Definisi
1. Port : Pelabuhan
2. Sentry : Penjaga
3. PortSentry adalah sebuah perangkat lunak yang di
rancang untuk mendeteksi adanya port scanning & meresponds secara aktif
jika ada port scanning secara real time
Platform Port Sentry
1. FreeBSD
2. Open BSD
3. Linux
Dimana Port Sentry Diletakkan
1. Dibelakang Firewall
2. Dibelakang tiap host yang dilindungi
Fiture PortSentry
1. Mendeteksi scan
2. Melakukan aksi
terhadap host yg melakukan pelanggaran
3. Mengemail admin system bila di integrasikan dengan
Logcheck/LogSentry
Jenis-Jenis Scan
1. Connect scans -
2. SYN Scans - .
3. FIN Scans -
4. NULL Scans -
5. XMAS Scans - .
6. FULL-XMAS Scan -
7. UDP Scan
Aksi yang dilakukan Port Sentry
1. Stealth setting ????
2. Melogging
pelanggaran akses di /var/log/messages
3. Menambahkan entry untuk penyerang di /etc/hosts.deny
4. Menambahkan
non-permanent route dari penyerang ke "black-hole"
5. Mengeblok akses ke sistem
Beberapa fitur utama dari
PortSentry:
1. Berjalan di
atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
2. Mendeteksi
stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
3. PortSentry
akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si
penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan
ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
4. PortSentry
mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect ke
dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan
sambungan (karena melakukan scanning) yang akan di blokir.
5. PortSentry
akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama
system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan
dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator
system akan memperoleh laporan melalui e-mail.
Pada sistem keamanan dengan Intrusion Detection System
(IDS), IDS akan memberitahukan kepada administrator jika ada penyusup yang
memasuki jaringan. Namun jika hanya mengandalkan IDS sebagai pusat keamanan
suatu jaringan komputer maka tidak cukup, karena IDS hanya mendeteksi serangan
yang telah terjadi dan kemudian mengandalkan kecepatan respon dari
administrator. Untuk mengatasi masalah tersebut, maka perlu penggabungan antara
IDS dan firewall. Fungsi dari firewall adalah menentukan paket-paket yang layak
melewati jaringan dan yang tidak layak melewati jaringan. Jika IDS dan firewall
digabungkan maka akan menjadi IPS (Intrusion Prevention Sistem).
Ada 3 jenis
IDS :
1. Packet sniffer, untuk melihat paket yang melintas
jaringan.
2.Packet logger, untuk mencatat semua paket yang
melintasi jaringan untuk dianalisis di kemudian hari.
3. Intrusion detection mode. Pada mode ini portsentry
berfungsi untuk mendeteksi serangan pada jaringan komputer. Untuk menggunakan
mode intrusion detection memerlukan pengaturan dari berbagai aturan yang akan
membedakan sebuah paket normal dengan paket yang membawa serangan.
Disini yang
akan kita bahas adalah Portsentry
Portsentry
akan mendeteksi berbagai teknik scan seperti SYN/half-open, FIN, NULL dan XMAS.
Untuk mengetahui lebih jelas tentang berbagai teknik ini diharapkan untuk
membaca manual dari software nmap yang merupakan salah satu software portscan
terbaik yang ada.
Portsentry
akan bereaksi terhadap usaha port scan dari lawan dengan cara memblokir
penyerang secara real time dari usaha auto scanner, probe penyelidik, maupun
serangan terhadap sistem.
3. Portsentry
akan melaporkan semua kejanggalan dan pelanggaran kepada software daemon syslog
lokal maupun remote yang berisi nama sistem, waktu serangan, IP penyerang
maupun nomor port TCP atau UDP tempat serangan di lakukan.
4. Fitur cantik
Portsentry adalah pada saat terdeteksi sebuah port scan, sistem anda tiba-tiba
menghilang dari hadapan penyerang. Fitur ini membuat penyerang tidak berkutik.
5. Portsentry
selalu mengingat alamat IP penyerang, jika ada serangan port scan yang bersifat
random maka portsentry akan bereaksi. Salah satu hal yang menarik dari
portsentry adalah bahwa program ini dirancang agar dapat dikonfigurasi secara
sederhana sekali dan bebas dari keharusan memelihara.
