Senin, 08 Oktober 2012

Penyusup Komputer


A. Karakteristik Penyusup
Dewasa ini tidak ada sisi kehidupan manusia yang tidak menggunakan computer akibatnya timbul tindakan untuk bisa menyusupi system computer lain dan mengendalikanya. Untuk mengantisipasinya kita harus tahu karakteristik seorang penyusup antara lain:
    1. The Curious (Si Ingin Tahu) - tipe penyusup ini pada dasarnya tertarik menemukan jenis sistem dan data yang anda miliki.
2.      The Malicious (Si Perusak) - tipe penyusup ini berusaha untuk merusak sistem anda, atau merubah web page anda, atau sebaliknya membuat waktu dan uang anda kembali pulih.
    1. The High-Profile Intruder (Si Profil Tinggi) - tipe penyusup ini berusaha menggunakan sistem anda untuk memperoleh popularitas dan ketenaran. Dia mungkin menggunakan sistem profil tinggi anda untuk mengiklankan kemampuannya.
    2. The Competition (Si Pesaing) - tipe penyusup ini tertarik pada data yang anda miliki dalam sistem anda. Ia mungkin seseorang yang beranggapan bahwa anda memiliki sesuatu yang dapat menguntungkannya secara keuangan atau sebaliknya.

Istilah bagi penyusup :
1.      Mundane ; tahu mengenai hacking tapi tidak mengetahui metode dan prosesnya.
2.      lamer (script kiddies) ; mencoba script2 yang pernah di buat oleh aktivis hacking, tapi tidak paham bagaimana cara membuatnya.
3.      wannabe ; paham sedikit metode hacking, dan sudah mulai berhasil menerobos sehingga berfalsafah ; HACK IS MY RELIGION.
4.      larva (newbie) ; penyusup pemula, teknik hacking mulai dikuasai dengan baik, sering bereksperimen.
5.      penyusup ; aktivitas hacking sebagai profesi.
6.      wizard ; penyusup yang membuat komunitas pembelajaran di antara mereka.
7.      guru ; master of the master penyusup, lebih mengarah ke penciptaan tools-tools yang powerfull yang salah satunya dapat menunjang aktivitas hacking, namun lebih jadi tools pemrograman system yang umum.
Seorang penyusup bisa menyusup ke dalam sistem menggunakan beberapa module gratisan bisa dengan mudahnya diperoleh di internet. Ia bahkan bisa menaklukkan sebuah jaringan nirkabel hanya dalam beberapa urutan langkah. Dalam serangannya, ia bisa melakukan pemindahan massal terhadap seluruh perangkat jaringan yang diincarnya. Berikut adalah beberapa hal yang biasa dilakukan oleh Attacker untuk menaklukkan sebuah jaringan tanpa kabel :
1.      Melacak sinyal dari jarak jauh menggunakan kartu jaringan wireless menggunakan receiver tambahan di luar ruangan.
2.      Menjadi unknown tak dikenal menggunakan firewall bawaan dari produk Microsoft atau peranti lain seperti ZoneAlarm dari Zone Lab untuk melindungi komputernya dari alat pemindai balik IDS (Intrusion Detection System).
3.      Mendapatkan IP Address, aim entrance point, dan server DHCP (Dynamic Host Configuration Protocol) menggunakan aplikasi seperti NetStumbler atau module wireless customer lainnya.
4.      Mengeksploitasi kelemahan – kelamahan jaringan wireless dengan cara yang tidak jauh beda dengan yang dilakukan oleh penyusup jaringan pada umumnya. Biasanya Attacker mengincar dengan kesalahan-kesalahan umum, misalnya : default IP, default password, dll
5.      Dengan bantuan alat custom analyzer, penyusup melakukan spot gelombang udara, mengambil contoh information yang ada di dalamnya, dan mencari MAC Address dan IP Address yang current yang bisa dihubungi.
6.      Mencuri information penting dari lalu lintas promote untuk memetakan jaringan target.
7.      Menggunakan peranti seperti Ethereal untuk membuka information yang didapat dari protokol-protokol transparan seperti Telnet, POP (Post Office Protocol), atau HTTP (HyperText Transfer Protocol) untuk mencari information otentikasi seperti username dan password.
8.      Menggunakan module lain, seperti SMAC, untuk melakukan spoofing MAC Address dan menangkap lebih banyak paket information dalam jaringan.
9.      Melakukan koneksi ke WLAN target.
10.  Memeriksa apakah ia telah mendapatkan IP Address atau tidak. Hal ini dilakukan penyusup secara pasif sehingga sangat sulit dideteksi.
11.  Menggunakan alat pemindai kelemahan complement dan jaringan untuk menemukan kelemahan pada komputer-komputer pengguna, entrance point, atau perangkat lainnya.
12.  Melakukan eksplorasi jaringan untuk memetakan dan memperpanjang akes ke jaringan Wireless berikutnya.
