Keamanan jaringan

38
BAB 1 Keamanan jaringan (Bahasa Inggris: Network Security) dalam jaringan komputer sangat penting dilakukan untuk memonitor akses jaringan dan mencegah penyalahgunaan sumber daya jaringan yang tidak sah. Tugas keamanan jaringan dikontrol oleh administrator jaringan. Segi-segi keamanan didefinisikan dari kelima point ini. a. Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang. b. Integrity Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang. c. Availability Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan. d. Authentication Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu. e. Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan. Tujuan Keamanan Jaringan a. Availability / Ketersediaan b. User yg mempunyai hak akses / authorized users diberi akses tepat waktu dan tidak terkendala apapun. c. Reliability / Kehandalan d. Object tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanannya dari sumber menuju penerimanya. e. Confidentiality / Kerahasiaan f. Object tidak diumbar / dibocorkan kepada subject yang tidak seharusnya berhak terhadap object tersebut, lazim disebut tidak authorize. Cara Pengamanan Jaringan Komputer : a. Autentikasi

description

keamanan jaringan

Transcript of Keamanan jaringan

BAB 1Keamanan jaringan (Bahasa Inggris: Network Security) dalam jaringan komputer sangat penting dilakukan untuk memonitor akses jaringan dan mencegah penyalahgunaan sumber daya jaringan yang tidak sah. Tugas keamanan jaringan dikontrol oleh administrator jaringan.

Segi-segi keamanan didefinisikan dari kelima point ini.a. Confidentiality Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang.b. Integrity Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang.c. Availability Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan.d. Authentication Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.e. Nonrepudiation Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.

Tujuan Keamanan Jaringana. Availability / Ketersediaan b. User yg mempunyai hak akses / authorized users diberi akses tepat waktu dan tidak terkendala apapun. c. Reliability / Kehandalan d. Object tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanannya dari sumber menuju penerimanya. e. Confidentiality / Kerahasiaan f. Object tidak diumbar / dibocorkan kepada subject yang tidak seharusnya berhak terhadap object tersebut, lazim disebut tidak authorize. Cara Pengamanan Jaringan Komputer : a. Autentikasi Proses pengenalan peralatan, sistem operasi, kegiatan, aplikasi dan identitas user yang terhubung dengan jaringan komputer. b. Enkripsi Autentikasi dimulai pada saat user login kejaringan dengan cara memasukkan password. Tahapan Autentikasi a. Autentikasi untuk mengetahui lokasi dari peralatan pada suatu simpul jaringan (data link layer dan network layer) b. Autentikasi untuk mengenal sistem operasi yang terhubung ke jaringan (transport layer) c. Autentikasi untuk mengetahui fungsi/proses yang sedang terjadi di suatu simpul jaringan (session dan presentation layer) d. Autentikasi untuk mengenali user dan aplikasi yang digunakan (application layer)

Resiko yang Muncul Pada Tahapan Autentikasi a. Enkripsi Teknik pengkodean data yang berguna untuk menjaga data / file baik di dalam komputer maupun pada jalur komunikasi dari pemakai yang tidak dikehendaki Enkripsi diperlukan untuk menjaga kerahasiaan data b. Teknik Enkripsi DES (Data Encription Standard) RSA (Rivest Shamir Adelman) c. Resiko Jaringan Komputer Segala bentuk ancaman baik fisik maupun logik yang langsung atau tidak langsung mengganggu kegiatan yang sedang berlangsung dalam jaringan. Faktor- Faktor Penyebab Resiko Dalam Jaringan Komputer Kelemahan manusia (human error) Kelemahan perangkat keras komputer Kelemahan sistem operasi jaringan Kelemahan sistem jaringan komunikasi Ancaman Jaringan komputer FISIK Pencurian perangkat keras komputer atauperangkat jaringan Kerusakan pada komputer dan perangkatkomunikasi jaringan Wiretapping Bencana alam LOGIK Kerusakan pada sistem operasi atau aplikasi Virus Sniffing Beberapa Bentuk Ancaman Jaringan Sniffer Peralatan yang dapat memonitor proses yang sedang berlangsung Spoofing Penggunaan komputer untuk meniru (dengan cara menimpa identitas atau alamat IP. Remote Attack Segala bentuk serangan terhadap suatu mesin dimana penyerangnya tidak memiliki kendali terhadap mesin tersebut karena dilakukan dari jarak jaruh di luar sistem jaringan atau media transmisi Hole Kondisi dari software atau hardware yang bisa diakses oleh pemakai yang tidak memiliki otoritas atau meningkatnya tingkat pengaksesan tanpa melalui proses otorisasi. Beberapa Bentuk Ancaman Jaringan Phreaking Perilaku menjadikan sistem pengamanan teleponmelemah Hacker Orang yang secara diam-diam mempelajari sistem yang biasanya sukar dimengerti untuk kemudian mengelolanya dan men-share hasil ujicoba yang dilakukannya. Hacker tidak merusak sistem Craker Orang yang secara diam-diam mempelajari sistemdengan maksud jahat Muncul karena sifat dasar manusia yang selalu ingin membangun (salah satunya merusak) Ciri-ciri cracker : Bisa membuat program C, C++ atau pearl Memiliki pengetahuan TCP/IP Menggunakan internet lebih dari 50 jam per-bulan Menguasai sistem operasi UNIX atau VMS Suka mengoleksi software atau hardware lama Terhubung ke internet untuk menjalankan aksinya Melakukan aksinya pada malam hari, denganalasan waktu yang memungkinkan, jalur komunikasi tidak padat, tidak mudah diketahui orang lain. Penyebab cracker melakukan penyerangan : spite, kecewa, balas dendam sport, petualangan profit, mencari keuntungan dari imbalan orang lain stupidity, mencari perhatian cruriosity, mencari perhatian politics, alasan politis Ciri-ciri target yang dibobol cracker : Sulit ditentukan Biasanya organisasi besar dan financial dengan sistem pengamanan yang canggih Bila yang dibobol jaringan kecil biasanya sistem pengamanannya lemah, dan pemiliknya baru dalam bidang internet Ciri-ciri target yang berhasil dibobol cracker : Pengguna bisa mengakses, bisa masuk ke jaringan tanpa nama dan password Pengganggu bisa mengakses, merusak, mengubah atau sejenisnya terhadap data Pengganggu bisa mengambil alih kendali sistem Sistem hang, gagal bekerja, reboot atau sistem berada dalam kondisi tidak dapat dioperasikan Manajemen Resiko Pengumpulan Informasi Analisis Output Pengumpulan Informasi Identifikasi Assets Perangakat Keras Perangkat Lunak (Sistem Operasi danAplikasi) Perangkat Jaringan dan Komunikasi Data Pengguna Jaringan Lingkungan Sarana Pendukung lainnya Penilaian terhadap segala bentuk Ancaman (threat) Penilaian terhadap bagian yang berpotensi terkena gangguan (vulnerability) Penilaian terhadap perlindungan yang effektif (safeguard) keamanan fasilitas fisik jaringan keamanan perangkat lunak keamanan pengguna jaringan keamanan komunikasi data keamanan lingkungan jaringan Menjalankan safeguard / risk analysis tools

