fitur spesiik IMAP 4 ini meliputi:

Ini dioptimalkan untuk kecepatan (yang terpenting di saat koneksi jaringan lambat,
seperti dial-up).
Hal ini dapat menyimpan pesan email pada server atau mengambil secara lokal.

SSL Support for SMTP, POP3, and IMAP4

POP3, SMTP, dan IMAP4 semuanya memiliki dukungan SSL. Tanpa SSL, protokol
ini memungkinkan intersepsi isi pesan bahkan jika ditambahkan opsi enkripsi otentikasi
digunakan. SSL mengenkripsi sesi dari awal sampai akhir, membuat intersepsi baik login atau
isi pesan yang sulit. port standar yang ditetapkan untuk versi SSL-dienkripsi protokol seperti:
SSL POP3 (POP3S) menggunakan TCP port 995, SSL SMTP (SMTPS) menggunakan TCP
port 465, dan SSL IMAP (imaps) menggunakan TCP port 993.
Spam and Spam Control
Setiap orang tiap hari akrab dengan spam Internet. Spam mengganggu orang, waktu
terbuang dan sumber daya, dan dapat membawa malware, sehingga sangat tidak diinginkan.
Orang sering bertanya-tanya "Mengapa saya mendapatkan spam? Saya tidak mengirimkan email saya untuk setiap perusahaan iklan. "Faktanya adalah bahwa alamat e-mail yang mudah
diperoleh dari situs dikompromikan dan layanan jejaring sosial, mereka dijual oleh
perusahaan pemasaran, dan mereka dapat dipanen dari masyarakat ' address books by
malware. Spam adalah salah satu malapetaka terbesar Internet, dan itu berhasil justru karena
itu efektif dan sulit untuk melacak kembali ke pengirim asli.
Seperti dijelaskan dalam Bab 4, sekitar 90% dari 294 miliar pesan e-mail yang dikirim
setiap hari di Internet pada tahun 2010 berisi spam, menurut Kelompok Radicati. Itu berarti
setiap tahun, lebih dari 72000000000000 spam e-mail akan dikirim di seluruh dunia, dan
jumlah ini terus bertambah. Hampir tidak ada yang tidak terkrna pesan spam dan membuka
isinya (kami berharap), tetapi bahkan jika salah satu di antara sejuta orang, mengingat bahwa
setidaknya ada 2 miliar account e-mail di dunia (seperti yang diperkirakan oleh Grup Radicati
di 2009), yang berarti setidaknya 2.000 orang yang menanggapi untuk spam setiap tahun, dan
itu sudah cukup untuk tetap hidup. Dan jumlahnya pasti lebih tinggi hari ini. Tentu saja, jika
tidak merespons spam, itu akan hilang dengan sendiri-tetapi tidak menunggu hal itu terjadi.
Pada bagian ini, kita membahas aspek-aspek spam, berikut:
Asal-Usul
Cara Melawan
Bagaimana mengkonigurasi server dengan bener untuk menjaga dari spam jaringan
anda
Definition
Spam adalah jenis elektronik "junk mail," atau email yang tidak diminta mencoba
untuk menjual komoditas atau jasa.
Masalah dengan spam adalah:
pemborosan bandwidth dan sumber daya server baik untuk ISP yang spam dikirim
dan untuk ISP yang mail server menerima spam.
pemborosan waktu pengguna untuk membaca dan menghapus.
Sebagian besar alamat sumber spam ditimpa dan dapat menggunakan e-mail dari
pengguna yang sah untuk menipu asal-usulnya. Dalam hal ini, inbox pengguna palsu
akan menerima semua e-mail yang memantul, serta balasan dari pengguna lain (yang
mungkin tidak sangat sopan).

Hal ini dapat berbahaya, baik membawa malware atau menipu pengguna untuk
mengirim uang di suatu tempat.

