Meski sebuah sistem informasi sudah dirancang memiliki perangkat pengamanan, dalam operasi masalah keamanan harus selalu dimonitor.
Hal ini disebabkan oleh beberapa hal, antara lain:
* Ditemukannya lubang keamanan (security hole) yang baru.
Perangkat lunak dan perangkat keras biasanya sangat kompleks sehingga tidak mungkin untuk diuji seratus persen. Kadangkadang ada lubang keamanan yang ditimbulkan oleh kecerobohan implementasi.
* Kesalahan konfigurasi. Kadang-kadang karena lalai atau alpa, konfigurasi sebuah sistem kurang benar sehingga menimbulkan lubang keamanan. Misalnya mode (permission atau kepemilikan) dari berkas yang menyimpan password (/etc/passwd di sistem UNIX) secara tidak sengaja diubah sehingga dapat diubah atau ditulis oleh orang-orang yang tidak berhak.
* Penambahan perangkat baru (hardware dan/atau software) yang menyebabkan menurunnya tingkat security atau berubahnya metoda untuk mengoperasikan sistem. Operator dan administrator harus belajar lagi. Dalam masa belajar ini banyak hal yang jauh dari sempurna, misalnya server atau software masih menggunakan konfigurasi awal dari vendor (dengan password yang sama).
Sumber lubang keamanan
Lubang keamanan (security hole) dapat terjadi karena beberapa hal; salah disain (design flaw), salah implementasi, salah konfigurasi, dan salah penggunaan. Lubang keamanan yang ditimbulkan oleh salah disain umumnya jarang terjadi. Akan tetapi apabila terjadi sangat sulit untuk diperbaiki. Misalnya,
- Disain urutan nomor (sequence numbering) dari paket
- TCP/IP dapat dieksploitasi sehingga timbul masalah yang dikenal dengan nama “IP spoofing”, yaitu sebuah host memalsukan diri seolah-olah menjadi host lain dengan membuat paket palsu setelah mengamati urutan paket dari host yang hendak diserang. Lubang keamanan yang disebabkan oleh kesalahan implementasi sering terjadi. Banyak.
- Program yang diimplementasikan secara terburu-buru sehingga kurang cermat dalam pengkodean.
- Sebagai contoh seringkali batas (“bound”) dari sebuah “array” tidak dicek sehingga terjadi yang disebut out of bound yang dapat dieksploitasi. Contoh lain adalah kealpaan memfilter karakter-karakter yang aneh-aneh yang dimasukkan sebagai input dari sebuah program sehinggan sang program dapat mengakses berkas atau informasi yang semestinya tidak boleh diakses. Contoh masalah yang disebabkan oleh salah konfigurasi adalah berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi “writeable”. Apabila berkas tersebut merupakan berkas yang penting, seperti berkas yang digunakan untuk menyimpan password, maka efeknya menjadi lubang keamanan.
- workstation Unix di perguruan tinggi didistribusikan dengan berkas /etc/aliases (berguna untuk mengarahkan e-mail), /etc/utmp (berguna untuk mencatat siapa saja yang sedang menggunakan sistem) yang dapat diubah oleh siapa saja. Contoh lain dari salah konfigurasi adalah adanya program yang secara tidak sengaja diset menjadi “setuid root” sehingga ketika dijalankan pemakai memiliki akses seperti super user (root) yang dapat melakukan apa saja.
- Kesalahan menggunakan program yang dijalankan dengan menggunakan account root (super user) dapat berakibat fatal. Sering terjadi cerita horor dari sistem administrator baru yang teledor dalam menjalankan .
- Perintah “rm -rf” (yang menghapus berkas atau direktori beserta sub direktori di dalamnya). Akibatnya seluruh berkas di sistem menjadi hilang. Untuk itu perlu berhati-hati dalam menjalan program, terutama apabila dilakukan dengan menggunakan account administrator seperti root tersebut.