BAB 2 NETWORK SCANNING DAN PROBING

Server tugasnya adalah melayani client dengan menyediakan service yang dibutuhkan. Server menyediakan service dengan bermacam-macam kemampuan, baik untuk lokal maupun remote. Server listening pada suatu port dan menunggu incomming connection ke port. Koneksi bisa berupa lokal maupuan remote. Port sebenarnya suatu alamat pada stack jaringan kernel, sebagai cara dimana transport layer mengelola koneksi dan melakukan pertukaran data antar komputer. Port yang terbuka mempunyai resiko terkait dengan exploit. Perlu dikelola port mana yang perlu dibuka dan yang ditutup untuk mengurangi resiko terhadap exploit. Ada beberapa utility yang bisa dipakai untuk melakukan diagnosa terhadap sistem service dan port kita. Utility ini melakukan scanning terhadap sistem untuk mencari port mana saja yang terbuka, ada juga sekaligus memberikan laporan kelemahan sistem jika port ini terbuka. Port Scanner merupakan program yang didesain untuk menemukan layanan (service) apa saja yang dijalankan pada host jaringan. Untuk mendapatkan akses ke host, cracker harus mengetahui titik-titik kelemahan yang ada. Sebagai contoh, apabila cracker sudah mengetahui bahwa host menjalankan proses ftp server, ia dapat menggunakan kelemahan-kelemahan yang ada pada ftp server untuk mendapatkan akses. Dari bagian ini kita dapat mengambil kesimpulan bahwa layanan yang tidak benar-benar diperlukan sebaiknya dihilangkan untuk memperkecil resiko keamanan yang mungkin terjadi.Type Scanning connect scan (-sT) Jenis scan ini konek ke port sasaran dan menyelesaikan three-way handshake (SYN, SYN/ACK, dan ACK). Scan jenis ini mudah terdeteksi oleh sistem sasaran. -sS (TCP SYN scan) Paling populer dan merupakan scan default nmap. SYN scan juga sukar terdeteksi, karena tidak menggunakan 3 way handshake secara lengkap, yang disebut sebagai teknik half open scanning. SYN scan juga efektif karena dapat membedakan 3 state port, yaitu open, filterd ataupun close. Teknik ini dikenal sebagai half-opening scanning karena suatu koneksi penuh TCP tidak sampai terbentuk. Sebaliknya, suatu paket SYN dikirimkan ke port sasaran. Bila SYN/ACK diterima dari port sasaran, kita dapat mengambil kesimpulan bahwa port itu berada dalam status LISTENING. Suatu RST/ACT akan dikirim oleh mesin yang melakukan scanning sehingga koneksi penuh tidak akan terbentuk. Teknik ini bersifat siluman dibandingkan TCP connect penuh, dan tidak aka tercatat pada log sistem sasaran. TCP FIN scan (-sF) Teknik ini mengirim suatu paket FIN ke port sasaran. Berdasarkan RFC 793, sistem sasaran akan mengirim balik suatu RST untuk setiap port yang tertutup. Teknik ini hanya dapat dipakai pada stack TCP/IP berbasis UNIX. TCP Xmas Tree scan (-sX) Teknik ini mengirimkan suatu paket FIN, URG, dan PUSH ke port sasaran. Berdasarkan RFC 793, sistem sasaran akan mengembalikan suatu RST untuk semua port yang tertutup. TCP Null scan (-sN). Teknik ini membuat off semua flag. Berdasarkan RFC 793, sistem sasaran akan mengirim balik suatu RST untuk semua port yang terturup. TCP ACK scan (-sA) Teknik ini digunakan untuk memetakan set aturan firewall. Dapat membantu menentukan apakah firewall itu merupakan suatu simple packet filter yang membolehkan hanya koneksi-koneksi tertentu (koneksi dengan bit set ACK) atau suatu firewall yang menjalankan advance packet filtering. TCP Windows scanTeknik ini dapat mendeteksi port-port terbuka maupun terfilter/tidak terfilter pada sistem-sistem tertentu (sebagai contoh, AIX dan FreeBSD) sehubungan dengan anomali dari ukuran windows TCP yang dilaporkan.

TCP RPC scan Teknik ini spesifik hanya pada system UNIX dan digunakan untuk mendeteksi dan mengidentifikasi port RPC (Remote Procedure Call) dan program serta normor versi yang berhubungan dengannya.

UDP scan (-sU) Teknik ini mengirimkan suatu paket UDP ke port sasaran. Bila port sasaran memberikan respon berupa pesan (ICMP port unreachable) artinya port ini tertutup. Sebaliknya bila tidak menerima pesan di atas, kita dapat menyimpulkan bahwa port itu terbuka. Karena UDP dikenal sebagai connectionless protocol, akurasi teknik ini sangat bergantung pada banyak hal sehubungan dengan penggunaan jaringan dan system resource. Sebagai tambahan, UDP scanning merupakan proses yang amat lambat apabila anda mencoba men-scan suatu perangkat yang menjalankan packet filtering berbeban tinggi. Beberapa Tools dan cara scanning ke sistem Netstat Netstat merupakan utility yang powerfull untuk menngamati current state pada server, service apa yang listening untuk incomming connection, interface mana yang listening, siapa saja yang terhubung. Nmap Merupakan software scanner yang paling tua yang masih dipakai sampai sekarang. Nessus => openvas-client / openvas-server Nessus merupakan suatu tools yang powerfull untuk melihat kelemahan port yang ada pada komputer kita dan komputer lain. Nessus akan memberikan report secara lengkap apa kelemahan komputer kita dan bagaimana cara mengatasinya. Contoh Scanning menggunakan nmap tipe tcp syn scan # nmap -sT -v 192.168.0.10 Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-04-11 12:30 EDT Initiating Connect() Scan against 192.168.0.10 [1663 ports] at 12:30 Discovered open port 3389/tcp on 192.168.0.10 Discovered open port 80/tcp on 192.168.0.10 Discovered open port 3306/tcp on 192.168.0.10 Discovered open port 445/tcp on 192.168.0.10 Discovered open port 139/tcp on 192.168.0.10 Discovered open port 520/tcp on 192.168.0.10 Discovered open port 135/tcp on 192.168.0.10 The Connect() Scan took 1.45s to scan 1663 total ports. Host 192.168.0.10 appears to be up ... good. Interesting ports on 192.168.0.10: (The 1656 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 80/tcp open http 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp open microsoft-ds 520/tcp open efs 3306/tcp open mysql 3389/tcp open ms-term-serv MAC Address: 00:30:48:11:AB:5A (Supermicro Computer) Nmap finished: 1 IP address (1 host up) scanned in 2.242 seconds # nmap -sP 192.168.4.0/24 Option sP merupakan salah satu type scanning dari Nmap berbasis ICMP, dimana umumnya dipergunakan untuk melakukan ping terhadap sejumlah IP sekaligus. Mendeteksi OS dengan Nmap # nmap -O no_ip_target Pada dasarnya tcp SYN melakukan half koneksi ke target dan secara berulang-ulang mencari port yang terbuka

