Transcript Tambahan Pertemuan 13 Sekom

Menurut pakar keamanan jaringan Budi Rahardjo antara
Hacker, Cracker dan Security Professional perbedaannya
sangat tipis, karna sama-sama menggunakan tools yang
sama, hanya perbedaannya pada itikad dan cara pandang
(view) terhadap berbagai hal, misalnya mengenai kegiatan
probing / (port) scanning sistem orang lain dapat dilegalkan
atau tidak.
Pada tahap 1 (footprinting),
hacker baru mencari-cari sistem mana yang dapat disusupi.
Footprinting merupakan kegiatan pencarian data berupa:
• Menentukan ruang lingkup (scope) aktivitas atau serangan
• Network enumeration
• Interogasi DNS
• Mengintai jaringan
Kegiatan footprinting ini diibaratkan mencari informasi yang
tersedia umum melalui buku telepon
Tools yang tersedia untuk ini di antaranya
 Teleport Pro: Dalam menentukan ruang lingkup, hacker dapat
men-download keseluruhan situs-situs web yang potensial
dijadikan sasaran untuk dipelajari alamat, nomor telepon,
contact person, dan lain seagainya.
 Whois for 95/9/NT: Mencari informasi mengenai pendaftaran
domain yang digunakan suatu organisasi. Di sini ada bahaya
laten pencurian domain (domain hijack).
 NSLookup: Mencari hubungan antara domain name dengan IP
address.
 Traceroute 0.2: Memetakan topologi jaringan, baik yang menuju
sasaran maupun konfigurasi internet jaringan sasaran.
Tahap 2 atau scanning lebih bersifat aktif terhadap sistem-sistem
sasaran.
Di sini diibaratkan hacker sudah mulai mengetuk-ngetuk dinding
sistem sasaran untuk mencari apakah ada kelemahannya.
Kegiatan scanning dengan demikian dari segi jaringan sangat
'berisik' dan mudah dikenali oleh sistem yang dijadikan sasaran,
kecuali menggunakan stealth scanning.
Scanning tool yang paling legendaris adalah nmap (yang kini sudah
tersedia pula untuk Windows 9x/ME maupun DOS), selain
SuperScan dan UltraScan yang juga banyak digunakan pada sistem
Windows.
Untuk melindungi diri anda dari kegiatan scanning adalah
memasang firewall seperti misalnya Zone Alarm, atau bila pada
keseluruhan network, dengan menggunakan IDS (Intrusion
Detection System) seperti misalnya Snort.
Tahap 3 atau enumerasi sudah bersifat sangat intrusif terhadap suatu sistem.
Di sini penyusup mencari account name yang absah, password, serta share
resources yang ada.
Pada tahap ini, khusus untuk sistem-sistem Windows, terdapat port 139
(NetBIOS session service) yang terbuka untuk resource sharing antar-pemakai
dalam jaringan.
Anda mungkin berpikir bahwa hard disk yang di-share itu hanya dapat dilihat
oleh pemakai dalam LAN saja.
Kenyataannya tidak demikian.
NetBIOS session service dapat dilihat oleh siapa pun yang terhubung ke
Internet di seluruh dunia! Tools seperti Legion, SMBScanner , atau
SharesFinder membuat akses ke komputer orang menjadi begitu mudah
(karena pemiliknya lengah membuka resource share tanpa password).
Tahap 4 atau gaining access adalah mencoba mendapatkan akses ke dalam suatu
sistem sebagai user biasa.
Ini adalah kelanjutan dari kegiatan enumerasi, sehingga biasanyadi sini
penyerang sudah mempunyai paling tidak user account yang absah, dan tinggal
mencari passwordnya saja.
Bila resource share-nya diproteksi dengan password, maka password ini dapat
saja ditebak (karena banyak yang menggunakan password sederhana dalam
melindungi komputernya).
Menebaknya dapat secara otomatis melalui dictionary attack (mencobakan katakata dari kamus sebagai password) atau brute-force attack (mencobakan
kombinasi semua karakter sebagai password).
Dari sini penyerang mungkin akan berhasil memperoleh logon sebagai user yang
absah.
Tahap 5 atau Escalating Privilege mengasumsikan bahwa penyerang sudah
mendapatkan logon access pada sistem sebagai user biasa.
Penyerang kini berusaha naik kelas menjadi admin (pada sistem Windows) atau
menjadi root (pada sistem Unix/Linux).
Teknik yang digunakan sudah tidak lagi dictionary attack atau brute-force attack
yang memakan waktu itu, melainkan mencuri password file yang tersimpan dalam
sistem dan memanfaatkan kelemahan sistem.