Penguji keamanan sistem
Dikarenakan banyaknya hal yang harus dimonitor, administrator dari sistem informasi membutuhkan “automated tools”, perangkat pembantu otomatis, yang dapat membantu menguji atau mengevaluasi keamanan sistem yang dikelola. Untuk sistem yang berbasis UNIX ada beberapa tools yang dapat digunakan, antara lain:
• Cops
• Tripwire
• Satan/saint: Menguji keamanan sistem melalui Web
Untuk sistem yang berbasis Windows NT ada juga program semacam, misalnya program Ballista yang dapat diperoleh dari: http://www.secnet.com/ Selain program-program (tools) yang terpadu (integrated) seperti yang terdapat pada daftar di atas, ada banyak program yang dibuat oleh hackers untuk melakukan “coba-coba”. Program-program seperti ini, yang cepat sekali bermunculuan, biasanya dapat diperoleh (download) dari Internet melalui tempat-tempat yang berhubungan dengan keamanan, seperti misalnya “Rootshell.
Contoh program coba-coba ini antara lain:
• crack: program untuk menduga atau memecahkan password dengan menggunakan sebuah
kamus (dictionary).
• land: sebuah program yang dapat membuat sistem Windows 95/ NT menjadi macet (hang, lock up). Program ini mengirimkan sebuah paket yang sudah di”spoofed” sehingga seolah olah paket tersebut berasal dari mesin yang sama dengan menggunakan port yang terbuka (misalnya port 113 atau 139).
• ping-o-death: sebuah program (ping) yang dapat meng-crash-kan Windows 95/NT dan beberapa versi Unix.
• winuke: program untuk memacetkan sistem berbasis Windows
Probing Services
Servis di Internet umumnya dilakukan dengan menggunakan protokol TCP atau UDP. Setiap servis dijalankan dengan menggunakan port yang berbeda, misalnya:
- SMTP, untuk mengirim dan menerima e-mail, TCP, port 25
- DNS, untuk domain, UDP dan TCP, port 53
- HTTP, web server, TCP, port 80
- POP3, untuk mengambil e-mail, TCP, port 110
Untuk melihat servis apa saja yang dijalankan oleh server atau computer yang bersangkutan. Pemilihan servis apa saja tergantung kepada kebutuhan dan tingkat keamanan yang diinginkan. Beberapa servis harus dimatikan karena ada kemungkinan dapat dieksploitasi oleh cracker. Untuk itu ada beberapa program yang dapat digunakan untuk melakukan “probe” (meraba) servis apa saja yang tersedia. Program ini juga dapat digunakan oleh kriminal untuk melihat servis apa saja yang tersedia di sistem yang akan diserang dan berdasarkan data-data yang diperoleh dapat melancarkan serangan. Untuk beberapa servis yang berbasis TCP/IP, proses probe dapat dilakukan dengan menggunakan program telnet. Misalnya untuk melihat apakah ada servis e-mail dengan menggunakan SMTP digunakan telnet ke port 25. Untuk servis lain, seperti POP atau POP3 dapat dilakukan dengan cara yang sama dengan menggunakan nomor “port” yang sesuai dengan servis yang diamati.
* Paket probe untuk sistem UNIX: strobe, tcpprobe, nmap
* Probe untuk sistem Window 95/98/NT: NetLab, Cyberkit, Ogre
Untuk mendeteksi adanya probing ke sistem informasi dapat dipasang suatu program yang memonitornya. Probing biasanya meninggalkan jejak di berkas log di sistem. Dengan mengamati entry di dalam berkas log dapat diketahui adanya probing.
Contoh : root# tail /var/log/syslog
May 16 15:40:42 epson tcplogd: "Syn probe"
notebook[192.168.1.4]:[8422]
epson[192.168.1.2]:[635]
Dari contoh diatas diketahui IP : 192.168.1.4 melakukan probingProgram Probe lain : courtney, portsentry dan tcplogd.
OS FingerPrinting
Mengetahui operating system (OS) dari target yang akan diserang merupakan salah satu pekerjaan pertama yang dilakukan oleh seorang cracker. Setelah mengetahui OS yang dituju, dia dapat melihat database kelemahan sistem yang dituju.