Cara penggunaan Port Sentry:
1. Siapkan 2 buah PC (di sini saya menggunakan virtual machine tapi lebih nyaman jika menggunakan 2 buah PC). 1 PC wajib di install ubuntu untuk dipasang portsentry dan 1 PC lagi bebas boleh menggunakan Windows/LINUX yang kita posisikan sebagai port scanner.
2. Install portsentry dengan mengetikkan perintah "sudo apt-get install portsentry" pada PC yang dipasangi Ubuntu.
3. Install aplikasi port scanner, disini kita memakai NMAP. Jika PC yang akan diposisikan sebagai port scanner menggunakan Ubuntu maka kita install terlebih dahulu di terminal dengan mengetikkan perintah "sudo apt-get install nmap". Jika menggunakan Windows maka kita dapat menggunakan aplikasi Zenmap yang dapat kita cari melalui Google.
4. Lakukan scanning di PC kedua kepada PC pertama yang akan kita jadikan target yaitu PC yang telah kita install dengan portsentry. Tentunya dengan keadaan portsentry belum berjalan. Dengan mengetikkan "nmap -sS -sV -v -v -Pn (ip target)" pada terminal.
5. Setelah itu akan muncul hasil port-port mana saja yang terbuka sehingga dapat memudahkan kita dalam penyerangan.
6. Kembali ke PC Pertama kita konfigurasikan portsentry agar dapat berjalan untuk mengelabuhi PC kedua saat melakukan port scanning sehingga para attacker susah untuk mencari port yang terbuka sehingga proses hacking akan terhambat. Kita ketikkan perintah "nano /etc/portsentry/portsentry.conf"pada PC pertama untuk melakukan konfigurasi.
7. Cari baris yang berisikan menu BLOCK UDP & TCP. Lalu kita ubah semua angka 0 menjadi angka 1. Dan pastikan juga baris yang berisi tulisan "KILL ROUTE="s/bin/route add -host $TARGET reject" aktif yaitu dengan menghilangkan tanda "#"di depan kata KILL.
8. Setelah itu kita close konfigurasinya dengan menekan CTRL+X lalu tekan Enter untuk Save,Tekan "Y"untuk overwrite file lalu Enter. Setelah itu kita nyalakan portsentry dengan mengetikkan perintah "/etc/init.d/portsentry start".
9. Lalu kita kembali ke PC Kedua untuk melakukan scanning ulang dengan mengetikkan "nmap -sS -sV -v -v -Pn (ip target)" pada terminal seperti tadi. Kemudian akan muncul port yang tertangkap dan keadaannya tetap Open tetapi dibagian state tertulis TCPWRAPPED. Maksudnya adalah ini adalah port-port tiruan yang dibuat oleh portsentry yang bertujuan untuk mengecoh para attacker sehingga akan menyulitkan mereka untuk melakukan penyerangan kepada PC Pertama.
10. Kembali ke PC Pertama, kita juga dapat melihat log para attacker yang telah melakukan port scanning pada PC kita dengan mengetikkan perintah "tail -f /var/log/syslog"pada terminal. Disana akan muncul info ATTACKALERT yang berarti itu adalah sinyal untuk mengindikasikan telah terjadi penyerangan port scanning pada PC kita lengkap disertai IP penyerang serta waktu penyerangannya. Tetapi disini statusnya masih IGNORING dengan kata lain portsentry masih mengabaikan IP sang attacker.
11. Setelah kita mengetahui IP sang penyerang (dalam ini adalah PC kedua) kita dapat melakukan langkah selanjutnya yaitu Blocking IP dengan mengetikkan perintah "nano /etc/hosts.deny"pada terminal PC Pertama. Kemudian kita menuju baris paling bawah, disana terdapat menu yang bertuliskan "#ALL : PARANOID". Untuk melakukan blocking terhadap semua IP yang melakukan port scanning pada PC kita, kita cukup menghilangkan tanda # pada menu tersebut. Ini berarti portsentry akan bertindak secara paranoid yaitu dengan melakukan blocking terhadap semua IP yang melakukan port scanning pada PC kita.
12. Setelah itu kita close konfigurasinya dengan menekan CTRL+X lalu tekan Enter untuk Save,Tekan "Y"untuk overwrite file lalu Enter. Setelah itu kita restart portsentry dengan mengetikkan perintah "/etc/init.d/portsentry restart".