Pada sistem Windows 9x/ME password disimpan dalam file .PWL sedangkan pada
Windows NT/2000 dalam file .SAM.
Bahaya pada tahap ini bukan hanya dari penyerang di luar sistem, melainkan lebih
besar lagi bahayanya adalah 'orang dalam' yaitu user absah dalam jaringan itu
sendiri yang berusaha 'naik kelas' menjadi admin atau root.
Pada tahap 6, 7, dan 8 penyerang sudah berada dan menguasai
suatu sistem dan kini berusaha untuk mencari informasi lanjutan
(pilfering), menutupi jejak penyusupannya (covering tracks), dan
menyiapkan pintu belakang (creating backdoor) agar lain kali dapat
dengan mudah masuk lagi ke dalam sistem.
Adanya Trojan pada suatu sistem berarti suatu sistem dapat dengan
mudah dimasuki penyerang tanpa harus bersusah payah melalui
tahapan-tahapan di atas, hanya karena kecerobohan pemakai
komputer itu sendiri.
denial of service, bukanlah tahapan terakhir,melainkan kalau
penyerang sudah frustrasi tidak dapat masuk ke dalam sistem yang
kuat pertahanannya, maka yang dapat dilakukannya adalah
melumpuhkan saja sistem itu dengan menyerangnya menggunakan
paket-paket data yang bertubi-tubi sampai sistem itu crash.
Denial of service attack sangat sulit dicegah, sebab memakan habis
bandwidth yang digunakan untuk suatu situs.
Pencegahannya harus melibatkan ISP yang bersangkutan. Para script
kiddies yang pengetahuan hacking-nya terbatas justru paling gemar
melakukan kegiatan yang sudah digolongkan tindakan kriminal di
beberapa negara ini.
Serangan land ini membutuhkan nomor IP dan nomor port dari
server yang dituju.
Untuk sistem Windows, biasanya port 139 yang digunakan untuk
menyerang.
Cara lain untuk mempertahankan jaringan dari serangan Land
attack ini adalah dengan memfilter pada software firewall anda
dari semua paket yang masuk dari alamat IP yang diketahui tidak
baik. Paket yang dikirim dari internal sistem anda biasanya tidak
baik, oleh karena itu ada baiknya di filter alamat 10.0.0.010.255.255.255, 127.0.0.0-127.255.255.255, 172.16.0.0172.31.255.255, dan 192.168.0.0-192.168.255.255.
Ping of Death adalah Jenis serangan yg mengguna kan utility ping.
dan mengapa di sebut Ping Of Death(ping kematian) karena.
pada umum nya utility ping pada windows mengirimkan paket ping
maximal sejumlah 65.536 bytes sedangkan Ping of death mengirimkan
lebih dari itu,misalnya saja 112.000 bytes dan paket ping of death ini
mudah di rekayasa,sehingga tidak bisa di ketahui alamat pengirim nya
(Ip)
untuk mencoba ping maximal windows dapat di gunakan command
ping -l 65500 192.168.0.1
ping<spasi>-l<spasi>besarnya paket<spasi>target
untuk mengirimkan paket lebih besar,bisa membuat Pc target Hang atau
Crash bisa menggunakan aplikasi POD Ping Of Death
Contoh sederhananya sebagai berikut:
C:\windows>ping -l 65540
Perintah MSDOS di atas melakukan ping atau pengiriman paket
ICMP berukuran 65540 byte ke suatu host/server. Pada jenis
serangan tersebut, data yang akan dikirim melebihi panjang
maksimal yang disediakan. Jika sistem tidak siap saat penerimaan
data, maka sistem akan hang, crash, atau reboot.
Teardrop teknik ini dikembangkan dengan cara mengeksplotasi
proses disassembly-reassembly paket data.
Dalam jaringan Internet, seringkali data harus di potong kecil-kecil
untuk menjamin reliabilitas & proses multiple akses jaringan.
Potongan paket data ini, kadang harus dipotong ulang menjadi lebih
kecil lagi pada saat di salurkan melalui saluran Wide Area Network
(WAN) agar pada saat melalui saluran WAN yang tidak reliable proses
pengiriman data menjadi lebih reliable. Pada proses pemotongan
data paket yang normal setiap potongan di berikan informasi offset
data yang kira-kira berbunyi potongan paket ini merupakan
potongan 600 byte dari total 800 byte paket yang dikirim.
Program teardrop akan memanipulasi offset potongan data sehingga
akhirnya terjadi overlapping antara paket yang diterima di bagian
penerima setelah potongan-potongan paket ini di reassembly.
Seringkali, overlapping ini menimbulkan system yang crash, hang &
reboot di ujung sebelah sana.