Fingerprinting merupakan istilah yang umum digunakan untuk menganalisa OS sistem yang dituju. Beberapa cara konvensional antara lain : telnet, ftp, netcat, dll. Jika server tersebut kebetulan menyediakan suatu servis, seringkali ada banner yang menunjukkan nama OS beserta versinya. Misalkan dilakukan dengan telnet dengan port tertentu, atau dapat juga menggunakan program tertentu. Cara fingerprinting yang lebih canggih adalah dengan menganalisa respon sistem terhadap permintaan (request) tertentu. Misalnya dengan menganalisa nomor urut packet TCP/IP yang dikeluarkan oleh server tersebut dapat dipersempit ruang jenis dari OS yang digunakan. Ada beberapa tools untuk melakukan deteksi OS ini antara lain: nmap, dan queso
Penggunaan program penyerang
Salah satu cara untuk mengetahui kelemahan sistem informasi anda adalah dengan menyerang diri sendiri dengan paket-paket program penyerang (attack) yang dapat diperoleh di Internet. Dengan menggunakan program ini dapat mengetahui apakah sistem rentan dan dapat dieksploitasi oleh orang lain.
- Internet Security Scanner (ISS) atau Security Analysis Tool for Auditing (SATAN) program ini akan menginformasikan kelemahan dari sistem yang dituju dandapat melakukan scanning seluruh domain atau sub network
-TCP Wrapper untuk memonitor jaringan komputer
-Crack untuk melakukan testing password security.
-IP Scanner, IP Sniper, Network Analyzer DLL
Selain program penyerang yang sifatnya agresif melumpuhkan sistem yang dituju, ada juga programpenyerang yang sifatnya melakukan pencurian atau penyadapan data. Untuk penyadapan data,biasanya dikenal dengan istilah “sniffer”.
Contoh program penyadap (sniffer) antara lain:
- pcapture (Unix)
- sniffit (Unix)
- tcpdump (Unix)
- WebXRay (Windows)
Penggunaan sistem pemantau jaringan
Sistem pemantau jaringan (network monitoring) dapat digunakanuntuk mengetahui adanya lubang keamaman. Misalnya apabila anda memiliki sebuah server yang semetinya hanya dapat diakses oleh orang dari dalam, akan tetapi dari pemantau jaringan dapat terlihat bahwa ada yang mencoba mengakses melalui tempat lain. Selain itu dengan pemantau jaringan dapat juga dilihat usaha-usaha untuk melumpuhkan sistem dengan melalui denial of service attack (DoS) dengan mengirimkan packet yang jumlahnya berlebihan.
- Network monitoring biasanya dilakukan dengan menggunakan protokol SNMP (Simple Network Management Protocol). untuk melumpuhkan sistem dengan melalui denial of service attack DoS) dengan mengirimkan paket yang jumlahnya berlebihan. Network monitoring biasanya dilakukan dengan menggunakan protokol SNMP (Simple Network Management Protocol).
Contoh-contoh Program network monitoring / management antara lain:
~ Etherboy (Windows) ~Etherman (Unix) ~ HP Openview (Windows) ~ Packetboy (Windows), Packetman (Unix) ~ SNMP Collector (Windows) ~ Webboy (Windows)
Contoh Program pemantau jaringan yang tidak menggunakan SNMP :
- iplog, icmplog, updlog, yang merupakan bagian dari paket iplog untuk memantau paket IP, ICMP, UDP.
- iptraf, sudah termasuk dalam paket Linux Debian netdiag.
- netwatch, sudah termasuk dalam paket Linux Debian netdiag.
- ntop, memantau jaringan seperti program top yang memantau proses di sistem Unix. - trafshow, menunjukkan traffic antar hosts dalam bentuk text-mode
Pemantau Adanya Serangan
* Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu tak diundang (intruder) atau adanya serangan (attack).
* Nama lain dari sistem ini adalah “intruder detection system” (IDS). * Sistem ini dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager.