Where Spam Comes From

Spam adalah cara termurah untuk mengiklankan suatu produk, biaya hanya $ 120
(kurang lebih) untuk daftar 30 juta alamat e-mail. Dengan itu dan koneksi Internet yang
cepat, Anda dapat menjadi spammer instan. Dan statistik menunjukkan meskipun kebanyakan
orang mengabaikan spam, persentase kecil benar-benar mengirim uang mereka ke spammer.
Bahwa persentase kecil menambahkan hingga uang nyata ketika Anda sedang berbicara
tentang jutaan upaya.
Open Relays
Open relay servers adalah mail server yang dikonfigurasi untuk menerima permintaan
estafet dari siapa pun, sehingga memungkinkan siapa pun di Internet untuk mengirim e-mail
ke semua domain di mana saja tanpa traceability. relay seperti ada karena pengaturan server
terkonfigurasi atau default, atau komputer yang diretas di mana perangkat lunak server mail
telah diinstal. Untuk memastikan bahwa server mail tidak akan menjadi relay terbuka,
langkah-langkah berikut harus diambil:
Pastikan aplikasi up-to-date
Mengatur pengaturan yang membatasi pengguna luar sehingga mereka dapat
mengirim e-mail hanya untuk pengguna di domain Anda.
Open Proxies
Pilihan lain yang populer bagi para spammer untuk menyamarkan identitas mereka adalah
dengan menggunakan proxy terbuka. Proxy terbuka adalah komputer yang memungkinkan
pengguna internet untuk relay data melalui mereka, menunjukkan tujuan tuan rumah alamat
IP dari proxy, bukan dari komputer yang menghubungkan. Spammer memuat perangkat lunak
spamming mereka dengan daftar proxy terbuka di Internet, yang dapat diperoleh dengan
mudah dari berbagai situs yang memelihara diperbarui daftar proxy. Perangkat lunak ini
memeriksa proxy dan menghasilkan daftar kerja. Perangkat lunak kemudian siklus daftar dan
menggunakan proxy sebagai relay untuk koneksi e-mail untuk mengirim spam. penerima
hanya melihat alamat IP proxy dan tidak memiliki cara untuk mengetahui spammer IP asli
alamat-pada kenyataannya, tidak ada indikasi bahwa proxy bukanlah sumber nyata.
Mengapa proxy ini ada? Berikut adalah beberapa alasan:
Orang menjalankan proxy untuk memperoleh e-mail untuk membuat mailing list
mereka sendiri. (daftar tidak mengunakan biaya, dan ini adalah salah satu cara
tercepat untuk membangun dengan gratis, dengan memberhentikan alamat email
yang melewati proxy.)
Pemerintah ingin memantau orang-orang yang mencoba untuk "anonim" dan menjaga
privasi mereka.
perusahaan RBL ingin sistem peringatan dini untuk spam, sehingga mereka
menambahkan proxy untuk daftar mereka sebelum kompetisi.
Komputer dapat menjalankan zombie spam (aplikasi dikendalikan oleh penyerang
berbahaya untuk menggunakan komputer host sebagai sumber spam).
How ISPs Fight Spam
ISP sering mencoba untuk menyaring sebanyak spam yang mungkin untuk mencegah
pengguna mereka dari menerima itu. Cara termudah untuk melakukannya adalah dengan
kontrak layanan dari sebuah perusahaan anti-spam yang mengelola real-time daftar hitam

(RBL). Perusahaan anti-spam menyimpan daftar real-time dari proxy terbuka, relay terbuka,
dan IP spammer. Setiap koneksi yang berasal dari salah satu IP ini diperlakukan sebagai spam
dan ditolak. ISP juga dapat menggunakan metode spam blocking yang mengandalkan kriteria
sebagai berikut:
Repetitive source IP addresses
Sumber IP dengan tidak ada catatan MX
catatan DNS yang terkait dengan layanan internet pribadi
Badan teks yang mengandung kata kunci spam yang umum
konten teks Berulang
baris subjek Berulang
alamat sumber Berulang
Lebih dari satu pengguna per pesan
struktur pesan tidak valid
Blacklist dan Whitelist
skor berbasis Reputasi dari sistem pengiriman, berdasarkan database reputasi berbasis
internet
mail server memiliki beberapa cara untuk menolak sesi rentang jika diidentifikasi dalam
pencarian selama atau sebelum sesi:
Jika spam diidentifikasi karena alamat IP dari server pengirim, mail server dapat
menolak untuk menjawab atau merespon dengan kode kesalahan 553 atau 554 setelah
scammer mengirimkan perintah HELO.
Mail server dapat memungkinkan spammer untuk menyelesaikan sesi, memberikan
spammer penampilan bahwa surat itu dikirim berhasil, padahal sebenarnya itu
dibuang.
Karena mereka hanya memiliki keberhasilan parsial dalam memblokir spam, solusi ini
tidak peluru ajaib. Memang benar bahwa mereka memblokir spam, tetapi mereka juga dapat
memblokir e-mail yang sah. Baik-baik saja tuning sistem penyaringan spam untuk
menghindari positif palsu sementara memungkinkan pengiriman e-mail yang sah tidak
mudah.
How You Can Fight Spam
Ketika pesan spam yang tergelincir melalui filter Anda dan Anda menerimanya di
kotak masuk Anda, Anda memiliki beberapa pilihan. Anda dapat membalas ke pengirim
dengan permintaan untuk dihapus dari daftar mereka, atau dengan penghinaan; Namun, ini
bukan ide yang baik karena akan mengkonfirmasi ke spammer bahwa alamat e-mail Anda
adalah salah satu yang valid dengan seseorang di balik itu, dan alamat Anda akibatnya akan
pergi dari daftar "spam" ke "dikonfirmasi bekerja" daftar. Beberapa scammers mencoba
memikat pengguna yang tidak bersalah menjadi merespon dengan menambahkan opsi untuk
dihapus dari mereka "mailing list" (dengan link seperti "Klik di sini untuk dihapus dari daftar
ini"), yang menghasilkan alamat e-mail yang bergeser ke yang "dikonfirmasi bekerja" daftar
dan menerima bahkan lebih banyak spam.
CATATAN

Bila Anda menerima spam, cara terbaik hanya menghapus atau

menambahkannya ke klien email sampah filter Anda, meskipun filter junk
memblokir e-mail sesuai dengan alamat sumber, yang biasanya acak dan
palsu. Jangan menanggapi itu.

Bagaimana sebuah organisasi dapat melindungi penggunanya dari wabah ini?