1. Sebutkan langkah dasar yang biasa dipakai untuk melakukan proses hacking! Jawab : FootPrinting merupakan proses untuk mencari informasi mengenai target. Selain footprinting ada pula Active FootPrinting yang merupakan proses pengumpulan informasi dengan melibatkan interaksi secara langsung dengan target. Scanning merupakan sebuah teknik untuk mencari port atau pintu masuk yang terbuka dari target. Reconnaissance adalah suatu tahap persiapan di mana hacker atau pihak yang akan melakukan serangan berusaha mencari informasi sebanyak-banyaknya mengenai target atau sasaran sistem yang di ingin di serang sebelum rangakaian proses penyerangan dilaksanakan. Ada dua jenis model reconnaissance yang di kenal, yaitu yang bersifat pasif dan aktif. Usaha terkait di katakan pasif apabila tidak ada interaksi langsung antara pihak penyerang dengan target atau sasaran yang ingin di serang. Sementara proses terkait di katakan aktif, jika di lakukan aktivitas interaksi secara langsung. Gaining Accsess merupakan langkah untuk mendapatkan data lebih banyak agar dapat mengakses sasaran, seperti mencuri word, menebak password, serta melakukan buffer overflow. Maintaining Accsess adalah sebuah periode di mana setelah hacker berhasil masuk ke dalam system dan berusaha untuk tetap bertahan memperoleh hak akses tersebut Covering Tracks merupakan langkah untuk menyembunyikan atau menghilangkan jejak kita jika kita sudah berhasil melakukan langkah-langkah di atas. Jika langkah ini tidak diperhatikan atau di anggap tidak penting, maka seorang hacker akan mudah di lacak jejaknya oleh pihak penegak hukum 2. Sebutkan cara penggunaan netstat dan option-option yang dipakai serta arti option tersebut? Jawab : Pertama, buka terminal: Applications > Accessories > Terminal Ketikan perintah netstat, akan muncul informasi seperti di bawah ini.

keterangan dari output Netstat di atas: a. Proto. Kolom proto menunjukan jenis protokol yang dipakai bisa TCP atau UDP. b. Local Address. Merupakan kolom yang menjelaskan alamat IP dan nomor port yang ada di komputer apabila koneksi sedang aktif. Contoh di atas 192.168.40.8 adalah IP dari komputer saya dan 53571 adalah nomor port di komputer saya yang sedang melakukan koneksi. c. Foreign Address. Kolom ini menunjukan koneksi yang dituju oleh local address beserta nomor portnya. Contoh diatas menunjukan adanya koneksi melalui port http dan https d. State. Kolom ini menunjukan status dari koneksi yang sedang terjadi. ESTABLISED yang berarti status komputer sedang terhubung dengan suatu koneksi internet atau komputer lain dan siap mengirimkan data.State yang mungkin terjadi: o LISTENING -> siap untuk melakukan koneksi o SYN_SENT -> mengirimkan paket SYN o SYN_RECEIVED -> menerima paket SYN o ESTABLISHED -> koneksi terjadi dan siap mengirimkan data o TIME_WAIT -> sedang menunggu koneksi 3. Sebutkan cara pemakaian software nmap dengan menggunakan tipe scanning: TCP Connect scan Jenis scan ini terhubung ke port host target dan menyelesaikan three-way handshake (SYN, SYN/ACK dan ACK) Scan ini mudah terdeteksi oleh pengelola host target. Perintah : nmap -sT [IP-Target] TCP SYN Scan Teknik ini dikenal sebagai half-opening scanning karena suatu koneksi penuh tidak sampai terbentuk.Teknik ini bersifat siluman dibandingkan dengan TCP koneksi penuh dan tidak akan tercatat pada log host target. Perintah : nmap -sS [IP-Target] TCP FIN scan Teknik ini mengirimkan suatu paket FIN ke port host target. Berdasarkan RFC 793, host target akan mengirim balik suatu RST untuk setiap port yang tertutup. Teknik ini hanya dapat dipakai pada stack TCP/IP berbasis Unix. Perintah : nmap -sF [IP-Target] TCP Xmas Tree scan Teknik ini mengirimkan suatu paket FIN, URG dan PUSH ke port host target. Berdasarkan RFC 793, host target akan mengembalikan suatu RST untuk semua port yang tertutup. Perintah : nmap -sX [IP-Target] TCP null scan Teknik ini membuat off semua flag. Berdasarkan RFC 793, host target akan mengirim balik suatu RST untuk semua port yang tertutup. Perintah : nmap -sN [IP-Target] TCP ACK scan Teknik ini digunakan untuk memetakan set aturan firewall. Hal ini sangat membantu sobat dalam menentukan apakah firewall yang dipergunakan adalah simple packet filter yang membolehkan hanya koneksi penuh saja (koneksi dengan bit set ACK) atau suatu firewall yang menjalankan advance packet filtering. Perintah : nmap -sA [IP-Target] TCP Windows scan Teknik ini dapat mendeteksi port-port terbuka maupun terfilter/tidak terfilter pada sistem-sistem tertentu seperti pada AIX dan Free BSD sehubungan dengan anomali dari ukuran Windows TCPnya. Perintah : nmap -sW [IP-Target] TCP RPC scan Teknik ini spesifik hanya pada sistem Unix dan digunakan untuk mendeteksi dan mengidentifikasi port RPC dan program serta nomor versi yang berhubungan dengannya. Perintah : nmap -sR [IP-Target] UDP scan Teknik ini mengirimkan suatu paket UDP ke port host target. Bila port host target memberikan response pesan berupa ICMP port unreachable artinya port ini tertutup. Sebaliknya bila tidak menerima pesan tersebut, Anda dapat menyimpulkan bahwa port tersebut terbuka. Karena UDP dikenal sebagai connectionless protocol, maka akurasi teknik ini sangat bergantung pada banyak hal sehubungan dengan penggunaan jaringan dan sistem reources lainnya. Perintah : nmap -sU [IP-Target OS fingerprinting Teknik ini digunakan untuk mengetahui operating system dari os IP target yang di scan. Perintah : # nmap -O no_ip_target 4. Apa kegunaan dari utility chkconfig? Jawab : chkconfig berfungsi untuk menjalankan secara otomatis daemon2 yg kita inginkan pada saat boot dan pada run level yg kita tentukan. klo ngeliat hasil chkconfig diatas maka squid berjalan secara otomatis pada run level 3 (multi user) untuk melihat service pada tiap run level bisa digunakan chkconfig. 5. Bagaimana cara mematikan dan menghidupkan service yang ada. Untuk menghidupkan service dari nmap kita dapat gunakan perintah : #service nmap start Untuk mematikan service dari nmap kita dapat menggunakan perintah : #service nmap stop

