my music

Minggu, 07 Mei 2017

Definisi Port Sentry



Definisi

1.      Port : Pelabuhan
2.      Sentry : Penjaga
3.      PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning secara real time

Platform Port Sentry

1.      FreeBSD
2.      Open BSD
3.      Linux

Dimana Port Sentry Diletakkan

1.      Dibelakang Firewall
2.      Dibelakang tiap host yang dilindungi

Fiture PortSentry

1.      Mendeteksi scan
2.      Melakukan aksi  terhadap host yg melakukan pelanggaran
3.      Mengemail admin system bila di integrasikan dengan Logcheck/LogSentry

Jenis-Jenis Scan

1.      Connect scans - 
2.      SYN Scans -  .
3.      FIN Scans -  
4.      NULL Scans - 
5.      XMAS Scans -  .
6.      FULL-XMAS Scan -  
7.      UDP Scan  

Aksi yang dilakukan Port Sentry

1.      Stealth setting ????
2.      Melogging  pelanggaran akses di /var/log/messages
3.      Menambahkan entry untuk penyerang di   /etc/hosts.deny
4.      Menambahkan  non-permanent route dari penyerang ke "black-hole"
5.      Mengeblok akses ke sistem  

Beberapa fitur utama dari PortSentry:

1.      Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
2.      Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
3.      PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
4.      PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir.
5.      PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail.

Pada sistem keamanan dengan Intrusion Detection System (IDS), IDS akan memberitahukan kepada administrator jika ada penyusup yang memasuki jaringan. Namun jika hanya mengandalkan IDS sebagai pusat keamanan suatu jaringan komputer maka tidak cukup, karena IDS hanya mendeteksi serangan yang telah terjadi dan kemudian mengandalkan kecepatan respon dari administrator. Untuk mengatasi masalah tersebut, maka perlu penggabungan antara IDS dan firewall. Fungsi dari firewall adalah menentukan paket-paket yang layak melewati jaringan dan yang tidak layak melewati jaringan. Jika IDS dan firewall digabungkan maka akan menjadi IPS (Intrusion Prevention Sistem).

Ada 3 jenis IDS : 

1. Packet sniffer, untuk melihat paket yang melintas jaringan.
2.Packet logger, untuk mencatat semua paket yang melintasi jaringan untuk dianalisis di kemudian hari.
3. Intrusion detection mode. Pada mode ini portsentry berfungsi untuk mendeteksi serangan pada jaringan komputer. Untuk menggunakan mode intrusion detection memerlukan pengaturan dari berbagai aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.

Disini yang akan kita bahas adalah Portsentry

Portsentry akan mendeteksi berbagai teknik scan seperti SYN/half-open, FIN, NULL dan XMAS. Untuk mengetahui lebih jelas tentang berbagai teknik ini diharapkan untuk membaca manual dari software nmap yang merupakan salah satu software portscan terbaik yang ada. 
Portsentry akan bereaksi terhadap usaha port scan dari lawan dengan cara memblokir penyerang secara real time dari usaha auto scanner, probe penyelidik, maupun serangan terhadap sistem. 
3.      Portsentry akan melaporkan semua kejanggalan dan pelanggaran kepada software daemon syslog lokal maupun remote yang berisi nama sistem, waktu serangan, IP penyerang maupun nomor port TCP atau UDP tempat serangan di lakukan. 
4.      Fitur cantik Portsentry adalah pada saat terdeteksi sebuah port scan, sistem anda tiba-tiba menghilang dari hadapan penyerang. Fitur ini membuat penyerang tidak berkutik. 
5.      Portsentry selalu mengingat alamat IP penyerang, jika ada serangan port scan yang bersifat random maka portsentry akan bereaksi. Salah satu hal yang menarik dari portsentry adalah bahwa program ini dirancang agar dapat dikonfigurasi secara sederhana sekali dan bebas dari keharusan memelihara.  

Cara penggunaan Port Sentry:

1. Siapkan 2 buah PC (di sini saya menggunakan virtual machine tapi lebih nyaman jika menggunakan 2 buah PC). 1 PC wajib di install ubuntu untuk dipasang portsentry dan 1 PC lagi bebas boleh menggunakan Windows/LINUX yang kita posisikan sebagai port scanner.

2. Install portsentry dengan mengetikkan perintah "sudo apt-get install portsentry" pada PC yang dipasangi Ubuntu.

3. Install aplikasi port scanner, disini kita memakai NMAP. Jika PC yang akan diposisikan sebagai port scanner menggunakan Ubuntu maka kita install terlebih dahulu di terminal dengan mengetikkan perintah "sudo apt-get install nmap". Jika menggunakan Windows maka kita dapat menggunakan aplikasi Zenmap yang dapat kita cari melalui Google.

4. Lakukan scanning di PC kedua kepada PC pertama yang akan kita jadikan target yaitu PC yang telah kita install dengan portsentry. Tentunya dengan keadaan portsentry belum berjalan. Dengan mengetikkan "nmap -sS -sV -v -v -Pn (ip target)" pada terminal.

5. Setelah itu akan muncul hasil port-port mana saja yang terbuka sehingga dapat memudahkan kita dalam penyerangan.

6. Kembali ke PC Pertama kita konfigurasikan portsentry agar dapat berjalan untuk mengelabuhi PC kedua saat melakukan port scanning sehingga para attacker susah untuk mencari port yang terbuka sehingga proses hacking akan terhambat. Kita ketikkan perintah "nano /etc/portsentry/portsentry.conf"pada PC pertama untuk melakukan konfigurasi.