Pilihannya adalah menggunakan built-in kemampuan filtering junk mail dari mail client dan
server, spam-blocking software yang berada pada server mail, peralatan spam blocking pada
jaringan yang bertindak sebagai relay mail, atau spam blocking berbasis SaaS Internet
layanan yang menggantikan Anda catatan MX dan blok spam. Semua teknik ini mungkin
diperlukan dalam organisasi Anda, untuk memotong tingkat spam turun ke tingkat yang dapat
diterima. Selain itu, Anda harus
Pastikan server email organisasi Anda tidak "relay terbuka."
Mendidik pengguna bagaimana menangani spam.
Mengeluh ke spam memerangi layanan online.
Laporkan alamat IP spammer ke ISP yang memiliki alamat tersebut. Bahkan jika
alamat adalah proxy atau zombie, jika ISP memotong mereka, jumlah sumber daya
yang tersedia untuk semua spammer akan berkurang.
Mengeluh ke ISP yang host link yang tercantum dalam e-mail spam.
Bila Anda menghubungi ISP, ISP harus menutup akun spammer dan menambahkannya ke
daftar hitam. Meskipun ini tidak mencegah spammer dari mendapatkan akun di tempat lain,
itu akan mengakibatkan kehilangan waktu dan mungkin kehilangan klien potensial yang
mungkin terpikat ke web spammer.
CATATAN Kebanyakan ISP memiliki alamat e-mail yang disebut abuse@domain.com
yang memungkinkan pengguna Internet untuk melaporkan penyalahgunaan atau spam
yang datang dari ISP. Anda dapat mengirim keluhan ke alamat untuk ISP untuk
handle.Don't mengharapkan balasan, namun.
Malware and Malware Control
Setelah masing-masing gelombang infeksi malware, anti-virus (AV) perusahaan
dituduh tidak mampu mengatasi malware secara tepat waktu. Tidak ada cara ampuh untuk
memerangi malware. penulis malware terus-menerus menemukan cara-cara baru untuk
melewati pertahanan. Generasi terbaru dari malware polimorfik, yang berarti kode terus
perubahan struktur sendiri untuk menghindari deteksi. Setiap bagian baru dari malware terus
menginfeksi tanpa pembatasan sampai cara ditemukan untuk melawan itu; untuk alasan ini,
bahkan jika pembaruan tersedia beberapa jam setelah virus mulai menyebar, itu tidak akan
membantu Anda jika sistem anda telah memukul. Dan jenis terbaru dari malware, yang
dikenal sebagai ancaman terus-menerus maju (APTs), menggunakan berbagai kombinasi
teknik, termasuk kode polimorfik dan memperbarui diri dari Komando dan Pengendalian
(CnC) server, dan mereka menggali jauh ke dalam komputer, embedding sendiri di luar
sistem operasi ke dalam disk atau BIOS-praktis dalam perangkat keras itu sendiri.
Virus dan worm memanfaatkan kerentanan yang berbeda, sehingga masing-masing
metode infeksi perlu ditangani secara berbeda. Apa yang dapat Anda lakukan untuk
melindungi diri? Minimal, Anda dapat menerapkan langkah-langkah keamanan berikut.
Desktop anti-virus software Filter email dan memindai file lokal pada komputer
endpoint
Network anti-virus devices Menyaring malware pada titik-titik choke jaringan
Mail gateway virus filters Installed on mail servers, scans e-mail messages before
the user receives them
Network gateway virus filters Filter all sessions that use a POP3 or IMAP4 port
Anomaly detection software Detects and blocks unusual software behaviors on
endpoint computers

Network anomaly detection devices Detect and block malicious network traffic and
content

Web Servers
keamanan web jatuh ke dalam dua kategori:
keamanan server Web (keamanan dan software konfigurasi server web itu sendiri)
keamanan aplikasi Web (keamanan Java, ActiveX, PHP, dan kode ASP yang berjalan
pada web server)
Dalam bab ini kita fokus pada keamanan server topik-web pertama. keamanan aplikasi
web tercakup dalam Bab 26.
Types of Attacks
serangan server Web yang dimungkinkan oleh kerentanan yang biasanya ditemukan di
perangkat lunak server web dan konfigurasi. kerentanan ini meliputi:
Buffer overflow
traversal Direktori
izin Script
penjelajahan Directory
kode web Contoh yang diinstal secara default oleh perangkat lunak web server
Kerentanan dalam perangkat lunak lain yang berjalan pada web server, seperti
perangkat lunak database SQL
Mari kita lihat masing-masing secara lebih rinci.
Buffer Overflows
Sebuah buffer overflow, yang dijelaskan secara rinci dalam Bab 27, memungkinkan
kode berbahaya untuk disuntikkan ke dalam aplikasi. Ia bekerja dengan merusak aplikasi
tumpukan-tempat dalam memori di mana kode aplikasi disimpan-dan mengganti bagian dari
kode dengan kode yang berbeda untuk melakukan apa yang diinginkan penyerang, seperti
menjalankan Trojan atau aplikasi remote control. Contoh sederhana dari kerentanan buffer
overflow dapat dilihat pada kode contoh berikut, yang ditulis dalam bahasa pemrograman C:
Char aTmp [100];
scanf ( "% s", aTmp);
Pada baris pertama, programmer menyatakan sebuah array disebut aTmp yang dapat
menampung 100 karakter. Pada baris kedua, metode scanf digunakan untuk membaca data
dari konsol ke dalam array aTmp. Kode ini tidak memeriksa bahwa ukuran input dapat
terkandung dalam variabel% s. Karena programmer tidak termasuk kode untuk memeriksa
ukuran string input, jika input yang diberikan yang melebihi 100 karakter, maka akan meluap.
Sebuah masukan khusus dibuat yang mencakup kode assembly yang akan dijalankan dalam
konteks program rentan ini akan memiliki hak istimewa yang sama dengan program itu. Bab
27 memberikan saran tentang cara untuk menghindari buffer overflows, tetapi untuk tujuan
bab ini, kita hanya perlu memahami bahwa buffer overflows adalah masalah.
NOTE Sebagian besar eksploitasi Apache adalah penyangga overflows.
Directory Traversal
Directory traversal adalah istilah yang menunjukkan akses ke direktori (atau folder)
selain orang-orang yang dimaksudkan dan diizinkan. Misalnya, di default Microsoft IIS situs