BAB 3 PASSWORD MANAGEMENT

Untuk dapat mengakses sistem operasi Linux digunakan mekanisme password. Pada distribusi-distribusi Linux yang lama, password tersebut disimpan dalam suatu file teks yang terletak di /etc/passwd. File ini harus dapat dibaca oleh setiap orang (world readable) agar dapat digunakan oleh program-program lain yang menggunakan mekanisme password tersebut. Password login yang terdapat pada file /etc/passwd dienkripsi dengan menggunakan algoritma DES yang telah dimodifikasi. Meskipun demikian hal tersebut tidak mengurangi kemungkinan password tersebut dibongkar (crack). Karena penyerang (attacker) dapat melakukan dictionary-based attack dengan cara : 1. Menyalin file /etc/passwd tersebut 1. Menjalankan program-program yang berguna untuk membongkar password, contohnya adalah John the Ripper (www.openwall.com/john/). Untuk mengatasi permasalahan ini pada distribusi-distribusi Linux yang baru digunakan program utility shadow password yang menjadikan file /etc/passwd tidak lagi berisikan informasi password yang telah dienkripsi, informasi tersebut kini disimpan pada file /etc/shadow yang hanya dapat dibaca oleh root.

Dengan demikian, penggunaan shadow password akan mempersulit attacker untuk melakukan dictionary-based attack terhadap file password. Selain menggunakan shadow password beberapa distribusi Linux juga menyertakan program hashing MD5 yang menjadikan password yang dimasukkan pemakai dapat berukuran panjang dan relatif mudah diingat karena berupa suatu passphrase. Mekanisme yang telah disediakan sistem operasi tersebut di atas tidaklah bermanfaat bila pemakai tidak menggunakan password yang "baik". Berikut ini adalah beberapa kriteria yang dapat digunakan untuk membuat password yang "baik" : 1. Jangan menggunakan nama login anda dengan segala variasinya. 1. Jangan menggunakan nama pertama atau akhir anda dengan segala variasinya. 1. Jangan menggunakan nama pasangan atau anak anda. 1. Jangan menggunakan informasi lain yang mudah didapat tentang anda, seperti nomor telpon, tanggal lahir. 1. Jangan menggunakan password yang terdiri dari seluruhnya angka ataupun huruf yang sama. 1. Jangan menggunakan kata-kata yang ada di dalam kamus, atau daftar kata lainnya. 1. Jangan menggunakan password yang berukuran kurang dari enam karakter. 1. Gunakan password yang merupakan campuran antara huruf kapital dan huruf kecil. 1. Gunakan password dengan karakter-karakter non-alfabet. 1. Gunakan password yang mudah diingat, sehingga tidak perlu ditulis. 1. Gunakan password yang mudah diketikkan, tanpa perlu melihat pada keyboard.

Beberapa tool yang bisa dipakai untuk melihat strong tidaknya password adalah john the ripper. Kita bisa memakai utility ini untuk melihat strong tidaknya suatu pasword yang ada pada komputer.

Tugas1. Bagaimana cara installasi john the ripper password? Jawab :a. Download JTR melalui situs http://www.openwall.com/john/b. Ketikkan perintah sebagai berikut untuk ekstrak file john.tar.gz (sebelumnya pastikan masuk pada direktori file tersebut)# tar -xvzf john-1.7.9.tar.gz --dir=/usr/localc. Masuk ke direktori john-1.7.9, dan masuk folder src#cd /usr/local/john-1.7.9/src d. Kompilasi john dengan perintah#make dan #make clean generic1. Jelaskan cara penggunaan john the ripper? Jawab :Untuk menggunakan john the ripper dapat dilakukan dengan cara seperti berikuta. Mengamati isi file /etc/passwd dan /etc/shadow#cat /etc/passwd#cat /etc/shadowb. Melakukan umask di direktori john-1.7.9#umask 077c. Jika password sudah ter-shadow, kita harus melakukan unshadow # ./unshadow /etc/passwd /etc/shadow > mypasswd d. Mengecek isi dari data mypasswd, password dari user yang dibuat tetap terenkripsi#cat mypasswde. Untuk melihat password yang di crack gunakan perintah #./john-1.7.9/run/john-show datapasswdf. Kemudian ketikan perintah untuk mengcrack semua password user gunakan yaitu # john datapasswd.1. Apa kegunaan shadow password pada linux?Jawab : Kegunaan shadow password pada linux untuk menyimpan informasi password user. File ini disembunyikan (mempunyai mod 600) sehingga hanya administrator yang berhak melihat dan memodifikasi file ini. Sebagian besar sistem linux terbaru menggunakan shadow password. Dalam sistem shadow password, kolom password pada file /etc/passwd diganti dengan karakter x, dan seluruh informasi password disimpan dalam file /etc/shadow. Setiap baris dalam file /etc/shadow mewakili informasi password seorang user. Setiap baris memiliki 8 kolom yang masing-masing dipisahkan oleh karakter :.

BAB 4 WEB SERVER SECURITYSaat ini web merupakan salah satu layanan informasi yang banyak diakses oleh pengguna internet di dunia. Sebagai salah satu layanan informasi maka perlu dibangun web yang mampu menangani permintaan (request) dari banyak pengguna dengan baik (reliable) tanpa meninggalkan aspek keamanannya. Masalah keamanan merupakan salah satu aspek yang penting dalam pembangunan web karena kelalaian dalam menangani keamanan web server dapat berakibat fatal. Apache merupakan salah satu distribusi web server yang populer dengan dukungan feature yang sangat banyak. Perhitungan statistik yang ada saat ini menunjukkan bahwa Apache menjadi web server yang paling banyak digunakan dalam dunia internet, yaitu mencapai nilai 60 % dari seluruh web server yang ada. Keberhasilan Apache mencapai kepopuleran saat ini selain dikarenakan memiliki banyak feature yang sering tidak dijumpai pada web server yang lain, juga dikarenakan Apache merupakan aplikasi gratis yang berjalan dalam berbagai sistem operasi. Ada beberapa aspek yang perlu diterapkan dalam mengamankan web server, antara lain: 1. Layanan web server dengan low previllages 2. Pengaturan akses terhadap web server 3. Meminimalkan layanan publik pada mesin yang menjalankan web server 4. Menyediakan filesystem khusus untuk layanan web server Layanan web server dengan low previllages Pada sistem operasi berbasis UNIX semacam Linux, FreeBSD, OpenBSD setiap proses memiliki berbagai properti seperti nomor proses, pemilik proses, dan alokasi memori yang digunakan.Apache web server merupakan layanan publik, sehingga sangat dianjurkan prosesproses yang dijalankan oleh Apache dimiliki oleh user dengan hak akses terhadap sistem yang ada serendah mungkin (low previllages). Idealnya perlu dibuat user yang khusus menjalankan web server, misal user dengan nama www. Dari perintah Linux di atas tampak bahwa home direktori dari user www adalah / yang secara default tidak dimiliki oleh user www melainkan dimiliki oleh root sehingga user www tidak memiliki akses tulis terhadap home direktorinya sendiri dan shell yang dimiliki oleh user www adalah /bin/true sehingga secara otomatis user www tidak dapat menggunakan fasilitas-fasilitas semacam telnet, rlogin, rsh. Langkah selanjutnya adalah melakukan setting pada Apache web serversehingga web server akan dijalankan oleh user www yang baru saja dibuat. File konfigurasi utama yang digunakan Apache adalah file httpd.conf. Pada file tersebut ditambahkan line semacam ini :

