Laporan Praktikum Ke 5

Keamanan Jaringan Komputer

Konfigurasi Portsentry & HoneyPot

Fredy H. Manurung
13024139
Teknik Informatika

Kementerian Riset, Teknologi dan Pendidikan Tinggi

Politeknik Negeri Manado
2016

TUJUAN PERCOBAAN
1. Mengenalkan pada mahasiswa tentang konsep portsentry dan honeypot di linux
2. Mahasiswa memahami sistem blocking portsentry di linux
3. Mahasiswa memahami sistem pendeteksian serangan dengan honeypot
4. Mahasiswa mampu melakukan analisa terhadap portsentry yang ada di linux

DASAR TEORI
A. Portsentry
Dari sekian banyak hal yang paling banyak di takuti orang pada saat mengkaitkan diri ke
Internet adalah serangan virus & hacker. Penggunaan Software Firewall akan membantu menahan
serangan dari luar. Pada kenyataan di lapangan, menahan serangan saja tidak cukup, kita harus
dapat mendeteksi adanya serangan bahkan jika mungkin secara otomatis menangkal serangan
tersebut sedini mungkin. Proses ini biasa disebut dengan istilah Intrusion Detection. PortSentry
adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning &
meresponds secara aktif jika ada port scanning.
Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet.
Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. Cara kerja port sentry
dengan melakukan melihat komputer yang melakukan scan dan secara aktif akan memblokir mesin
penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita.
Beberapa fitur utama dari PortSentry:

Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.

Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.

PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IPaddress si
penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm danmemasukan ke
file /etc/host.deny secara otomatis oleh TCP Wrapper.

PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang

pernahconnect ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering
melakukansambungan (karena melakukan scanning) yang akan di blokir.

PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikannama

system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangandilakukan.
Jika hal ini di integrasikan dengan Logcheck maka administrator systemakan memperoleh
laporan melalui e-mail.

Penggunaan PortSentry sendiri sangat mudah sekali, bahkan untuk penggunaan biasa saja praktis
semua instalasi default tidak perlu di ubah apa-apa dapat langsung digunakan. Yang mungkin
perlu di tune-up sedikit adalah file konfigurasi portsentry yang semuanya berlokasi di
/etc/portsentry secara default. Untuk mengedit file konfigurasi tersebut anda membutuhkan
privilige sebagai root. Beberapa hal yang mungkin perlu diset adalah:

file /etc/portsentry/portsentry.conf merupakan konfigurasi utama portsentry. Disini secara

bertahap diset port mana saja yang perlu di monitor, responds apa yang harusdi lakukan ke
mesin yang melakukan portscan, mekanisme menghilangkan mesin darirouting table,
masukan ke host.deny. Proses setting sangat mudah hanya denganmembuka / menutup
tanda pagar (#) saja.

pada file /etc/portsentry/portsentry.ignore.static masukan semua IP address di LANyang

harus selalu di abaikan oleh portsentry. Artinya memasukan IP address ke sini,agar tidak
terblokir secara tidak sengaja.

Pada file /etc/default/portsentry kita dapat menset mode deteksi yang dilakukanportsentry.
Semakin baik mode deteksi yang dipilih (advanced stealth TCP/UPscanning), biasanya
PortSentry akan semakin sensitif & semakin rewel karenasedikit-sedikit akan memblokir
mesin.

