasi untuk bloking serangan dengan TCPWrapper:

# nano /etc/portsentry/portsentry.conf

Rubah seperti gambar diatas BLOCK_UDP=1 dan BLOCK_TCP=1

Dari setting diatas terlihat bahwa jika ada IP attacker yang mencoba melakukan
scanning, maka akan diblok dengan 2 cara:
a) Ditolak aksesnya dengan dimasukkan dalam tabel routing:
KILL_ROUTE=/sbin/route add host $TARGET$ reject
b) Ditolak aksesnya dengan menggunakan tcpwrapper
KILL_HOSTS_DENY=ALL: $TARGET$ : DENY
3. Edit File di dalam nano /etc/portsentry/portsentry.ignore.static yaitu IP yang tidak
diblokir pada file ini akan dimasukkan pada file /etc/portsentry/portsentry.ignore
secara otomatis, isidengan IP yang tidak terblokir, misalnya kami memasukan Ipnya
PC Router yaitu 192.168.1.4/24 seperti terlihat di gambar berikut :

4. Masuk File /etc/default/portsentry akan terlihat gambar berikut :

Pilihan TCP_MODE dan UDP_MODE :

tcp : deteksi portscan sesuai yang ditentukan di TCP_PORT di portsentry.conf
stcp : adanya tambahan deteksi stealth scan
atcp : advanced tcp / udp port (mode ini sudah menyeluruh
5. Tahap selanjutnya inisialisasi Daemen dan catat hasilnya dengan perintah :
# nano /etc/init.d/portsentry restart

6. Jika sudah jalan, jalankan # tail -f /var/log/syslog, akan keluar hasil seperti
berikut :
Nov 20 08:35:27 localhost portsentry[2192]: adminalert: PortSentry is now active
and listening.

7. Dari PC Server, lakukan scanning ke dirinya sendiri untuk mengetahui port yang
dibuka dandicek oleh portsentry
# nmap localhost

PC CLIENT
Pada PC Client (attacker) lakukan koneksi ke PC SERVER #ping IP_SERVER
kemudian lihat perbedaannya setelah PC_CLIENT melakukan nmap ke PC_SERVER.

a. Scanning dengan type stealth, apakah scanning masih bisa dijalankan. Selesai
scanning jalankan langkah 10, kemudian lakukan perintah ping untuk mengetahui
apakah IP attacker diblokir atau tidak.
# nmap sS no_IP_PC_Server

b. Gantilah dengan type scanning dengan full open scan, apakah scanning ini ditolak
oleh Server. Selesai scanning jalankan langkah 10, kemudian lakukan perintah
ping untuk mengetahui apakah IP attacker diblokir atau tidak.
# nmap sT no_IP_PC_Server

Jika berhasil akan timbul ip yang dengan sengaja melakukan nmap ke PC server , ini akan
diblokir menggunakan tcpwrapper dan tabel routing :
Bisa kita lihat dengan perintah berikut nano /etc/hosts.deny

Untuk menghapus rule IP yang terblokir, lakukan langkah berikutHapuslah rule diatas:
a. Hapus ip yang diblok (uncomment) pada file /etc/hosts.deny : # vim /etc/hosts.deny
#ALL: ip_penyerang : DENY
b. Untuk menghapus di table routing (route n), lakukan :
# route del host no_IP_attacker reject
Uninstall aplikasi portsentry agar tidak mengganggu percobaan kedua yaitu dengan honeypot
# apt-get remove --purge portsentry
Honeypot

1. Instalasi honeypot
Instal honeyd dengan cara mengetikkan
# apt-get install honeyd
home/pandi ke PC_SERVER
2. Masukan proses ip forward dengan perintah :
# echo 0 > /proc/sys/net/ipv4/ip_forward
3. Buat file untuk menentukan virtual honeypot dengan perintah berikut :
#nano /home/tes.conf
Edit seperti gambar berkut :

4. Setting konfigurasi untuk honeyd dengan perintah berikut :

# nano /etc/default/honeyd

5. Lakukan peracunan arp terhadap ip yang diberi honeypot, agar dikenali oleh attacker
- farpd I eth0 192.168.50.120
- farpd I eth0 192.168.50.122

6. Jalankan honeyd
# honeyd -d -i eth0 -f /home/tes.conf 192.168.50.10

PC_CLIENT
7. Lakukan Tes Ping 192.168.50.120
#ip bayangan
8. Lakukan Tes Ping 192.168.50.122
#ip bayangan
Jika telah berhasil ping maka selanjutya lakukan penetrasi PC Client(Attacker) ke PC Client
9. Ping ip bayangan 192.168.50.120 dan 192.168.50.120

10. Nmap ip bayangan ke 2

# nmap -sT -P0 192.168.50.122

Bayangan dengan memasukkan perintah arp

11. Lakukan Tes ping ke Web Browser dengan cara masukan ip bayangan contoh
192.168.50.122

12. Lakukan tes ftp 192.168.50.122

13. Lakukan Tes Telnet 192.168.50.120

Kesimpulan
Berdasarkan Percobaan di atas maka Portsentry sebagai sebuah aplikasi untuk melakukan
pendeteksian port oleh PC Attacker(Client) secara otomatis memblokir alamat ip penyerangan
guna menjaga keamanan komputer server sehingga penyerangan tidak dapat masuk atau mencuri
data server. Sedangkan HoneyPot melakukan pendeteksian keamanan dengan cara melakukan
server bayangan sehingga apabila attacker menyerang PC Server maka seolah-olah dia telah
masuk pada port pc server padahal penyerangan tidak mengetahui bahwa ip yang dia masuk
adalah ip bayangan server yang memungkinkan bahwa penyerang tidak dapat terhubungan
secara langsung dengan pc server yang Asli(Kamuflase).