Pengaturan akses terhadap web server Pengaturan akses pada Apache web server dapat dibedakan menjadi 2 macam : Pengaturan akses berdasarkan alamat IP dari client Pengaturan akses dengan proses autentikasi pengguna

Pengaturan akses berdasarkan IP Address client Model pengaturan akses web server yang diterapkan disini didasarkan pada informasi IP address dari pengguna. Aturan dapat dibuat sehingga untuk file atau direktori tertentu akses dari IP address pengguna diterima atau ditolak. Untuk menerapkan aturan ini perlu dilakukan perubahan pada file konfigurasi Apache yaitu httpd.conf. Ada 3 kata kunci yang berkaitan dengan pengaturan ini yaitu Order, Deny, dan Allow. Kata kunci Order dapat diikuti oleh deny, allow atau allow, deny yang menunjukkan urutan evaluasi pengaturan berdasarkan aturan Deny dan aturan Allow. Kata kunci Allow maupun Deny diikuti oleh kata kunci from dan : all : menunjukkan akses untuk semua host diperbolehkan (Allow) atau ditolak (Deny) IP address : yaitu alamat IP yang diperbolehkan atau ditolak semisal : 167.205.25.6 167.205.25. (berarti berlaku untuk alamat IP 167.205.25.0 167.205.25.255) atau 167.205. atau 167. 167.205.25.0/27 (berlaku untuk 167.205.25.0-167.205.25.31) 167.205.0.0/255.255.0.0 (berlaku untuk 167.205.0.0-167.205.255.255) Pengaturan akses Apache dapat dilakukan pula dengan membuat aturanaturan pada file .htaccess pada direktori yang bersangkutan baik untuk mengatur akses terhadap file maupun akses terhadap direktori dimana file ini berada.

Pengaturan akses dengan proses autentikasi pengguna Model pengaturan akses dengan proses autentikasi pengguna lebih fleksibel dibandingkan dengan pengaturan akses berdasarkan IP address pengguna. Ketika anda mencoba untuk mengakses suatu resources yang dilindungi oleh model autentikasi user semacam ini maka anda harus memasukan informasi login dan password yang sesuai dalam suatu form semacam ini. Untuk mengimplementasikan mekanisme autentikasi ini perlu dilakukan perubahanperubahan pada file httpd.conf ataupun pada file .htaccess yang diletakkan pada direktori yang bersangkutan. Informasi data login dibuat dengan menggunakan program htpasswd. Username:password

Meminimalkan layanan publik pada mesin yang menjalankan web server Pada umumnya mesin-mesin komputer yang terhubung dengan internet melayani beberapa program layanan sekaligus. Ada beberapa alasan yang mendasari hal tersebut antara lain : Keterbatasan alamat IP saat ini Keterbatasan sumber daya mesin komputer Keinginan memaksimalkan sumber daya komputer dengan menjalankan

TUGAS1. Sebutkan dan jelaskan denngan singkat apa kegunaan dari htaccess ?Jawab :File .htaccess adalah file konfigurasi yang disediakan oleh web server Apacehe yang bertujuan untukmengubah settingan default Apache server itu sendiri.Banyak manfaat, terutama dari sisi keamanan,yang dapat dilakukan dengan memodifikasi isi file .htaccess tersebut.file .htaccess ini dapat digunakanuntuk melakukan konfigurasi subdirektori-subdirektori yang ada di dalamnya, sehingga kita hanyacukup mempunyai satu file .htaccess saja yang diletakkan pada root direktori.2. Sebutkan pula kegunaan dari SSL pada HTTP ?Jawab :SSL (Secure Socket Layer) dikembangkan oleh Netscape untuk mengamankan HTTP dan sampaisekarang masih inilah pemanfaatan utama SSL. SSL menjadi penting karena beberapa produk umumseperti Netscape Communicator, Internet Explorer, dan WS_FTP Pro,yang merupakan produk yanglazim digunakan, menggunakan SSL. Secure Sockets Layer,adalah metode enkripsi yangdikembangkan oleh Netscape untuk memberikan keamanan diInternet. Ia mendukung beberapaprotokol enkripsi dan memberikan autentikasi client dan server.

BAB 5 PORTSENTRY

Dari sekian banyak hal yang paling banyak di takuti orang pada saat mengkaitkan diri ke Internet adalah serangan virus & hacker. Penggunaan Software Firewall akan membantu menahan serangan dari luar. Pada kenyataan di lapangan, menahan serangan saja tidak cukup, kita harus dapat mendeteksi adanya serangan bahkan jika mungkin secara otomatis menangkal serangan tersebut sedini mungkin. Proses ini biasa disebut dengan istilah Intrusion Detection. PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning. Port scan adalah proses scanning berbagai aplikasi servis yang dijalankan di server Internet. Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. Cara kerja port sentry dengan melakukan melihat komputer yang melakukan scan dan secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita.Beberapa fitur utama dari PortSentry: Berjalan di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita. Mendeteksi stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS. PortSentry akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan ke file /etc/host.deny secara otomatis oleh TCP Wrapper. PortSentry mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect ke dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan sambungan (karena melakukan scanning) yang akan di blokir. PortSentry akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator system akan memperoleh laporan melalui e-mail. Dengan adanya berbagai fitur di atas maka system yang kita gunakan tampaknya seperti hilang dari pandangan penyerang. Hal ini biasanya cukup membuat kecut nyali penyerang. Penggunaan PortSentry sendiri sangat mudah sekali, bahkan untuk penggunaan biasa saja praktis semua instalasi default tidak perlu di ubah apa-apa dapat langsung digunakan. Yang mungkin perlu di tune-up sedikit adalah file konfigurasi portsentry yang semuanya berlokasi di /etc/portsentry secara default. Untuk mengedit file konfigurasi tersebut anda membutuhkan privilige sebagai root. Beberapa hal yang mungkin perlu di set adalah: file /etc/portsentry/portsentry.conf merupakan konfigurasi utama portsentry. Disini secara bertahap diset port mana saja yang perlu di monitor, responds apa yang harus di lakukan ke mesin yang melakukan portscan, mekanisme menghilangkan mesin dari routing table, masukan ke host.deny. Proses setting sangat mudah hanya dengan membuka / menutup tanda pagar (#) saja. pada file /etc/portsentry/portsentry.ignore.static masukan semua IP address di LAN yang harus selalu di abaikan oleh portsentry. Artinya memasukan IP address ke sini, agar tidak terblokir secara tidak sengaja. Pada file /etc/default/portsentry kita dapat menset mode deteksi yang dilakukan portsentry. Semakin baik mode deteksi yang dipilih (advanced stealth TCP/UP scanning), biasanya PortSentry akan semakin sensitif & semakin rewel karena sedikitsedikit akan memblokir mesin.Tugas1. Sebutkan dan jelaskan dengan singkat apa yang disebut dengan konsep portsentry!Jawab :PortSentry adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port scanning & meresponds secara aktif jika ada port scanning. Cara kerja port sentry dengan melakukan melihat komputer yang melakukan scan dan secara aktif akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi dengan Server kita. 2. Sebutkan fasilitas portsentry yang ada di linux!Jawab : Mendeteksi adanya Stealth port scan untuk semua platform Unix. Stealth port scan adalah teknik port scan yang tersamar / tersembunyi, biasanya sukar di deteksi oleh sistem operasi. PortSentry akan mendeteksi berbagai teknik scan seperti SYN/half-open, FIN, NULL dan X-MAS. Untuk mengetahui lebih jelas tentang berbagai teknik ini ada baiknya untuk membaca-baca manual dari software nmap yang merupakan salah satu software portscan terbaik yang ada. PortSentry akan bereaksi terhadap usaha port scan dari lawan dengan cara membolkir penyerang secara real-time dari usaha auto-scanner, probe penyelidik maupun serangan terhadap sistem. PortSentry akan melaporkan semua kejanggalan & pelanggaran kepada software daemon syslog lokal maupun remote yang berisi nama sistem, waktu serangan, IP penyerang maupun nomor port TCP atau UDP di mana serangan di lakukan. Jika PortSentry didampingkan dengan LogSentry, dia akan memberikan berita kepada administrator melalui e-mail. Fitur cantik dari PortSentry adalah pada saat terdeteksi sebuah scan, sistem anda tiba-tiba menghilang dari hadapan si penyerang. Fitur ini betul-betul membuat penyerang tidak berkutik. PortSentry selalu mengingat alamat IP penyerang, jika ada serangan Port Scan yang sifatnya random PortSentry akan bereaksi.

