Fredy H. Manurung
13024139
Teknik Informatika
TUJUAN PERCOBAAN
1. Mengenalkan pada mahasiswa tentang konsep portsentry dan honeypot di linux
2. Mahasiswa memahami sistem blocking portsentry di linux
3. Mahasiswa memahami sistem pendeteksian serangan dengan honeypot
4. Mahasiswa mampu melakukan analisa terhadap portsentry yang ada di linux
DASAR TEORI
A. Portsentry
Dari sekian banyak hal yang paling banyak di takuti orang pada saat mengkaitkan diri ke
Internet adalah serangan virus & hacker. Penggunaan Software Firewall akan membantu
menahan serangan dari luar. Pada kenyataan di lapangan, menahan serangan saja tidak cukup,
kita harus dapat mendeteksi adanya serangan bahkan jika mungkin secara otomatis menangkal
serangan tersebut sedini mungkin. Proses ini biasa disebut dengan istilah Intrusion Detection.
PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port
scanning & meresponds secara aktif jika ada port scanning.
Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server
Internet. Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. Cara kerja
port sentry dengan melakukan melihat komputer yang melakukan scan dan secara aktif akan
memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita.
Beberapa fitur utama dari PortSentry:
Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IPaddress si
penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm danmemasukan ke
syslog
dan
biasa saja
praktis semua instalasi default tidak perlu di ubah apa-apa dapat langsung digunakan.
Yang
mungkin perlu di tune-up sedikit adalah file konfigurasi portsentry yang semuanya berlokasi
di /etc/portsentry secara default. Untuk mengedit file konfigurasi tersebut anda membutuhkan
privilige sebagai root. Beberapa hal yang mungkin perlu diset adalah:
kita
dapat
menset
mode
deteksi
yang
High Interaction Honeypot adalah sistem yang mengoperasikan Sistem Operasi penuh
sehingga penyerang akanmelihatnya sebagai sebuah sistem operasi/host yang siap untuk
dieksploitasi (dan memang seperti itu lah keadaannya). Inti dari High Interaction adalah
sistem ininantinya akandiserang oleh penyerang. Yang perlu dipahami dari High
Interaction Honeypot adalah sistem ini bukan sebuahsoftware ataupun daemon yang siap
diinstall pada komputer Host namun lebih kepada sebuah paradigma,sebuah arsitektur
jaringan, dengan kata lain High InteractionHoneypot adalah sekumpulan komputer yang
dirancang sedemikian rupa dalam
sebuah jaringan agar terlihat dari sisi penyerang dan tentunya sekumpulan komputer ini akan
terus dimonitor dengan berbagai tools networking. Komputer-komputer ini bisa dikatakan adalah
komputer secara fisik (komputer yang benar-benar ada) atau komputer secara virtual (Virtual
Operating System seperti VMware dan XEN).
PC SERVER
1. Install aplikasi portsentry dengan perintah
6. Jika sudah jalan, jalankan # tail -f /var/log/syslog, akan keluar hasil seperti
berikut :
Nov 20 08:35:27 localhost portsentry[2192]: adminalert: PortSentry is now active
and listening.
7. Dari PC Server, lakukan scanning ke dirinya sendiri untuk mengetahui port yang
dibuka dandicek oleh portsentry
# nmap localhost
PC CLIENT
Pada PC Client (attacker) lakukan koneksi ke PC SERVER #ping IP_SERVER
kemudian lihat perbedaannya setelah PC_CLIENT melakukan nmap ke PC_SERVER.
a. Scanning dengan type stealth, apakah scanning masih bisa dijalankan. Selesai
scanning jalankan langkah 10, kemudian lakukan perintah ping untuk mengetahui
apakah IP attacker diblokir atau tidak.
# nmap sS no_IP_PC_Server
b. Gantilah dengan type scanning dengan full open scan, apakah scanning ini ditolak
oleh Server. Selesai scanning jalankan langkah 10, kemudian lakukan perintah
ping untuk mengetahui apakah IP attacker diblokir atau tidak.
# nmap sT no_IP_PC_Server
Jika berhasil akan timbul ip yang dengan sengaja melakukan nmap ke PC server , ini akan
diblokir menggunakan tcpwrapper dan tabel routing :
Bisa kita lihat dengan perintah berikut nano /etc/hosts.deny
Untuk menghapus rule IP yang terblokir, lakukan langkah berikutHapuslah rule diatas:
a. Hapus ip yang diblok (uncomment) pada file /etc/hosts.deny : # vim /etc/hosts.deny
#ALL: ip_penyerang : DENY
b. Untuk menghapus di table routing (route n), lakukan :
# route del host no_IP_attacker reject
Uninstall aplikasi portsentry agar tidak mengganggu percobaan kedua yaitu dengan honeypot
# apt-get remove --purge portsentry
Honeypot
1. Instalasi honeypot
Instal honeyd dengan cara mengetikkan
# apt-get install honeyd
home/pandi ke PC_SERVER
2. Masukan proses ip forward dengan perintah :
# echo 0 > /proc/sys/net/ipv4/ip_forward
3. Buat file untuk menentukan virtual honeypot dengan perintah berikut :
#nano /home/tes.conf
Edit seperti gambar berkut :
5. Lakukan peracunan arp terhadap ip yang diberi honeypot, agar dikenali oleh attacker
- farpd I eth0 192.168.50.120
- farpd I eth0 192.168.50.122
6. Jalankan honeyd
# honeyd -d -i eth0 -f /home/tes.conf 192.168.50.10
PC_CLIENT
7. Lakukan Tes Ping 192.168.50.120
#ip bayangan
8. Lakukan Tes Ping 192.168.50.122
#ip bayangan
Jika telah berhasil ping maka selanjutya lakukan penetrasi PC Client(Attacker) ke PC Client
9. Ping ip bayangan 192.168.50.120 dan 192.168.50.120
11. Lakukan Tes ping ke Web Browser dengan cara masukan ip bayangan contoh
192.168.50.122
Kesimpulan
Berdasarkan Percobaan di atas maka Portsentry sebagai sebuah aplikasi untuk melakukan
pendeteksian port oleh PC Attacker(Client) secara otomatis memblokir alamat ip penyerangan
guna menjaga keamanan komputer server sehingga penyerangan tidak dapat masuk atau mencuri
data server. Sedangkan HoneyPot melakukan pendeteksian keamanan dengan cara melakukan
server bayangan sehingga apabila attacker menyerang PC Server maka seolah-olah dia telah
masuk pada port pc server padahal penyerangan tidak mengetahui bahwa ip yang dia masuk
adalah ip bayangan server yang memungkinkan bahwa penyerang tidak dapat terhubungan
secara langsung dengan pc server yang Asli(Kamuflase).