TCP SYN Scan : Teknik ini dikenal sebagai half-opening scanning
karena suatu koneksi penuh TCP tidak sampai terbentuk.
Sebaliknya, suatu paket SYN dikirimkan ke port sasaran. Bila
SYN/ACK diterima dari port sasaran, kita dapat mengambil
kesimpulan bahwa port itu berada dalam status LISTENING. Suatu
RST/ACT akan dikirim oleh mesin yang melakukan scanning
sehingga koneksi penuh tidak akan terbentuk. Teknik ini bersifat
siluman dibandingkan TCP connect penuh, dan tidak aka tercatat
pada log sistem sasaran
SYN Attack- kelemahan dari spesifikasi TCP/IP, dia terbuka terhadap
serangan paket SYN.
Paket SYN dikirimkan pada saat memulai handshake (jabat tangan)
antara dia aplikasi sebelum transaksi / pengiriman data dilakukan.
Pada kondisi normal, aplikasi klien akan mengirimkan paket TCP SYN
untuk mensinkronisasi paket pada aplikasi di server (penerima).
Server (penerima) akan mengirimkan respond berupa acknowledgement
paket TCP SYN ACK.
Setelah paket TCP SYN ACK di terima dengan baik oleh klien (pengirim),
maka klien (pengirim) akan mengirimkan paket ACK sebagai tanda
transaksi pengiriman / penerimaan data akan di mulai.
Dalam serangan SYN flood (banjir paket SYN), klien akan membanjiri
server dengan banyak paket TCP SYN.
Setiap paket TCP SYN yang dikirim akan menyebabkan server menjawab
dengan paket TCP SYN ACK.
Server (penerima) akan terus mencatat (membuat antrian backlog) untuk
menunggu responds TCP ACK dari klien yang mengirimkan paket TCP
SYN.
UDP Flood pada dasarnya mengkaitkan dua (2) sistem tanpa disadarinya.
Dengan cara spoofing, User Datagram Protocol (UDP) flood attack akan
menempel pada servis UDP chargen di salah satu mesin, yang untuk keperluan
percobaan akan mengirimkan sekelompok karakter ke mesin lain, yang di
program untuk meng-echo setiap kiriman karakter yang di terima melalui servis
chargen.
Karena paket UDP tersebut di spoofing antara ke dua mesin tersebut, maka yang
terjadi adalah banjir tanpa henti kiriman karakter yang tidak berguna antara ke
dua mesin tersebut.
Untuk menanggulangi UDP flood, anda dapat men-disable semua servis UDP di
semua mesin di jaringan, atau yang lebih mudah memfilter pada firewall semua
servis UDP yang masuk.
Karena UDP dirancang untuk diagnostik internal, maka masih aman jika menolak
semua paket UDP dari Internet.
Tapi jika kita menghilangkan semua trafik UDP, maka beberapa aplikasi yang
betul seperti RealAudio, yang menggunakan UDP sebagai mekanisme
transportasi, tidak akan jalan.
Tempat antrian backlog ini tentunya terbatas & biasanya kecil di memori.
Pada saat antrian backlog ini penuh, sistem tidak akan merespond paket
TCP SYN lain yang masuk dalam bahasa sederhana-nya sistem tampak
bengong / hang.
Sialnya paket TCP SYN ACK yang masuk antrian backlog hanya akan
dibuang dari backlog pada saat terjadi time out dari timer TCP yang
menandakan tidak ada responds dari klien pengirim. Biasanya internal
timer TCP ini di set cukup lama.
Kunci SYN attack adalah dengan membanjiri server dengan paket TCP
SYN menggunakan alamat IP sumber (source) yang kacau.
Akibatnya, karena alamat IP sumber (source) tersebut tidak ada, jelas
tidak akan ada TCP ACK yang akan di kirim sebagai responds dari
responds paket TCP SYN ACK.
Dengan cara ini, server akan tampak seperti bengong & tidak memproses
responds dalam waktu yang lama. Berbagai vendor komputer sekarang
telah menambahkan pertahanan untuk SYN attack ini & juga programmer
firewall juga menjamin bahwa firewall mereka tidak mengirimkan packet
dengan alamat IP sumber (source) yang kacau.
Smurf Attack - jauh lebih menyeramkan dari serangan Smurf di cerita
kartun.
Smurf attack adalah serangan secara paksa pada fitur spesifikasi IP yang
kita kenal sebagai direct broadcast addressing.
Seorang Smurf hacker biasanya membanjiri router kita dengan paket
permintaan echo Internet Control Message Protocol (ICMP) yang kita
kenal sebagai aplikasi ping.