Contoh software IDS antara lain:
• Autobuse, mendeteksi probing dengan memonitor logfile.
• Courtney dan portsentry, mendeteksi probing (port scanning) dengan memonitor packet
yang lalu lalang. Portsentry bahkan dapat memasukkan IP penyerang dalam filter
tcpwrapper (langsung dimasukkan kedalam berkas /etc/hosts.deny)
• Shadow dari SANS
• Snort, mendeteksi pola (pattern) pada paket yang lewat danmengirimkan alert jika pola tersebut terdeteksi.
*Honeypot*
Merupakan sumber sistem informasi yang bersifat terbuka (opensif) yang memfocuskan pada proses pemgumpulan informasi tentang aktifitas ilegal si Attacker yang mencoba menyusup dan mengeksplorasi authorisasi system computer (server). Dengan Honyepot kita bisa mengetahui tingkah laku si Attacker diantaranya : port yang diserang, perintah2 yang dipergunakan, dan jenis aktifitas lainnya yang bisa direkam. Honeypot akan melindungi server asli yang kita miliki. krn kita mendirikan server palsu yang tanpa disadari sebenarnya si Attacker sedang menyerang sistem yang bukan sebenarnya.
Tujuan dari Honeypot ?
1.Pendeteksian Dini (Early Detection).Metode inilah yang akan memberitahukan & mengingatkan kita pada serangan-serangan terhadap system server oleh orang-orang yang tidak memiliki otoritas.
2. Pendeteksian Ancaman Baru (New Threat Detection)Metode ini merupakan medote yang digunakan utk mengathui ancaman2 baru beserta teknik2 penyerangan baru yang digunakan oleh si Attacker dalam usaha untuk mendapatkan 'Escalating Priviledge'.
3. Mengenel Si Attacker (Know Your Enemy)Metode yang digunakan untuk mengetahui siapa si Attacker sesungguhnya, apa yang dikerjakan oleh Attacker juga metode serta teknik yang dipergunakan.
4. Menyelamatkan System (Safe The System)Metode yang digunakan utk menjebak si Attacker sehingga Attacker berusaha tetap melakukan tindakan hanya pada Honeypot system sehingga server asli tetap dalam kondisi yang aman
5. Mengacaukan Pola Fikir Attacker (Make a crodit Attacker Logic)Meteode yang membuat pola fikir Attacker menjadi bingung dalam menghapi pola system network yang tidak sebenarnya.
6. Membagun Pertahanan (Building System Defense)Honeypot yang dibangun akan memberikan pertahanan yang lebih bagus dikarenakan si Attacker tidak akan langsung melakukan penyerangan terhadap server sesungguhnya
7. Mencegah Proses Hacking (Hacking Process Prevention)System pertahanan yang kita tanam dan kita bangun akan mengurangi serangan terhadapat proses hacking.
Hal-hal yang terdapat di dalam Honeypot :
- Network Devices HardwareUntuk mendirikan honeypot berati kita juga membutuhkan
perangkat jaringan komputer.
- Monitoring or Logging Tools Honeypot yang kita dirikan dapat memonitor secara
langsung aktifitas si Attacker.
- Alerting Mechanism Honeypot dapat memberikan layanan messanger utk administrator apabila terdapat serangan-serangan.
- KeyStroke Logger Honeypot dapat memberikan informasi tentang apa saja yang
dilakukan oleh Attacker termasuk ketikan2 dari papan keyboard si Attacker.
- Packet Analyzer Honeypot dapat memberikan informasi ttg packet data yang diberikan
oleh Attacker ke system honeypot server.
- Forensic Tools Honeypot dapat memberikan informasi ttg System forensic yang digunakan Attacker terhdapa system.
- Penempatan secara langsung dengan menghadapkan honeypot dengan internet tanpa adanya firewall.
- Penempatan secara tidak langsung, dimana honeypot berada diantara firewall dan
koneksi internet.
- Penempatan honeypot pada DMZ.
Tidak ada komentar:
Posting Komentar