web yang terletak di C: \ inetpub folder, penyerang bisa memanfaatkan kerentanan direktori
traversal untuk pergi ke luar folder itu dan membaca file mereka tidak dimaksudkan untuk.
Sebagai contoh, mari kita pertimbangkan nama situs www.bad.com, yang berisi traversal
kerentanan direktori dalam kode server-nya. Penyerang mungkin mengeksploitasi kerentanan
dengan memasukkan URL berikut:
http://www.bad.com/../autoexec.bat
Ini "../" memberitahu server untuk pergi satu direktori up, yang merupakan C: \ (web
server dapat mengkonversi slash ke garis miring terbalik), jadi jika perangkat lunak server
berada di c: \ inetpub, URL yang akan pergi ke C: \ dan web server akan mengambil
penyerang untuk c: \ autoexec.bat, satu direktori up. Kecuali server dikonfigurasi untuk
menghindari direktori traversal, semua direktori bisa diakses, dan dalam hal ini web server
akan menampilkan isi dari file autoexec.bat (atau file lain penyerang memilih).
CATATAN

Kami telah menggunakan IIS sebagai contoh; Namun, ini mengeksploitasi

tidak eksklusif untuk IIS sendiri dan telah ditemukan pada banyak server web.

Script Permissions
Dalam rangka untuk menjalankan Common Gateway Interface (CGI), Perl, atau
aplikasi server-side lainnya, administrator harus memberikan izin executable ke direktori
dimana aplikasi server-side berada. Beberapa administrator memberikan izin ini ke tempat
yang salah (biasanya karena mereka tidak memahami implikasi). Mari kita lihat contoh
berikut untuk mempertimbangkan apa yang akan terjadi jika administrator diberikan hak
istimewa ini untuk semua drive C:
http://www.bad.com/../winnt/system32/cmd.exe%20%2fc%20dir
Mari kita menguraikan apa URL samar ini tidak. Beberapa karakter, seperti spasi dan
garis miring, tidak dapat dimasukkan dalam URL, karena URL terbatas pada karakter ASCII
7-bit, tapi kadang-kadang Anda perlu menggunakannya. Solusinya adalah untuk mewakili
karakter tersebut dengan menggunakan heksadesimal mereka, atau basis 16, ASCII setara,
seperti dikutip-printable encoding dijelaskan pada bagian SMTP di atas. Basis 16
menggunakan huruf a, b, c, d, e, dan f untuk mewakili angka lebih besar dari 9-misalnya,
surat mewakili nomor 10 di hex, dan huruf f mewakili jumlah 15-dan menggunakan nomor
10 untuk mewakili digit 16. Jadi, dalam contoh sebelumnya,
Sebuah ruang (), yang dalam kode ASCII adalah 32 dalam notasi desimal dan 20 di
hex, menjadi% 20.
A slash (/), yang dalam kode ASCII adalah 47 dalam notasi desimal dan 2f di hex,
menjadi% 2f.
Setelah web server mem-parsing itu, URL menjadi:
../winnt/system32/cmd.exe / c dir
Ini mengeksekusi cmd.exe, yang merupakan perintah shell terletak di C: \ winnt \
system32 folder, dan mengatakan itu untuk melakukan perintah dir. Daftar perintah dir semua
file dalam direktori saat ini dan mengirimkan kembali hasilnya ke pengguna. Tentu saja, ini
hanyalah sebuah contoh sederhana-penyerang dapat melakukan perintah bahkan lebih
kompleks untuk menghapus, menjalankan, atau mengubah data pada server web.