Tugas1. Dengan bekerja hanya mendeteksi port dimana sebaiknya portsentry ditempatkan?Jawab:penggunaan portsentry lebih kepada pengamanan dari sisi server untuk menghindari ataupun menghalau sebuah ancaman dari pihak luar. Penggunaan portsentry sebaiknya ditempatkan pada jaringan komputer ataupun pada jalur yang memiliki banyak sekali traffic user. Seperti halnya warnet, perkantoran dan anggota ISP sehingga penggunaan portsentry lebih cocok di install dan dikonfigurasi pada masing-masing server tempat tersebut.

2. Jelaskan arsitektur portsentry sehingga bisa melakukan blok menggunakan firewall jika ada yang dicurigai!Jawab :berikut adalah beberapa arsitektur ataupun mode yang dapat digunakan dalam portsentry : a. tcp untuk monitoring port-port tcp standard. b. udpuntuk monitoring port-port udp standard. c. stcpuntuk monitoring port-port tcp dengan mode stealth.d. sudpuntuk monitoring port-port udp dengan mode stealth. e. atcpuntuk monitoring port-port tcp dengan mode advance. f. audpuntuk monitoring port-port udp dengan mode advance.

BAB 6 SNORT

Deteksi Penyusupan (Intrusion Detection) Deteksi penyusupan adalah aktivitas untuk mendeteksi penyusupan secara cepat dengan menggunakan program khusus yang otomatis. Program yang dipergunakan biasanya disebut sebagai Intrusion Detection System (IDS). Tipe dasar dari IDS adalah: Rule-based systems - berdasarkan atas database dari tanda penyusupan atau serangan yang telah dikenal. Jika IDS mencatat lalulintas yang sesuai dengan database yang ada, maka langsung dikategorikan sebagai penyusupan. Adaptive systems - mempergunakan metode yang lebih canggih. Tidak hanya berdasarkan database yang ada, tapi juga membuka kemungkinan untuk mendeteksi terhadap bentuk bentuk penyusupan yang baru. Bentuk yang sering dipergunakan untuk komputer secara umum adalah rule-based systems. Pendekatan yang dipergunakan dalam rule-based systems ada dua, yakni pendekatan pencegahan (preemptory) dan pendekatan reaksi (reactionary). Perbedaannya hanya masalah waktu saja. Pendekatan pencegahan, program pendeteksi penyusupan akan memperhatikan semua lalu lintas jaringan. Jika ditemukan paket yang mencurigakan, maka program akan melakukan tindakan yang perlu. Pendekatan reaksi, program pendeteksi penyusupan hanya mengamati file log. Jika ditemukan paket yang mencurigakan, program juga akan melakukan tindakan yang perlu. Snort Mengoperasikan Snort Tiga (3) buah mode, yaitu 1. Sniffer mode, untuk melihat paket yang lewat di jaringan. 2. Packet logger mode, untuk mencatat semua paket yang lewat di jaringan untuk di analisa di kemudian hari. 3. Intrusion Detection mode, pada mode ini snort akan berfungsi untuk mendeteksi serangan yang dilakukan melalui jaringan komputer. Untuk menggunakan mode IDS ini di perlukan setup dari berbagai rules / aturan yang akan membedakan sebuah paket normal dengan paket yang membawa serangan.

Sniffer Mode Untuk menjalankan snort pada sniffer mode tidaklah sukar, beberapa contoh perintah-nya terdapat di bawah ini, #snort v #snort vd #snort vde #snort v d e dengan menambahkan beberapa switch v, -d, -e akan menghasilkan beberapa keluaran yang berbeda, yaitu -v, untuk melihat header TCP/IP paket yang lewat. -d, untuk melihat isi paket. -e, untuk melihat header link layer paket seperti ethernet header. Packet Logger Mode Tentunya cukup melelahkan untuk melihat paket yang lewat sedemikian cepat di layar terutama jika kita menggunakan ethernet berkecepatan 100Mbps, layar anda akan scrolling dengan cepat sekali susah untuk melihat paket yang di inginkan. Cara paling sederhana untuk mengatasi hal ini adalah menyimpan dulu semua paket yang lewat ke sebuah file untuk di lihat kemudian, sambil santai. Beberapa perintah yang mungkin dapat digunakan untuk mencatat paket yang ada adalah ./snort dev l ./log ./snort dev l ./log h 192.168.0.0/24 ./snort dev l ./log b perintah yang paling penting untuk me-log paket yang lewat adalah -l ./log yang menentukan bahwa paket yang lewat akan di log / di catat ke file ./log. Beberapa perintah tambahan dapat digunakan seperti h 192.168.0.0/24 yang menunjukan bahwa yang di catat hanya packet dari host mana saja, dan b yang memberitahukan agar file yang di log dalam format binary, bukan ASCII. Untuk membaca file log dapat dilakukan dengan menjalankan snort dengan di tambahkan perintah r nama file log-nya, seperti, ./snort dv r packet.log ./snort dvr packet.log icmp Intrusion Detection Mode Mode operasi snort yang paling rumit adalah sebagai pendeteksi penyusup (intrusion detection) di jaringan yang kita gunakan. Ciri khas mode operasi untuk pendeteksi penyusup adaah dengan menambahkan perintah ke snort untuk membaca file konfigurasi c nama-file-konfigurasi.conf. Isi file konfigurasi ini lumayan banyak, tapi sebagian besar telah di set secara baik dalam contoh snort.conf yang dibawa oleh source snort. Beberapa contoh perintah untuk mengaktifkan snort untuk melakukan pendeteksian penyusup, seperti ./snort dev l ./log h 192.168.0.0/24 c snort.conf ./snort d h 192.168.0.0/24 l ./log c snort.conf

