Konfigurasi Portsentry & HoneyPot
Konfigurasi Portsentry & HoneyPot
Fredy H. Manurung
13024139
Teknik Informatika
TUJUAN PERCOBAAN
1. Mengenalkan pada mahasiswa tentang konsep portsentry dan honeypot di linux
2. Mahasiswa memahami sistem blocking portsentry di linux
3. Mahasiswa memahami sistem pendeteksian serangan dengan honeypot
4. Mahasiswa mampu melakukan analisa terhadap portsentry yang ada di linux
DASAR TEORI
A. Portsentry
Dari sekian banyak hal yang paling banyak di takuti orang pada saat mengkaitkan diri ke
Internet adalah serangan virus & hacker. Penggunaan Software Firewall akan membantu menahan
serangan dari luar. Pada kenyataan di lapangan, menahan serangan saja tidak cukup, kita harus
dapat mendeteksi adanya serangan bahkan jika mungkin secara otomatis menangkal serangan
tersebut sedini mungkin. Proses ini biasa disebut dengan istilah Intrusion Detection. PortSentry
adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning &
meresponds secara aktif jika ada port scanning.
Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet.
Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. Cara kerja port sentry
dengan melakukan melihat komputer yang melakukan scan dan secara aktif akan memblokir mesin
penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita.
Beberapa fitur utama dari PortSentry:
Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IPaddress si
penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm danmemasukan ke
file /etc/host.deny secara otomatis oleh TCP Wrapper.
Penggunaan PortSentry sendiri sangat mudah sekali, bahkan untuk penggunaan biasa saja praktis
semua instalasi default tidak perlu di ubah apa-apa dapat langsung digunakan. Yang mungkin
perlu di tune-up sedikit adalah file konfigurasi portsentry yang semuanya berlokasi di
/etc/portsentry secara default. Untuk mengedit file konfigurasi tersebut anda membutuhkan
privilige sebagai root. Beberapa hal yang mungkin perlu diset adalah:
Pada file /etc/default/portsentry kita dapat menset mode deteksi yang dilakukanportsentry.
Semakin baik mode deteksi yang dipilih (advanced stealth TCP/UPscanning), biasanya
PortSentry akan semakin sensitif & semakin rewel karenasedikit-sedikit akan memblokir
mesin.
B. Honeypot
Honeypot merupakan sumber sistem informasi yang bersifat terbuka (opensif) yang
memfocuskan pada proses pemgumpulan informasi tentang aktifitas ilegal si Attacker yang
mencoba menyusup dan mengeksplorasi authorisasi system komputer (server). Dengan Honeypot
kita bisa mengetahui tingkah laku si Attacker diantaranya : port yang diserang, perintah-perintah
yang dipergunakan, dan jenis aktifitas lainnya yang bisa direkam. Honeypot akan melindungi
server asli yang kita miliki karena kita mendirikan server palsu yang tanpa disadari sebenarnya si
Attacker sedang menyerang sistem yangbukan sebenarnya sehingga terperangkap.
Macam-Macam Honeypot
High Interaction Honeypot adalah sistem yang mengoperasikan Sistem Operasi penuh
sehingga penyerang akanmelihatnya sebagai sebuah sistem operasi/host yang siap untuk
dieksploitasi (dan memang seperti itu lah keadaannya). Inti dari High Interaction adalah
sistem ininantinya akandiserang oleh penyerang. Yang perlu dipahami dari High
Interaction Honeypot adalah sistem ini bukan sebuahsoftware ataupun daemon yang siap
diinstall pada komputer Host namun lebih kepada sebuah paradigma,sebuah arsitektur
jaringan, dengan kata lain High InteractionHoneypot adalah sekumpulan komputer yang
dirancang sedemikian rupa dalam
sebuah jaringan agar terlihat dari sisi penyerang dan tentunya sekumpulan komputer ini akan terus
dimonitor dengan berbagai tools networking. Komputer-komputer ini bisa dikatakan adalah
komputer secara fisik (komputer yang benar-benar ada) atau komputer secara virtual (Virtual
Operating System seperti VMware dan XEN).