Gambar 23-5 menunjukkan layar konfigurasi IIS hak akses direktori. Praktek terbaik adalah
untuk mengatur hak akses executable hanya pada folder yang berisi hanya aplikasi serverside

Figure 23-5 screen shot dari IIS izin skrip konsol

yang dimaksudkan untuk dijalankan oleh pengunjung situs web, bukan perangkat lunak yang
dapat membantu penyerang, seperti cmd.exe atau lainnya built-in perintah sistem operasi.
Directory Browsing
Browsing direktori biasanya dinonaktifkan, tetapi jika diaktifkan, itu menunjukkan
daftar semua file dalam direktori tersebut dan memungkinkan menjelajah off subdirektori.
Kadang-kadang pengetahuan keberadaan file ini dapat membantu penyerang mengeksploitasi
kerentanan dalam file dan program pada server web. Untuk alasan ini, memungkinkan
browsing direktori pada web server tidak dianjurkan.
Default Samples
sampel default aplikasi yang disertakan dengan perangkat lunak web server, diinstal
secara default ketika perangkat lunak web server diinstal. Beberapa sampel yang diinstal
secara default berisi kerentanan. Cara terbaik untuk melindungi orang-orang kerentanan tidak
menginstal sampel-dan jika mereka sudah terpasang, hanya menghapusnya.
Other Services
Seorang penyerang bisa kompromi web server dengan menyerang layanan lain yang
berjalan pada web server seperti FTP, SMTP, POP3, SQL Server, dan NetBIOS melalui
jaringan. Cara terbaik untuk mencegah serangan tersebut adalah untuk mengurangi "serangan

permukaan" dengan mematikan semua layanan yang tidak perlu berjalan pada sistem operasi
web server dan mengkonfigurasi yang tersisa aman, seperti yang dijelaskan dalam Bab 21
dan 22. Praktek terbaik adalah membuat web Server hanya web server dan tidak ada yang
lain. Database dan software lainnya harus dijalankan pada server yang terpisah, sehingga
server yang dapat firewall dan web server hanya rentan terhadap serangan web. Jika
penyerang berhasil berkompromi komputer menggunakan kerentanan dalam layanan lain,
mereka akan dapat merusak atau kompromi situs web juga.
Inherent Vulnerabilities in Web Server Software
Setiap perangkat lunak server web, termasuk IIS dan Apache, telah built-in
kerentanan yang disediakan oleh programer dari perangkat lunak berkat kurangnya teknik
coding aman. Misalnya, IIS memiliki bug .htr, yang memungkinkan penyerang untuk melihat
isi file yang berada di server. kerentanan baru di platform software web server utama yang
ditemukan dan diterbitkan setiap minggu.
Web Server Protection
Melindungi terhadap kerentanan di atas dapat dilakukan dengan mengikuti praktik
terbaik ketika membangun dan menjalankan server web. Mengambil langkah-langkah berikut
akan meningkatkan keamanan server web Anda.
Atur layanan server web atau daemon untuk menjalankan dengan sedikitnya jumlah
hak istimewa yang memungkinkan untuk berfungsi dengan baik. Dengan cara itu, jika
seorang penyerang mengambil kendali dari web server, mereka akan dibatasi oleh
sistem operasi hanya hak-hak yang diberikan ke account pengguna di mana perangkat
lunak berjalan, dan dengan demikian memiliki sedikit pilihan untuk menyerang
perangkat lunak lain pada komputer atau jaringan .
Instal patch keamanan terbaru dan melacak eksploitasi baru seperti yang ditemukan.
Hapus sampel standar atau menghindari menginstal mereka.
Amankan komputer hosting web server dengan menghapus aplikasi yang tidak
dibutuhkan, mengamankan layanan jaringan lain pada komputer yang sama, dan
memastikan sistem operasi memiliki paling up-to-date patch keamanan diinstal.
Langkah-langkah untuk "mengeras" sebuah sistem operasi dengan cara ini diberikan
dalam Bab 21 dan 22.
Pastikan izin skrip yang diberikan hanya untuk direktori terisolasi yang hanya berisi
script yang bersangkutan.
Memberikan file index.html di setiap direktori di web server, untuk menghindari
kebutuhan untuk browsing direktori.
Third-Party Security Products
produk komersial dan gratis yang tersedia untuk membantu mempertahankan terhadap
kerentanan yang berbeda terkait dengan server web, termasuk yang berikut:
hardware Firewall dan software
firewall aplikasi Web (Wafs)
Anti Virus
produk berbasis ISAPI
Aman log
analisis Feedback
IDS dan IDP
Vulnerability scanner
validasi input