Untuk melakukan deteksi penyusup secara prinsip snort harus melakukan logging paket yang lewat dapat menggunakan perintah l nama-file-logging, atau membiarkan snort menggunakan default file logging-nya di directory /var/log/snort. Kemudian menganalisa catatan / logging paket yang ada sesuai dengan isi perintah snort.conf. Ada beberapa tambahan perintah yang akan membuat proses deteksi menjadi lebih effisien, mekanisme pemberitahuan alert di Linux dapat di set dengan perintah A sebagai berikut, -A fast, mode alert yang cepat berisi waktu, berita, IP & port tujuan. -A full, mode alert dengan informasi lengkap. -A unsock, mode alert ke unix socket. -A none, mematikan mode alert. Untuk mengirimkan alert ke syslog UNIX kita bisa menambahkan switch s, seperti tampak pada beberapa contoh di bawah ini. ./snort c snort.conf l ./log s h 192.168.0.0/24 ./snort c snort.conf s h 192.168.0.0/24 Untuk mengirimkan alert binary ke workstation windows, dapat digunakan perintah di bawah ini, ./snort c snort.conf b M WORKSTATIONS Agar snort beroperasi secara langsung setiap kali workstation / server di boot, kita dapat menambahkan ke file /etc/rc.d/rc.local perintah di bawah ini /usr/local/bin/snort d h 192.168.0.0/24 c /root/snort/snort.conf A full s D atau /usr/local/bin/snort d c /root/snort/snort.conf A full s D dimana D adalah switch yang menset agar snort bekerja sebagai Daemon (bekerja dibelakang layar).

Tugas1. Sebutkan dan jelaskan dengan singkat apa yang disebut dengan konsep logging ? Jawab :Logging adalah prosedur di mana sebuah sistem operasi atau aplikasi merekam setiap kejadian dan menyimpan rekaman tersebut untuk dapat dianalisa di kemudian hari. Kejadian yang direkam ini bisa saja menyangkut sistem operasi, atau khusus program-program tertentu saja.2. Sebutkan fasilitas logging yang ada di linux ! Jawab :Portage dapat menciptakan file log untuk setiap ebuild, tapi hanya jika variable PORT_LOGDIR diatur untuk menunjuk ke sebuah lokasi yang dapat ditulis oleh portage (user portage). Secara default, variabel ini tidak ditentukan. Jika anda tidak menentukan PORT_LOGDIR, maka anda tidak akan mendapatkan log kompilasi dengan logger sistem saat ini, namun anda mungkin akan mendapatkan beberapa log dari elog baru. Jika anda tidak mendefinisikan PORT_LOGDIR dan anda menggunakan elog, anda akan mendapatkan log kompilasi dan log lain yang disimpan oleh elog, seperti yang dijelaskan di bawah ini. Portage menyediakan kendali yang mantap atas logging dengan menggunakan elog: PORTAGE_ELOG_CLASSES: Di sinilah tempat anda menentukan pesan apa saja yang ingin anda log. Anda dapat menggunakan kombinasi yang dipisahkan oleh spasi dari info, warn, error, log dan qa. PORTAGE_ELOG_SYSTEM: Variabel ini menentukan modul(-modul) yang akan memproses pesan-pesan log. Jika dikosongkan, logging akan dinonaktifkan. Anda dapat menggunakan kombinasi yang dipisahkan dengan spasi dari save, custom, syslog, dan save_summary, dan mail_summary. Anda harus memilih paling tidak satu modul untuk menggunakan elog. PORTAGE_ELOG_COMMAND: Variabel ini hanya digunakan ketika modul custom digunakan. Di sinilah tempat anda untuk menentukan perintah yang akan memproses pesan-pesan elog. Catat bahwa anda boleh menggunakan dua variabel: ${PACKAGE} adalah nama dan versi paket, sedangkan ${LOGFILE} adalah path absolut ke logfile. Berikut ini adalah contohnya: PORTAGE_ELOG_MAILURI: Variabel ini berisi pengaturan untuk modul mail seperti alamat, user, password, mailserver, dan nomor port. Aturan defaultnya adalah "root@localhost localhost". Berikut ini adalah contoh untuk server smtp yang membutuhkan username dan otentikasi berbasis password pada sebuah port tertentu (defaultnya adalah port 25): PORTAGE_ELOG_MAILURI="[email protected] username:[email protected]:995" PORTAGE_ELOG_MAILFROM: Untuk mengatur alamat "from" di mail log; defaultnya adalah "portage" jika tidak diset. PORTAGE_ELOG_MAILSUBJECT: Untuk menciptakan baris subject di mail log. Anda dapat menggunakan dua variabel: ${PACKAGE} akan menampilkan nama dan versi paket, sedangkan ${HOST} merupakan nama domain yang terkualifikasi dari host tempat Portage dijalankan.3. Sebutkan beberapa software yang biasa dipakai untuk melakukan monitoring log di linux.Jawab : w - Find Out Who Is Logged on And What They Are Doing Software ini untuk mengetahui siapa saja yang log in ke sistem dan apa yang mereka lakukan. uptime - Tell How Long The System Has Been Running Software ini digunakan untuk melihat berapa lama server berjalan. Berapa banyak user yang login Nagios - Server And Network Monitoring Nagios software jaringan yang digunakan untuk memonitoring semua host Anda, perangkat jaringan dan layanan. Software ini juga dapat mengirimkan alert ketika ada hal yang salah.