Karena alamat IP tujuan pada paket yang dikirim adalah alamat broadcast
dari jaringan anda, maka router akan mengirimkan permintaan ICMP echo
ini ke semua mesin yang ada di jaringan.
Kalau ada banyak host di jaringan, maka akan terhadi trafik ICMP echo
respons & permintaan dalam jumlah yang sangat besar.
Lebih sial lagi jika si hacker ini memilih untuk men-spoof alamat IP sumber
permintaan ICMP tersebut, akibatnya ICMP trafik tidak hanya akan
memacetkan jaringan komputer perantara saja, tapi jaringan yang alamat
IP-nya di spoof jaringan ini di kenal sebagai jaringan korban (victim).
Untuk menjaga agar jaringan kita tidak menjadi perantara bagi serangan
Smurf ini, maka broadcast addressing harus di matikan di router kecuali
jika kita sangat membutuhkannya untuk keperluan multicast, yang saat ini
belum 100% di definikan. Alternatif lain, dengan cara memfilter
permohonan ICMP echo pada firewall. Untuk menghindari agar jaringan
kita tidak menjadi korban Smurf attack, ada baiknya kita mempunyai
upstream firewall (di hulu) yang di set untuk memfilter ICMP echo atau
membatasi trafik echo agar presentasinya kecil dibandingkan trafik
jaringan secara keseluruhan.
Port Scan adalah awal dari masalah besar yang akan datang melalui
jaringan, untuk itu perlu mendeteksi adanya Port Scan.
Port Scan merupakan awal serangan dan hasil
Port Scan membawa beberapa informasi kritis yang sangat penting
untuk pertahanan mesin & sumber daya yang kita miliki
Salah satu pionir dalam mengimplementasikan teknik port scanning
adalah Fyodor. Ia memasukkan berbagai teknik scanning kedalam
karyanya yang amat terkenal: nmap
TCP connect scan
Jenis scan ini konek ke port sasaran dan menyelesaikan three-way
handshake (SYN, SYN/ACK, dan ACK). Scan jenis ini mudah
terdeteksi oleh sistem sasaran
TCP SYN scan
dikenal sebagai half-opening scanning karena suatu koneksi penuh
TCP tidak sampai terbentuk
TCP FIN scan
Teknik ini mengirim suatu paket FIN ke port sasaran. Berdasarkan
RFC 793, sistem sasaran akan mengirim balik suatu RST untuk setiap
port yang tertutup. Teknik ini hanya dapat dipakai pada stack TCP/IP
berbasis UNIX
TCP Xmas Tree scan
Teknik ini mengirimkan suatu paket FIN, URG, dan PUSH ke port sasaran.
Berdasarkan RFC 793, sistem sasaran akan mengembalikan suatu RST untuk
semua port yang tertutup.
TCP Null scan
Teknik ini membuat off semua flag. Berdasarkan RFC 793, sistem sasaran akan
mengirim balik suatu RST untuk semua port yang terturup.
TCP ACK scan
Teknik ini digunakan untuk memetakan set aturan firewall. Dapat membantu
menentukan apakah firewall itu merupakan suatu simple packet filter yang
membolehkan hanya koneksi-koneksi tertentu (koneksi dengan bit set ACK) atau
suatu firewall yang menjalankan advance packet filtering.
TCP Windows scan
Teknik ini dapat mendeteksi port-port terbuka maupun terfilter/tidak terfilter
pada sistem-sistem tertentu (sebagai contoh, AIX dan FreeBSD) sehubungan
dengan anomali dari ukuran windows TCP yang dilaporkan.
TCP RPC scan
Teknik ini spesifik hanya pada system UNIX dan digunakan untuk
mendeteksi dan mengidentifikasi port RPC (Remote Procedure Call)
dan program serta normor versi yang berhubungan dengannya.
UDP scan
Teknik ini mengirimkan suatu paket UDP ke port sasaran. Bila port
sasaran memberikan respon berupa pesan “ICMP port
unreachable” artinya port ini tertutup. Sebaliknya bila tidak
menerima pesan di atas, kita dapat menyimpulkan bahwa port itu
terbuka. Karena UDP dikenal sebagai connectionless protocol,
akurasi teknik ini sangat bergantung pada banyak hal sehubungan
dengan penggunaan jaringan dan system resource. Sebagai
tambahan, UDP scanning merupakan proses yang amat lambat
apabila anda mencoba men-scan suatu perangkat yang
menjalankan packet filtering berbeban tinggi.
Beberapa port scanner berbasis Windows yang cukup baik kecepatan, akurasi,
dan fitur-fitur yang tersedia antara lain seperti dibawah ini.