B. Honeypot
Honeypot merupakan sumber sistem informasi yang bersifat terbuka (opensif) yang
memfocuskan pada proses pemgumpulan informasi tentang aktifitas ilegal si Attacker yang
mencoba menyusup dan mengeksplorasi authorisasi system komputer (server). Dengan Honeypot
kita bisa mengetahui tingkah laku si Attacker diantaranya : port yang diserang, perintah-perintah
yang dipergunakan, dan jenis aktifitas lainnya yang bisa direkam. Honeypot akan melindungi
server asli yang kita miliki karena kita mendirikan server palsu yang tanpa disadari sebenarnya si
Attacker sedang menyerang sistem yangbukan sebenarnya sehingga terperangkap.
Macam-Macam Honeypot

Honeypot sendiri dibagi menjadi dua kategori yaitu :

High Interaction Honeypot adalah sistem yang mengoperasikan Sistem Operasi penuh
sehingga penyerang akanmelihatnya sebagai sebuah sistem operasi/host yang siap untuk
dieksploitasi (dan memang seperti itu lah keadaannya). Inti dari High Interaction adalah
sistem ininantinya akandiserang oleh penyerang. Yang perlu dipahami dari High
Interaction Honeypot adalah sistem ini bukan sebuahsoftware ataupun daemon yang siap
diinstall pada komputer Host namun lebih kepada sebuah paradigma,sebuah arsitektur
jaringan, dengan kata lain High InteractionHoneypot adalah sekumpulan komputer yang
dirancang sedemikian rupa dalam

sebuah jaringan agar terlihat dari sisi penyerang dan tentunya sekumpulan komputer ini akan terus
dimonitor dengan berbagai tools networking. Komputer-komputer ini bisa dikatakan adalah
komputer secara fisik (komputer yang benar-benar ada) atau komputer secara virtual (Virtual
Operating System seperti VMware dan XEN).

Low Interaction Honeypot mensimulasikan sebuah sistem operasi dengan service-service

tertentu(misalnyaSSH,HTTP,FTP) atau dengan kata lain sistem yang bukan merupakan
sistem operasisecara keseluruhan, service yang berjalan tidak bisa dieksploitasi untuk
mendapatkanakses penuh terhadap honeypot. Low interaction akan melakukan analisa
terhadapjaringan dan aktifitas worm. Sayangnya perkembangan dari Honeypot (Honeyd
LowInteraction Honeypot) sendiri tidak terlalu cepat bahkan update terbaru terjadi
padatahun 2007.

PC SERVER

1. Install aplikasi portsentry dengan perintah

# apt-get install portsentry

2. Edit file konfigurasi untuk bloking serangan dengan TCPWrapper:

# nano /etc/portsentry/portsentry.conf

Rubah seperti gambar diatas BLOCK_UDP=1 dan BLOCK_TCP=1

Dari setting diatas terlihat bahwa jika ada IP attacker yang mencoba melakukan
scanning, maka akan diblok dengan 2 cara:
a) Ditolak aksesnya dengan dimasukkan dalam tabel routing:
KILL_ROUTE=/sbin/route add host $TARGET$ reject
b) Ditolak aksesnya dengan menggunakan tcpwrapper
KILL_HOSTS_DENY=ALL: $TARGET$ : DENY
3. Edit File di dalam nano /etc/portsentry/portsentry.ignore.static yaitu IP yang tidak
diblokir pada file ini akan dimasukkan pada file /etc/portsentry/portsentry.ignore secara
otomatis, isidengan IP yang tidak terblokir, misalnya kami memasukan Ipnya PC Router
yaitu 192.168.1.4/24 seperti terlihat di gambar berikut :

4. Masuk File /etc/default/portsentry akan terlihat gambar berikut :

Pilihan TCP_MODE dan UDP_MODE :

tcp : deteksi portscan sesuai yang ditentukan di TCP_PORT di portsentry.conf
stcp : adanya tambahan deteksi stealth scan
atcp : advanced tcp / udp port (mode ini sudah menyeluruh

5. Tahap selanjutnya inisialisasi Daemen dan catat hasilnya dengan perintah :

# nano /etc/init.d/portsentry restart

6. Jika sudah jalan, jalankan # tail -f /var/log/syslog, akan keluar hasil seperti
berikut :
Nov 20 08:35:27 localhost portsentry[2192]: adminalert: PortSentry is now active

and listening.