PC SERVER
Dari setting diatas terlihat bahwa jika ada IP attacker yang mencoba melakukan
scanning, maka akan diblok dengan 2 cara:
a) Ditolak aksesnya dengan dimasukkan dalam tabel routing:
KILL_ROUTE=/sbin/route add host $TARGET$ reject
b) Ditolak aksesnya dengan menggunakan tcpwrapper
KILL_HOSTS_DENY=ALL: $TARGET$ : DENY
3. Edit File di dalam nano /etc/portsentry/portsentry.ignore.static yaitu IP yang tidak
diblokir pada file ini akan dimasukkan pada file /etc/portsentry/portsentry.ignore secara
otomatis, isidengan IP yang tidak terblokir, misalnya kami memasukan Ipnya PC Router
yaitu 192.168.1.4/24 seperti terlihat di gambar berikut :
6. Jika sudah jalan, jalankan # tail -f /var/log/syslog, akan keluar hasil seperti
berikut :
Nov 20 08:35:27 localhost portsentry[2192]: adminalert: PortSentry is now active
and listening.
7. Dari PC Server, lakukan scanning ke dirinya sendiri untuk mengetahui port yang
dibuka dandicek oleh portsentry
# nmap localhost
PC CLIENT
a. Scanning dengan type stealth, apakah scanning masih bisa dijalankan. Selesai
scanning jalankan langkah 10, kemudian lakukan perintah ping untuk mengetahui
b. Gantilah dengan type scanning dengan full open scan, apakah scanning ini ditolak
oleh Server. Selesai scanning jalankan langkah 10, kemudian lakukan perintah
ping untuk mengetahui apakah IP attacker diblokir atau tidak.
# nmap sT no_IP_PC_Server
Jika berhasil akan timbul ip yang dengan sengaja melakukan nmap ke PC server , ini akan
diblokir menggunakan tcpwrapper dan tabel routing :
Bisa kita lihat dengan perintah berikut nano /etc/hosts.deny
Untuk menghapus rule IP yang terblokir, lakukan langkah berikutHapuslah rule diatas:
a. Hapus ip yang diblok (uncomment) pada file /etc/hosts.deny : # vim /etc/hosts.deny
#ALL: ip_penyerang : DENY
b. Untuk menghapus di table routing (route n), lakukan :
# route del host no_IP_attacker reject
Uninstall aplikasi portsentry agar tidak mengganggu percobaan kedua yaitu dengan honeypot
# apt-get remove --purge portsentry
Honeypot
1. Instalasi honeypot
Instal honeyd dengan cara mengetikkan
# apt-get install honeyd
home/pandi ke PC_SERVER
5. Lakukan peracunan arp terhadap ip yang diberi honeypot, agar dikenali oleh attacker
-
6. Jalankan honeyd
# honeyd -d -i eth0 -f /home/tes.conf 192.168.50.10
PC_CLIENT
7. Lakukan Tes Ping 192.168.50.120
#ip bayangan
#ip bayangan
Jika telah berhasil ping maka selanjutya lakukan penetrasi PC Client(Attacker) ke PC Client
11. Lakukan Tes ping ke Web Browser dengan cara masukan ip bayangan contoh
192.168.50.122
Kesimpulan
Berdasarkan Percobaan di atas maka Portsentry sebagai sebuah aplikasi untuk melakukan
pendeteksian port oleh PC Attacker(Client) secara otomatis memblokir alamat ip penyerangan
guna menjaga keamanan komputer server sehingga penyerangan tidak dapat masuk atau mencuri
data server. Sedangkan HoneyPot melakukan pendeteksian keamanan dengan cara melakukan
server bayangan sehingga apabila attacker menyerang PC Server maka seolah-olah dia telah masuk
pada port pc server padahal penyerangan tidak mengetahui bahwa ip yang dia masuk adalah ip
bayangan server yang memungkinkan bahwa penyerang tidak dapat terhubungan secara langsung
dengan pc server yang Asli(Kamuflase).