BAB 7 TRIPWIRE

Pemasangan program intrusi deteksi sebenarnya ditujukan untuk mendeteksi penyusup ataupun hacker ke suatu jaringan atau network dan bisa memantau seluruh ulah sang hacker yang sedang dilakukan olehnya. Type IDS sendiri secara garis besar dibagi 2 yaitu hostbase dan network base IDS. Snort termasuk dalam Network base. Salah satu model host-based IDS adalah tripwire Program tripwire berfungsi untuk menjaga integritas file system dan direktori, dengan mencatat setiap perubahan yang terjadi pada file dan direktori. Konfigurasi tripwire meliputi pelaporan melalui email, bila menemukan perubahan file yang tidak semestinya dan secara otomatis melakukan pemeriksaan file melalui cron. Penggunaan tripwire biasanya digunakan untuk mempermudah pekerjaan yang dilakukan oleh System Administrator dalam mengamankan System. Cara kerja tripwire adalah melakukan perbandingan file dan direktori yang ada dengan database sistem. Perbandingan tersebut meliputi perubahan tanggal, ukuran file, penghapusan dan lain-lainnya. Setelah tripwire dijalankan, secara otomatis akan melakukan pembuatan database sistem. Kemudian secara periodik akan selalu melaporkan setiap perubahan pada file dan direktori. Berikut ini merupakan penjelasan dari skema di atas: 1. Anda melakukan instalasi tripwire dan melakukan pengaturan policy file serta inisialisasi database, 2. Selanjutnya Anda bisa menjalankan pemeriksaan integritas sistem. 3. Bila ditemukan perubahan ukuran, tanggal maupun kepemilikan pada file tersebut, maka tripwire akan melakukan laporan pada sistem tentang adanya perubahan pada file terkait. 4. Jika perubahan tidak diijinkan, maka Anda bisa mengambil tindakan yang diperlukan. 5. Sebaliknya, jika perubahan pada file tersebut diijinkan, maka tripwire akan memeriksa Policy File, apakah policy file berjalan dengan baik? 6. Jika policy file tidak berjalan dengan benar, maka policy file harus di-update sesegera mungkin. 7. Jika policy file sudah berjalan dengan benar, maka tripwire akan melakukan update database file database. 8. Dan demikian seterusnya proses ini berlangsung.

1. Jelaskan tentang konsep tripwireJawab :Program tripwire berfungsi untuk menjaga integritas file system dan direktori, dengan mencatat setiap perubahan yang terjadi pada file dan direktori. Konfigurasi tripwire meliputi pelaporan melalui email, bila menemukan perubahan file yang tidak semestinya dan secara otomatis melakukan pemeriksaan file melalui cron. Penggunaan tripwire biasanya digunakan untuk mempermudah pekerjaan yang dilakukan oleh System Administrator dalam mengamankan System.2. Apa perbedaan IDS jenis tripwire , snort dan portsentryJawab :Tripwire merupakan host-based IDS berfungsi untuk menjaga integritas file system dan direktori, dengan mencatat setiap perubahan yang terjadi pada file dan direktori.Snort merupakan program IDS (Instucsion Detection System) yang bekerja dalam sistem informasi linux , yang digunakan untuk mendeteksi penyusupan secara cepat dan otomatis. Snort sangat fleksibel karena arsitekturnya yang bersifat rule Portsentry lebih banyak digunakan pengamanan dari sisi server untuk menghindari ataupun menghalau sebuah ancaman dari pihak luar. Penggunaan portsentry sebaiknya ditempatkan pada jaringan komputer ataupun pada jalur yang memiliki banyak sekali traffic user. Seperti halnya warnet, perkantoran dan anggota ISP sehingga penggunaan portsentry lebih cocok di install dan dikonfigurasi pada masing-masing server tempat tersebut.

1. Berdasarkan percobaan yang anda lakukan jelaskan cara kerja tripwire dalam melakukan integrity checker? Jawab :Cara kerja tripwire adalah melakukan perbandingan file dan direktori yang ada dengan database sistem. Perbandingan tersebut meliputi perubahan tanggal, ukuran file, penghapusan dan lain-lainnya. Setelah tripwire dijalankan, secara otomatis akan melakukan pembuatan database sistem. Kemudian secara periodik akan selalu melaporkan setiap perubahan pada file dan direktori.2. Carilah di internet, rule apa saja yang bisa dideteksi oleh tripwireJawab :Rule yang dideteksi oleh tripwire adalah sebagai berikut ini1. Invariant Directories2. Tripwire Data Files3. Other binaries4. Tripwire binaries5. Other Libraries6. Root file-system executables7. System boot changes8. Root file-system Libraries (/lib)9. Critical system boot files10. Other configuration files (/etc)11. Boot Scripts12. Security Control13. Root config files14. Devices & Kernel information

BAB 8 EMAIL SECURITY

Layanan paling populer di Internet adalah Electronic Mail atau orang sering menyingkatnya menjadi e-mail. Jika kita mempunyai program client e-mail misalnya Eudora dan memiliki akses kelayanan e-mail, maka dapat mengirim e-mail ke setiap orang yang alamat e-mailnya kita ketahui. Untuk melihat keamanan sistem Internet perlu diketahui cara kerja system Internet. Antara lain, yang perlu diperhatikan adalah hubungan antara komputer di Internet, dan protokol yang digunakan. Internet merupakan jalan raya yang dapat digunakan oleh semua orang (public). Untuk mencapai server tujuan, paket informasi harus melalui beberapa system (router, gateway, hosts, atau perangkat-perangkat komunikasi lainnya) yang kemungkinan besar berada di luar kontrol dari kita. Setiap titik yang dilalui memiliki potensi untuk dibobol, disadap, dipalsukan. Beberapa hal yang bisa dilakukan untuk mengamankan email adalah melakukan installasi anti spam dan anti virus, sehingga email yang kita terima terjamin keamanannya sebab di email kadang disertakan attachment file yang berpotensi Menyebarkan virus, worm dan trojan serta email spam.

TUGAS PENDAHULUAN1. Jelaskan cara kerja dari Mail Server Jawab :Pada mail server terdapat dua server yang berbeda yaitu incoming dan outgoing server. Server yang biasa menangani outgoing e-mail adalah server SMTP(Simple Mail Transfer Protocol) pada port 25 sedangkan untuk menangani e-mail adalah POP3(Post Office Protocol) pada port 110.

Saat e-mail dikirim maka akan langsung ditangani oleh SMTP server dan akan dikiriM ke SMTP tujuan, baik secara langsung maupun melalui beberapa SMTP server yang ada pada jalur tujuannya. Apabila server terkoneksi ke jaringan maka pesan akan langsung di kirim, tapi apa bila server tidak terkoneksi ke jaringan maka pesan akan dimasukkan ke dalam queue dan di resend setiap 15 menit. Apabila dalam 5 hari server tidak juga terkoneksi jaringan maka akan muncul pemberitahuan undeliver notice ke inbox pengirim.

Apabila e-mail terkirim maka akan masuk pada POP3 server atau IMAP server. Jika menggunakan POP3 server user akan membaca file pesan maka komputer user akan mendownload file pesan dari server sehingga file tersebun hanya akan ada pada komputer user tersebut. Sehingga user dapat membaca pesan yang telah di download tersebut. Berbeda dengan IMAP server yang mempertahankan e-mail pada server sehigga e-mail dapat di buka kembali pada device yang berbeda.

2. Sebutkan beberapa software yang dipakai untuk mengamankan email dari spam dan virus !Jawab :a. MXScanb. 1st Email Anti-Virusc. ClamAV/ClamDd. SpamAssassine. Messages Sniffer