13. Setelah itu kita kembali buka log pada PC Pertama untuk mengawasi perubahan yang akan kita dapat setelah melakukan konfigurasi blocking IP tadi dengan mengetikkan "tail -f /var/log/syslog"
14. Kembali ke PC Kedua kita lakukan scanning ulang dengan mengetikkan "nmap -sS -sV -v -v -Pn (ip target)" pada terminal.
15. Kita amati perubahan yang terjadi pada log PC Pertama, disana ada yang berubah yaitu keterangan IGNORING menjadi LISTENING. Disini berarti port sentry mulai aktif bertahan untuk bersiap melakukan blocking kepada IP yang melakukan port scanning. Setelah beberapa detik kemudian portsentry akan melakukan blocking IP secara otomatis kepada PC sang attacker (PC Kedua).
16. Kita lihat pada PC Kedua, disana NMAP akan terhambat dan tidak akan bisa memberikan hasil akhir scanning nya. Hal ini dibuktikan dengan keterangan waktu di "time remaining"dalam nmap tersebut yang selalu bertambah dari 5 menit menjadi 10 menit lalu 15 menit dan seterusnya.
17. Sekarang kita buktikan bahwa IP sang attacker (PC Kedua) telah terblokir yaitu dengan mengetikkan perintah "nano /etc/hosts.deny" pada terminal PC Pertama. Kemudian kita lihat di baris paling bawah, tepatnya dibawah menu "ALL : PARANOID" yang telah kita aktifkan tadi dan kita akan menemukan tulisan "ALL : (IP pc kedua) : DENY". Ini berarti IP sang attacker (PC Kedua) telah berhasil diblokir secara otomatis oleh portsentry saat melakukan port scanning.
1. Siapkan 2 buah PC (di sini saya menggunakan virtual machine tapi lebih nyaman jika menggunakan 2 buah PC). 1 PC wajib di install ubuntu untuk dipasang portsentry dan 1 PC lagi bebas boleh menggunakan Windows/LINUX yang kita posisikan sebagai port scanner.
2. Install portsentry dengan mengetikkan perintah "sudo apt-get install portsentry" pada PC yang dipasangi Ubuntu.
3. Install aplikasi port scanner, disini kita memakai NMAP. Jika PC yang akan diposisikan sebagai port scanner menggunakan Ubuntu maka kita install terlebih dahulu di terminal dengan mengetikkan perintah "sudo apt-get install nmap". Jika menggunakan Windows maka kita dapat menggunakan aplikasi Zenmap yang dapat kita cari melalui Google.
4. Lakukan scanning di PC kedua kepada PC pertama yang akan kita jadikan target yaitu PC yang telah kita install dengan portsentry. Tentunya dengan keadaan portsentry belum berjalan. Dengan mengetikkan "nmap -sS -sV -v -v -Pn (ip target)" pada terminal.
5. Setelah itu akan muncul hasil port-port mana saja yang terbuka sehingga dapat memudahkan kita dalam penyerangan.
6. Kembali ke PC Pertama kita konfigurasikan portsentry agar dapat berjalan untuk mengelabuhi PC kedua saat melakukan port scanning sehingga para attacker susah untuk mencari port yang terbuka sehingga proses hacking akan terhambat. Kita ketikkan perintah "nano /etc/portsentry/portsentry.conf"pada PC pertama untuk melakukan konfigurasi.
7. Cari baris yang berisikan menu BLOCK UDP & TCP. Lalu kita ubah semua angka 0 menjadi angka 1. Dan pastikan juga baris yang berisi tulisan "KILL ROUTE="s/bin/route add -host $TARGET reject" aktif yaitu dengan menghilangkan tanda "#"di depan kata KILL.
8. Setelah itu kita close konfigurasinya dengan menekan CTRL+X lalu tekan Enter untuk Save,Tekan "Y"untuk overwrite file lalu Enter. Setelah itu kita nyalakan portsentry dengan mengetikkan perintah "/etc/init.d/portsentry start".
9. Lalu kita kembali ke PC Kedua untuk melakukan scanning ulang dengan mengetikkan "nmap -sS -sV -v -v -Pn (ip target)" pada terminal seperti tadi. Kemudian akan muncul port yang tertangkap dan keadaannya tetap Open tetapi dibagian state tertulis TCPWRAPPED. Maksudnya adalah ini adalah port-port tiruan yang dibuat oleh portsentry yang bertujuan untuk mengecoh para attacker sehingga akan menyulitkan mereka untuk melakukan penyerangan kepada PC Pertama.