7. Dari PC Server, lakukan scanning ke dirinya sendiri untuk mengetahui port yang
dibuka dandicek oleh portsentry
# nmap localhost

PC CLIENT

Pada PC Client (attacker) lakukan koneksi ke PC SERVER #ping IP_SERVER

kemudian lihat perbedaannya setelah PC_CLIENT melakukan nmap ke PC_SERVER.

a. Scanning dengan type stealth, apakah scanning masih bisa dijalankan. Selesai
scanning jalankan langkah 10, kemudian lakukan perintah ping untuk mengetahui

apakah IP attacker diblokir atau tidak.

# nmap sS no_IP_PC_Server

b. Gantilah dengan type scanning dengan full open scan, apakah scanning ini ditolak
oleh Server. Selesai scanning jalankan langkah 10, kemudian lakukan perintah
ping untuk mengetahui apakah IP attacker diblokir atau tidak.
# nmap sT no_IP_PC_Server

Jika berhasil akan timbul ip yang dengan sengaja melakukan nmap ke PC server , ini akan
diblokir menggunakan tcpwrapper dan tabel routing :
Bisa kita lihat dengan perintah berikut nano /etc/hosts.deny

Untuk menghapus rule IP yang terblokir, lakukan langkah berikutHapuslah rule diatas:
a. Hapus ip yang diblok (uncomment) pada file /etc/hosts.deny : # vim /etc/hosts.deny
#ALL: ip_penyerang : DENY
b. Untuk menghapus di table routing (route n), lakukan :
# route del host no_IP_attacker reject
Uninstall aplikasi portsentry agar tidak mengganggu percobaan kedua yaitu dengan honeypot
# apt-get remove --purge portsentry
Honeypot

1. Instalasi honeypot
Instal honeyd dengan cara mengetikkan
# apt-get install honeyd
home/pandi ke PC_SERVER

2. Masukan proses ip forward dengan perintah :

# echo 0 > /proc/sys/net/ipv4/ip_forward

3. Buat file untuk menentukan virtual honeypot dengan perintah berikut :

#nano /home/tes.conf
Edit seperti gambar berkut :

4. Setting konfigurasi untuk honeyd dengan perintah berikut :

# nano /etc/default/honeyd

5. Lakukan peracunan arp terhadap ip yang diberi honeypot, agar dikenali oleh attacker
-

farpd I eth0 192.168.50.120

farpd I eth0 192.168.50.122

6. Jalankan honeyd
# honeyd -d -i eth0 -f /home/tes.conf 192.168.50.10

PC_CLIENT
7. Lakukan Tes Ping 192.168.50.120

#ip bayangan

8. Lakukan Tes Ping 192.168.50.122

#ip bayangan

Jika telah berhasil ping maka selanjutya lakukan penetrasi PC Client(Attacker) ke PC Client

9. Ping ip bayangan 192.168.50.120 dan 192.168.50.120

10. Nmap ip bayangan ke 2

# nmap -sT -P0 192.168.50.122

Bayangan dengan memasukkan perintah arp

11. Lakukan Tes ping ke Web Browser dengan cara masukan ip bayangan contoh
192.168.50.122

12. Lakukan tes ftp 192.168.50.122

13. Lakukan Tes Telnet 192.168.50.120

Kesimpulan
Berdasarkan Percobaan di atas maka Portsentry sebagai sebuah aplikasi untuk melakukan
pendeteksian port oleh PC Attacker(Client) secara otomatis memblokir alamat ip penyerangan
guna menjaga keamanan komputer server sehingga penyerangan tidak dapat masuk atau mencuri
data server. Sedangkan HoneyPot melakukan pendeteksian keamanan dengan cara melakukan
server bayangan sehingga apabila attacker menyerang PC Server maka seolah-olah dia telah masuk

pada port pc server padahal penyerangan tidak mengetahui bahwa ip yang dia masuk adalah ip
bayangan server yang memungkinkan bahwa penyerang tidak dapat terhubungan secara langsung
dengan pc server yang Asli(Kamuflase).