Firewall Hardware and Software Firewall menyaring lalu lintas yang bukan bagian dari
sesi web normal. Semua server web harus dilindungi oleh modern, generasi firewall keempat
seperti yang dijelaskan dalam Bab 15, yang dapat membedakan lalu lintas yang sah dari web
browser yang normal dari lalu lintas berbahaya yang disebabkan oleh penyerang. software
firewall yang berjalan secara langsung pada web server dapat memberikan lapisan lain
pertahanan.
Web Application Firewalls aplikasi web firewall (Wafs) adalah perangkat yang dirancang
untuk memiliki kemampuan pemeriksaan lalu lintas web yang sangat dalam. Mereka
memberikan perlindungan yang baik terhadap serangan berbasis konten karena mereka
memeriksa isi sebenarnya dari sesi HTTP, mencari buruk diketahui atau perilaku anomali
yang tidak cocok dengan pola penggunaan normal. Perangkat ini dapat sangat efektif
terhadap sebagian besar serangan.
Antivirus Perangkat lunak antivirus harus diinstal pada web server karena jika seorang
penyerang menggunakan mengeksploitasi dalam upaya untuk kompromi web server, dan itu
diketahui mengeksploitasi, AV akan mendeteksi dan menghentikannya.
ISAPI-Based Products Produk-produk ini mencegat permintaan URL dan menyaring
mereka untuk menghadapi kemungkinan serangan seperti buffer overflows. vendor server
web biasanya menawarkan mereka gratis.
Feedback Analyzers Produk ini menganalisis respon dari web server dan
membandingkannya dengan dikenal situs web asli yang baik. Jika situs tersebut rusak atau
dimodifikasi dalam beberapa cara, respon tidak akan sama dengan aslinya dikenal hasilnya
baik, memberikan cara untuk mendeteksi perubahan situs web yang tidak sah.
Intrusion Detection and Prevention sistem deteksi intrusi (IDS) yang baik untuk
penyelidikan post mortem karena mereka mencatat apa yang terjadi, dan sistem pencegahan
intrusi (IDP) yang baik untuk memblokir perilaku buruk tertentu diketahui. IDS dan IDP
dibahas dalam Bab 18.
Vulnerability Scanners Administrator harus menjalankan scanner kerentanan berkala untuk
menguji keamanan server web mereka karena jika pemindai menemukan mengeksploitasi,
kemungkinan bahwa penyerang akan terlalu. Ada banyak scanner kerentanan tersedia sebagai
produk gratis atau komersial; beberapa berbasis web, dan lain-lain peralatan perangkat keras
atau perangkat lunak yang berjalan pada jaringan.
Input Validation Produk masukan validasi yang digunakan untuk memeriksa setiap
pengiriman data ke situs web dan uji tanda-tanda anomali, perintah SQL injection, dan buffer
overflows.
Secure Logs Aman log berfungsi sebagai sumber informasi yang dapat memberikan bukti
serangan atau kompromi. Mereka harus disimpan di lokasi yang aman pada jaringan serta
pada web server, untuk mencegah penyerang dari mengubah log dan menghapus catatan
memberatkan.

DNS Servers

Domain Name Service (DNS), didefinisikan dalam RFC 1034 dan 1035, adalah
layanan penamaan hirarkis (yaitu, itu dibangun seperti pohon) yang dapat dikomunikasikan
lebih baik TCP dan UDP pada port 53. UDP digunakan lebih sering daripada TCP, tetapi TCP
diperlukan untuk zona transfer dan pesan yang panjang. Untuk mengetahui alamat IP dari
server apapun, misalnya www.google.com, Anda mengeluarkan permintaan DNS ke server
DNS Anda, yang meneruskan permintaan tersebut sampai menemukan jawaban otoritatif, dan
jika domain yang ada, server akan mengembalikan diselesaikan Alamat IP. Gambar 23-6
menggambarkan bagaimana ini bekerja.

Figure 23-6 Langkah-langkah yang server DNS melakukan untuk menyelesaikan alamat IP
DNS memiliki beberapa sifat perilaku penting yang harus diperhatikan:
DNS dapat mengirimkan lebih dari satu pertanyaan per query.
Sebuah balasan DNS dapat terdiri dari lebih dari satu jawaban.
Jika bertanya dari lokasi yang berbeda, DNS dapat kembali jawaban yang berbeda.
organisasi besar mengelola layanan Internet di seluruh dunia mereka dengan cara ini.
Internet memiliki 13 root server DNS. Sebuah penyelesai harus dimulai dengan salah satu
server tersebut. Setiap jawaban DNS memiliki nilai timeout (biasanya dua hari) yang
memberitahu ketika catatan ini dapat berubah, yang berarti bahwa jika Anda mencoba untuk
menyelesaikan alamat dan salah satu root server memberikan daftar server yang menangani
domain, Anda dapat menyimpan alamat dalam cache untuk jangka waktu tertentu untuk
menghindari harus mencarinya setiap kali perangkat lunak Anda perlu membuat sambungan.
Lain kali Anda harus menyelesaikan alamat, Anda dapat query cache langsung sampai batas
waktu berakhir, pada saat Anda harus requery server root.
Server DNS harus memiliki tindakan berikut diambil untuk membuat mereka lebih tahan
terhadap serangan:
Instalasi patch untuk memperbaiki built-in kerentanan perangkat lunak
Konfigurasi untuk mencegah transfer zona untuk Ips tidak sah
Kerentanan terhadap keracunan cache
Install Patches
Berkeley Internet Name Domain (BIND) adalah server DNS disediakan secara gratis
oleh Internet Software Consortium (ISC) dan layanan DNS yang paling umum untuk
komputer Unix. Banyak eksploitasi telah ditemukan untuk BIND, dan mereka banyak
digunakan untuk menyerang server DNS menjalankannya. Seperti BIND, eksploitasi telah
ditemukan untuk server DNS lain; Namun, eksploitasi BIND telah digunakan dalam profil