10. Kembali ke PC Pertama, kita juga dapat melihat log para attacker yang telah melakukan port scanning pada PC kita dengan mengetikkan perintah "tail -f /var/log/syslog"pada terminal. Disana akan muncul info ATTACKALERT yang berarti itu adalah sinyal untuk mengindikasikan telah terjadi penyerangan port scanning pada PC kita lengkap disertai IP penyerang serta waktu penyerangannya. Tetapi disini statusnya masih IGNORING dengan kata lain portsentry masih mengabaikan IP sang attacker.
11. Setelah kita mengetahui IP sang penyerang (dalam ini adalah PC kedua) kita dapat melakukan langkah selanjutnya yaitu Blocking IP dengan mengetikkan perintah "nano /etc/hosts.deny"pada terminal PC Pertama. Kemudian kita menuju baris paling bawah, disana terdapat menu yang bertuliskan "#ALL : PARANOID". Untuk melakukan blocking terhadap semua IP yang melakukan port scanning pada PC kita, kita cukup menghilangkan tanda # pada menu tersebut. Ini berarti portsentry akan bertindak secara paranoid yaitu dengan melakukan blocking terhadap semua IP yang melakukan port scanning pada PC kita.
12. Setelah itu kita close konfigurasinya dengan menekan CTRL+X lalu tekan Enter untuk Save,Tekan "Y"untuk overwrite file lalu Enter. Setelah itu kita restart portsentry dengan mengetikkan perintah "/etc/init.d/portsentry restart".
13. Setelah itu kita kembali buka log pada PC Pertama untuk mengawasi perubahan yang akan kita dapat setelah melakukan konfigurasi blocking IP tadi dengan mengetikkan "tail -f /var/log/syslog"
14. Kembali ke PC Kedua kita lakukan scanning ulang dengan mengetikkan "nmap -sS -sV -v -v -Pn (ip target)" pada terminal.
15. Kita amati perubahan yang terjadi pada log PC Pertama, disana ada yang berubah yaitu keterangan IGNORING menjadi LISTENING. Disini berarti port sentry mulai aktif bertahan untuk bersiap melakukan blocking kepada IP yang melakukan port scanning. Setelah beberapa detik kemudian portsentry akan melakukan blocking IP secara otomatis kepada PC sang attacker (PC Kedua).
16. Kita lihat pada PC Kedua, disana NMAP akan terhambat dan tidak akan bisa memberikan hasil akhir scanning nya. Hal ini dibuktikan dengan keterangan waktu di "time remaining"dalam nmap tersebut yang selalu bertambah dari 5 menit menjadi 10 menit lalu 15 menit dan seterusnya.
17. Sekarang kita buktikan bahwa IP sang attacker (PC Kedua) telah terblokir yaitu dengan mengetikkan perintah "nano /etc/hosts.deny" pada terminal PC Pertama. Kemudian kita lihat di baris paling bawah, tepatnya dibawah menu "ALL : PARANOID" yang telah kita aktifkan tadi dan kita akan menemukan tulisan "ALL : (IP pc kedua) : DENY". Ini berarti IP sang attacker (PC Kedua) telah berhasil diblokir secara otomatis oleh portsentry saat melakukan port scanning.
KELEBIHAN
atau KEUNTUNGAN PORTSENTRY :
a). Deteksi portscan TCP/UDP berbasis hostbased dan mengaktifkan sistem pertahanan.
b). Deteksi Stealth scan.
c). Bereaksi ke portscan dengan memblok host.
d). Internal state engine untuk mengingat host yang terkoneksi sebelumnya.
E. KEKURANGAN PORTSENTRY :
a). Portsentry dibinding ke port sehingga diperlukan
pengecekan menyeluruh
b). Tidak dapat mendeteksi spoofing
a). Deteksi portscan TCP/UDP berbasis hostbased dan mengaktifkan sistem pertahanan.
b). Deteksi Stealth scan.
c). Bereaksi ke portscan dengan memblok host.
d). Internal state engine untuk mengingat host yang terkoneksi sebelumnya.
E. KEKURANGAN PORTSENTRY :
a). Portsentry dibinding ke port sehingga diperlukan
pengecekan menyeluruh
b). Tidak dapat mendeteksi spoofing
Nama : Doddy Octarino
Nim : 141420127
kelas : IF6IB
Dosen : Surya Yusra
Universitas Binadarma Palembang