NetScan Tools Pro 2000
NetScan Tools Pro 2000 (NSTP2K) menyediakan segala macam utilitas dalam satu
paket: DNS query mencakup nslookup dan dig dengan axfr, whois, ping sweeps,
Net-BIOS name table scan, SNMP walks, dan banyak lagi.
Lebih jauh lagi NSTP2K mempunyai kemampuan multitasking. Serta dapat
menjalankan port scan terhadap suatu sistem dan menjalankan ping sweep pada
sistem yang lain. NetScan Tools Pro 2000 menyertakan port scanner versi
Windows terbaik yang ada sekarang, yaitu pada tab Port Probe. Kehebatan Port
Pro mencakup flexible target dan spesifikasi port (IP sasaran maupun daftar port
dapat diimpor dari file teks), mendukung scan TCP maupun UDP (tapi tidak
selektif per port), dan multithreaded speed. Di sisi negatifnya, output yang
dihasilkan Port Pro bersifat grafis sehingga sulit dibaca oleh script ataupun tool
pemilah-milah data. Sayangnya juga, output dari suatu fungsi (misalnya
NetScanner) tidak dapat secara otomatis dijadikan input oleh fungsi lain
(misalnya Port Probe).
SuperSCAN
SuperScan dapat diperoleh di www.foundstone.com/rdlabs/
termofuse.php?filename=superscan.exe. SuperScan adalah port scanner TCP
yang juga cepat dan dapat diandalkan pada harga yang jauh lebih baik (gratis!).
Seperti juga NSTP2K, SupeScan memungkinkan spesifikasi fleksibel dari IP-IP
sasaran dan daftar port. Opsi Extract From File nyaman mudah digunakan dan
cepat pula.
WinScan
WinScan, karya Sean Mathias dari Prosolve (http://prosolve.com) adalah suatu
TCP port scanner yang tersedia baik dalam format grafis (winscan.exe) maupun
command line (scan.exe). Versi command line-nya mampu men-scan network
Class-C dan output-nya mudah dibaca.
IpEye
Packet scan eksotis hanya nmap di Linux? Tidak juga. IpEye karya Arne Voidstrom
(http://ntsecurity.nu) dapat menjalankan source port scanning, selain SYN, FIN,
dan Xmas scan dari command line Windows. Satu-satunya keterbatasan ipEye
adalah hanya berjalan pada Windows 2000 dan setiap kali hanya dapat men-scan
satu host.
Banyak router dan firewall dikonfigurasikan agar memungkinkan protokol seperti
DNS (UDP 53), FTP data channel (TCP 20), SMTP (TCP 25), dan HTTP (TCP 80)
masuk melalui filter, source port scanning dapat menyerang kontrolkontrol ini
dengan jalan menyamar sebagai lalu-lintas komunikasi inbound ini. Untuk itu,
anda harus mengetahui ruang alamat yang ada di balik firewall atau router, yang
sulit bila melibatkan NAT (NetBIOS Auditing Tool).
WUPS
Windows UDP Port Scanner (WUPS) berasal dari pengarang yang sama dengan
ipEye (Arne Vidstorm). Suatu UDP scanner grafis yang mudah digunakan dan
cepat (tergantung pada delay setting-nya), walaupun hanya dapat men-scan satu
host setiap kali. Suatu tool yang baik untuk UDP scan cara cepat.
Pinger (www.nmrc.org/files/snt/)
Pinger dari Rhino9 ini adalah pinger tercepat yang ada untuk Windows dan
merupakan freeware! Seperti juga fping, Pinger mengirimkan benyak paket ICMP
ECHO secara bersamaan dan menunggu responnya. Selain itu, Pinger dapat
melacak host name dan menyimpannya pada suatu file.
Ping Sweep (www.solarwinds.net)
Ping Sweep dapat sangat cepat sebab kita dapat menentukan delay time antara
paket-paket yang dikirimkan. Dengan menetapkan delay time sebagai 0 atau 1,
suatu hostname dari network kelas C dapat diperoleh dalam waktu kurang dari 7
detik. Hati-hati dengan tool ini sebab bisa-bisa membuat macet link yang lambat
seperti ISDN 128K atau Frame Relay link.
WS_Ping ProPack (www.ipswitch.com) dan
NetScanTools (www.nwpsw.com)
Kedua utilitas ping sweep ini memadai untuk melakukan ping sweep terhadap
network kecil, namun keduanya lebih lambat dibandingkan dengan Pinger atau
Ping Sweep.
Lebih lengkapnya, tool-tool yang ada dicantumkan pada lampiran Scanning Tools.