tinggi break-in. Untuk memperkecil potensi eksploitasi kerentanan dikenal di BIND, pastikan
Anda konsisten menginstal patch terbaru secara tepat waktu.
Microsoft DNS biasa digunakan dalam jaringan organisasi swasta, dan itu tunduk built-in
kerentanan seperti produk lainnya. Microsoft merilis patch secara teratur, dan ini harus
dipasang segera untuk menutup jendela kerentanan.
Prevent Unauthorized Zone Transfers
Sebuah transfer zona adalah metode untuk mengambil semua catatan dari server DNS,
yang merupakan bagian normal dari fungsi DNS. Dalam sebuah organisasi yang
mempertahankan alamat IP pada server DNS internal, penyerang dapat memperoleh
informasi tentang topologi jaringan dan informasi komputer untuk membantu serangan
sasaran, dengan menggunakan transfer zona. Penyerang hanya menghubungkan ke server
DNS dan meminta transfer zona. Server DNS membantu akan memberikan semua nama dan
alamat IP yang dikandungnya. Setelah transfer selesai, penyerang memiliki daftar semua
komputer dan perangkat organisasi. Untuk mencegah skenario ini, tiga hal yang bisa
dilakukan:
Jika DNS yang digunakan hanya untuk tujuan internal, blok akses ke server DNS dari
Internet.
Izinkan transfer zona ke IP terpercaya saja.
Blok TCP DNS (transfer zona dilakukan melalui TCP saja, sedangkan DNS biasa biasanya
UDP).
DNS Cache Poisoning
keracunan cache DNS adalah tua, tapi sangat efektif, serangan. Ia bekerja seperti ini:
penyerang menebak permintaan ID dari server bahwa penyerang ingin meracuni, dan
kemudian mengirimkan kembali jawaban palsu dengan alamat IP dari (berbahaya) server
penyerang. Jenis serangan ini dimungkinkan karena dua alasan:
Kebanyakan klien DNS menggunakan UDP, yang stateless dan mudah ditempa.
Pelaksanaan rentan server DNS menggunakan ID pembangkit berurutan. Sebagai
contoh, jika menggunakan 1 sebagai arus ID, menggunakan 2 sebagai berikutnya, dan
seterusnya. Sehingga penyerang dapat dengan mudah menebak ID berikutnya.
Penyerang dapat menggunakan serangan ini untuk dua tujuan:
Untuk denial of service (DoS)
Untuk memancing pengguna ke situs khusus dibuat
Denial of Service
Seorang penyerang dapat kembali alamat IP yang tidak valid (seperti 127.0.0.1, yang
merupakan alamat yang dikenal sebagai localhost yang selalu mengacu pada komputer lokal,
untuk setiap permintaan dari server, sehingga ketidakmampuan klien untuk benar
menyelesaikan setiap nama domain dan dengan demikian membuat itu tidak dapat
berkomunikasi.
Luring Users to a Crafted Site
Untuk memikat pengguna, penyerang dapat mengembalikan alamat IP dari situs
mereka sendiri dibuat yang menyerupai situs nyata, dalam rangka untuk mengelabui
pengguna agar memberikan informasi pribadi, seperti alamat e-mail, password, dan nomor
kartu kredit, atau mengeksekusi kode berbahaya. Ketika pengguna melihat situs mereka
mengakui (dengan asumsi penyerang melakukan pekerjaan yang baik meniru situs asli),
mereka mungkin kurang waspada tentang mengirimkan data sensitif.

Solusi terbaik untuk serangan keracunan cache adalah untuk memastikan Anda menjalankan
versi paling up-to-date dari perangkat lunak server DNS, dan tetap diperbarui, untuk
meminimalkan kerentanan yang menyebabkan keracunan cache.
Proxy Servers
Dalam lingkungan saat ini, semua orang di anjing internet bahkan. Orang-orang yang
berselancar di Web atau mengirim e-mail tidak peduli bagaimana data mendapat dari titik A
ke titik B, selama itu muncul pada komputer mereka. Sebuah server proxy dapat berfungsi
sebagai penyangga tak terlihat antara server dan klien, melindungi server sambil memberikan
data kepada pengguna akhir dengan "proxy" koneksi atas nama pengguna ke server, dan dari
server kembali ke pengguna akhir . Meskipun mereka tidak tahu itu, pengguna terhubung ke
proxy dan bukan web server, meskipun data yang dihasilkan adalah sama. Istilah "proxy
server" dapat merujuk ke teknologi yang berbeda, karena ada banyak jenis proxy. Mari kita
lihat beberapa yang paling umum.
HTTP Proxy
Proxy HTTP, seperti namanya, digunakan untuk membuat permintaan HTTP ke web
server dan kembali jawaban HTTP ke browser. klien terhubung ke proxy HTTP dan meminta
data menggunakan protokol HTTP. Perbedaan antara permintaan browser dibuat untuk proxy
dan permintaan yang dibuat langsung ke web server tidak terlihat oleh pengguna akhir, itu
hanya perubahan dalam kode GET. Misalnya, jika pengguna terhubung ke Google, bukan
browser menghubungkan langsung ke Google dan mengirim GET / HTTP / 1.0, itu akan
sebaliknya terhubung ke server proxy dan mengirim GET http://www.google.com HTTP /
1.0.
Setelah klien telah meminta data dari proxy, proxy membuat permintaan atas nama
klien. proxy dapat mengambil keuntungan dari kemampuan ini untuk cache hasil dan
meningkatkan respon dengan memberikan respon segera bukannya menunggu untuk itu
untuk datang kembali dari jaringan.
FTP Proxy
FTP Proxy bertindak seperti proxy HTTP, tetapi untuk protokol FTP. klien terhubung
ke proxy FTP, dan proxy menengahi antara server FTP dan klien.
Direct Mapping
Administrator dapat "peta langsung" alamat IP lokal dan port ke alamat IP remote dan
port-misalnya, administrator dapat memetakan alamat IP proxy server dari 192.168.1.100 dan
TCP port 25 ke alamat IP SMTP server dari 10,1. 250.50 dan TCP port 25. Pengguna
terhubung ke alamat IP proxy (192.168.1.100 di contoh kita) dan "terowongan" ke server
remote (10.1.250.50 dalam contoh kita) sehingga tampaknya mereka terhubung ke server
jarak jauh secara langsung. Tunneling dapat digunakan untuk layanan lain juga, termasuk
yang berjalan pada UDP. Misalnya, DNS, yang menggunakan port 53 UDP, dapat terowongan
ketika deploying server DNS bukanlah pilihan.
CATATAN Sebuah terowongan adalah metode untuk meneruskan semua koneksi yang
dibuat ke port tertentu di sebuah server tunnel ke komputer yang telah ditetapkan lain
dan port. Semua informasi yang diterima kembali dari komputer akhir diteruskan ke
sesi inisiator asli. Gambar 23-7 menunjukkan penyebaran terowongan DNS.