7. Cari baris yang berisikan menu BLOCK UDP & TCP. Lalu kita ubah semua angka 0 menjadi angka 1. Dan pastikan juga baris yang berisi tulisan "KILL ROUTE="s/bin/route add -host $TARGET reject" aktif yaitu dengan menghilangkan tanda "#"di depan kata KILL.

8. Setelah itu kita close konfigurasinya dengan menekan CTRL+X lalu tekan Enter untuk Save,Tekan "Y"untuk overwrite file lalu Enter. Setelah itu kita nyalakan portsentry dengan mengetikkan perintah "/etc/init.d/portsentry start".

9. Lalu kita kembali ke PC Kedua untuk melakukan scanning ulang dengan mengetikkan "nmap -sS -sV -v -v -Pn (ip target)" pada terminal seperti tadi. Kemudian akan muncul port yang tertangkap dan keadaannya tetap Open tetapi dibagian state tertulis TCPWRAPPED. Maksudnya adalah ini adalah port-port tiruan yang dibuat oleh portsentry yang bertujuan untuk mengecoh para attacker sehingga akan menyulitkan mereka untuk melakukan penyerangan kepada PC Pertama.

10. Kembali ke PC Pertama, kita juga dapat melihat log para attacker yang telah melakukan port scanning pada PC kita dengan mengetikkan perintah "tail -f /var/log/syslog"pada terminal. Disana akan muncul info ATTACKALERT yang berarti itu adalah sinyal untuk mengindikasikan telah terjadi penyerangan port scanning pada PC kita lengkap disertai IP penyerang serta waktu penyerangannya. Tetapi disini statusnya masih IGNORING dengan kata lain portsentry masih mengabaikan IP sang attacker.

11. Setelah kita mengetahui IP sang penyerang (dalam ini adalah PC kedua) kita dapat melakukan langkah selanjutnya yaitu Blocking IP dengan mengetikkan perintah "nano /etc/hosts.deny"pada terminal PC Pertama. Kemudian kita menuju baris paling bawah, disana terdapat menu yang bertuliskan "#ALL : PARANOID". Untuk melakukan blocking terhadap semua IP yang melakukan port scanning pada PC kita, kita cukup menghilangkan tanda # pada menu tersebut. Ini berarti portsentry akan bertindak secara paranoid yaitu dengan melakukan blocking terhadap semua IP yang melakukan port scanning pada PC kita.

12. Setelah itu kita close konfigurasinya dengan menekan CTRL+X lalu tekan Enter untuk Save,Tekan "Y"untuk overwrite file lalu Enter. Setelah itu kita restart portsentry dengan mengetikkan perintah "/etc/init.d/portsentry restart".

13. Setelah itu kita kembali buka log pada PC Pertama untuk mengawasi perubahan yang akan kita dapat setelah melakukan konfigurasi blocking IP tadi dengan mengetikkan "tail -f /var/log/syslog"

14. Kembali ke PC Kedua kita lakukan scanning ulang dengan mengetikkan  "nmap -sS -sV -v -v -Pn (ip target)" pada terminal.

15. Kita amati perubahan yang terjadi pada log PC Pertama, disana ada yang berubah yaitu keterangan IGNORING menjadi LISTENING. Disini berarti port sentry mulai aktif bertahan untuk bersiap melakukan blocking kepada IP yang melakukan port scanning. Setelah beberapa detik kemudian portsentry akan melakukan blocking IP secara otomatis kepada PC sang attacker (PC Kedua).

16. Kita lihat pada PC Kedua, disana NMAP akan terhambat dan tidak akan bisa memberikan hasil akhir scanning nya. Hal ini dibuktikan dengan keterangan waktu di "time remaining"dalam nmap tersebut yang selalu bertambah dari 5 menit menjadi 10 menit lalu 15 menit dan seterusnya.

17. Sekarang kita buktikan bahwa IP sang attacker (PC Kedua) telah terblokir yaitu dengan mengetikkan perintah "nano /etc/hosts.deny" pada terminal PC Pertama. Kemudian kita lihat di baris paling bawah, tepatnya dibawah menu "ALL : PARANOID" yang telah kita aktifkan tadi dan kita akan menemukan tulisan "ALL : (IP pc kedua) : DENY". Ini berarti IP sang attacker (PC Kedua) telah berhasil diblokir secara otomatis oleh portsentry saat melakukan port scanning.

KELEBIHAN atau KEUNTUNGAN PORTSENTRY :

a).  Deteksi portscan TCP/UDP berbasis hostbased dan mengaktifkan sistem pertahanan.
b).  Deteksi Stealth scan.
c).  Bereaksi ke portscan dengan memblok host.
d).  Internal state engine untuk mengingat host yang terkoneksi sebelumnya.

E. KEKURANGAN PORTSENTRY :

a).  Portsentry dibinding ke port sehingga diperlukan
      pengecekan menyeluruh
b).  Tidak dapat mendeteksi spoofing


Nama  : Doddy Octarino
Nim    : 141420127
kelas   : IF6IB
Dosen : Surya Yusra
Universitas Binadarma Palembang