POP3 Proxy
POP3 dapat terowongan seperti SMTP; Namun, kadang-kadang Anda harus
memungkinkan koneksi ke beberapa server POP3 untuk akun e-mail yang berbeda. Anda
memiliki dua pilihan untuk menyebarkan proxy POP3:
Buatlah satu terowongan per server. (Opsi ini bisa sulit untuk mengelola jika Anda
membutuhkan dukungan untuk sejumlah besar server.)
Gunakan proxy POP3 berdedikasi.

Figure 23-7 A DNS tunnel deployment

HTTP Connect
Menurut versi 1.1 dari standar HTTP, didefinisikan dalam RFC 2616 dan 2817, klien
dapat meminta bahwa web server Transport terbuka Layer Security (TLS) atas namanya.
Untuk melakukan itu, klien mengeluarkan perintah CONNECT, diikuti dengan alamat tujuan
yang diminta dan port, seperti yang ditunjukkan dalam contoh ini:
CONNECT www.site.com:80 HTTP / 1.1
Ini memberitahu web server (atau server proxy) untuk relay koneksi ke www.site.com pada
port TCP 80, dan itu akan menjawab dengan jawaban HTTP standar, seperti dalam contoh ini:
HTTP / 1.1 200 OK
Setelah respon sukses, sesi akan berperilaku seperti hubungan langsung antara klien dan
alamat tujuan diminta.
Reverse Proxy
Anda dapat mengkonfigurasi proxy untuk menerima koneksi dari Internet dan
meneruskannya ke server Anda. Ini sering disebut sebagai reverse proxy karena koneksi
berasal dari internet bukan jaringan lokal, meskipun berfungsi dengan cara yang sama
sebagai proxy biasa. Kebalikan koneksi terowongan proxy dari Internet kembali ke

Figure 23-8 A reverse proxy configuration

server tertentu, seperti web server atau SMTP atau server POP3. Dengan cara itu, jika
penyerang harus menyerang server proxy, berpikir itu adalah server sebenarnya, mereka tidak
akan dapat berkompromi server yang sebenarnya. Gambar 23-8 menunjukkan konfigurasi
proxy reverse khas.
Summary
Bab ini meliputi layanan infrastruktur TI yang umum termasuk yang digunakan untuk
e-mail, layanan web, dan DNS-"inti" layanan Internet-dan bagaimana untuk mengamankan
mereka. Pemahaman tentang teknologi ini membantu praktisi keamanan untuk memahami
serangan yang memanfaatkan kerentanan dalam layanan tersebut, dan mengambil tindakan
pencegahan yang tepat.
Kami meninjau bagaimana layanan email bekerja, dan bagaimana penyerang bisa
mengeksploitasi kepercayaan yang melekat pada protokol yang mendasari yang
dikembangkan jauh sebelum internet modern dan ancaman yang divisualisasikan oleh orangorang yang datang dengan mereka. Kami kemudian ditutup beberapa alat keamanan bersama
untuk mempertahankan terhadap serangan yang memanfaatkan kepercayaan itu. layanan web
tertutup, bersama dengan kerentanan yang paling umum yang terkait dengan server, dan
penanggulangan terkait. fungsi DNS dibahas, bersama dengan ancaman dan penanggulangan
yang paling sering dikaitkan dengan resolusi nama server untuk alamat IP.
Akhirnya, kita bahas konsep proxy server, yang digunakan untuk melindungi jenis di
atas server dari serangan langsung, dengan bertindak sebagai perantara antara klien dan
server. Berbagai jenis proxy dibahas bersama dengan kasus penggunaan yang tepat untuk
setiap jenis layanan.
Dengan mengamankan layanan infrastruktur kunci ini, Anda mengurangi ancaman
utama bagi lingkungan secara keseluruhan dan fungsionalitas inti yang tergantung pada
mereka.