Ini adalah beberapa ancaman (tread) yang mungkin terjadi di dalam jaringan Wireless Anda: Pencurian Identitas Penggunaan Media Access Control (MAC) Address untuk menentukan komputer mana yang berhak mendapatkan koneksi dari jaringan nirkabel sudah sejak lama dilakukan, meskipun sebenarnya tidak memberikan perlindungan yang berarti dalam sebuah jaringan komputer apapun. Penyusup mampu melakukan pencurian identitas dengan teknik spoofing (pencurian) MAC untuk menggandakan Service Set Identifier (SSID) dan MAC Address yang notabene adalah PIN akses jaringan. Penyusup yang berpengalaman mampu menggunakan SSID dan MAC dari komputer lain untuk mengerjai jaringan – mencuri bandwidth atau men-download file, misalnya. Meskipun jaringan telah dilengkapi dengan enkripsi information atau VPN (Virtual Private Network), MAC Address masih bisa dilacak dan di-spoof. Informasi mengenai MAC Address bisa diperoleh dari module seperti Kismet. Untuk melakukan pencurian identitas, penyusup akan menggunakan module spoofing atau secara primer mengubahnya melalui registry (jika pengguna beroperasi pada sistem Microsoft Windows). Man-in-the-Middle Serangan lain yang lebih keren adalah serangan Man-in-the-Middle, mengelabui koneksi VPN antara komputer pengguna resmi dan entrance indicate dengan cara memasukkan komputer lain di antara keduanya sebagai pancingan. Si penyusup inilah yang disebut sebagai “man-in-the-middle.” Jenis serangan ini mirip dengan jenis serangan pada jaringan fisik kabel, menggunakan module dan perangkat yang sama kecuali pada perangkat wireless-nya. Dengan menggunakan sebuah program, penyusup mampu memosisikan diri di antara lalu lintas komunikasi information dalam jaringan nirkabel. Penyusup bisa menggunakan module tertentu untuk melakukan serangan ini, contohnya adalah module gratisan seperti Wireless LANJack dan AirJack. Hanya IDS yang mapan dan mampu memonitor 24 jam sehari sajalah yang mampu mendeteksi jenis serangan ini. Denial of Service (DoS) Aksi Denial of Service bisa menimbulkan downtime pada jaringan. Hal ini tentunya menakutkan bagi para director jaringan dan pengelola keamanannya. Nah, pada jaringan nirkabel, serangan ini bisa dating dari segala arah. Ada banyak program, seperti Wireless LANJack dan hunterkiller, yang mampu melakukan serangan DoS. Serangan tersebut bisa diarahkan pada sebuah komputer pengguna biasa supaya tidak bisa terkoneksi dengan jaringan, atau terkoneksi ke sebuah entrance point. Dengan cara ini, tak ada pengguna yang bisa menggunakan layanan jaringan Karena adanya kekacauan lalulintas data. Seorang penyusup mampu mengelabui Extensible Authentication Protocol (EAP) untuk melakukan serangan DoS terhadap suatu server, and melakukan flooding data. Dengan begitu, tidak ada satu joke pengguna yang bisa melakukan koneksi dengan layanan jaringan. Network Injection Ini adalah teknik DoS baru untuk menginjeksi sebuah jaringan nirkabel, atau sebuah entrance point-nya saja untuk bisa menguasai keseluruhan jaringan. Jika sebuah entrance indicate terhubung dengan jaringan yang tidak terfilter secara baik, maka penyusup akan bisa melakukan aksi boardcast – seperti travelling tree (802.1D), OSPF, RIP, dan HSRP. Dengan begitu, semua perangkat jaringan akan sibuk dan tidak mampu lagi bekerja sesuai dengan semestinya. Serangan routing (routing attack) juga termasuk dalam serangan dalam jenis ini. Seorang penyusup bisa menggunakan module seperti IRPAS untuk melakukan injeksi information pada refurbish routing di jaringan, mengubah gateway, atau menghapus list routing yang ada. Access indicate yang tidak terlindungi bisa membuka kesempatan serangan jenis ini. Ini adalah beberapa hal terpenting yang harus Anda lakukan demi keamanan Jaringan Wireless yang Anda miliki, minimal mengurangi tingkat kegiatan attaking :
1.      Ubah Password Default Access Point.
2.      Jika memungkinkan, ubah IP default. (beberapa merk Access Point biasanya sudah disertai fasilitas ini).
3.      Aktifkan metode enkripsi, gunakan enkripsi WPA dengan Pre Shared Key (WPA-PSK), dan berikan cue yang aman. Bisa juga memanfaat enkripsi WPA dengan Temporal Key Integrity Protokol).
4.      Matikan fungsi Broadcast SSID, sehingga SSID Anda tidak terdeksi pada proses War Driving.
5.      Lindunngi SSID, dengan cara : merubah nama SSID default dengan nama SSID yang tidak mudah ditebak.
6.      Gunakan MAC Address Filtering untuk mengurangi kegiatan penysupan
7.      Non Aktifkan DHCP, gunakan IP Static dengan nilai yang jarang diguakan.
8.      Gunakan Security tambahan seperti : CaptivePortal atau aplikasi lainnya yang di inject pada firmware Access Point.
9.      Access Point Monitoring around Client, ini adalah cara terbaru uuntuk melakukan determining terhadapa Access Point yang Anda miliki melalui client. Proses ‘IP Block’, ‘Client Resctriction’ dan tentang keamanan lainnya.

B.     Mendeteksi Penyusupan komputer
1.      Mendeteksi Penyusupan Jaringan Komputer Lewat DOS
Mungkin kita tidak sadar kalau kita main diwarnet bahwa ternyata ada yang sedang memantau kita baik itu adminya atau memang orang iseng yang mau mencuri informasi dari kita, maka dengan itu saya akan sedikit mencoba melihat atau mendetiksinya hanya denga dos command
   Ternyata di Dos ada fasiltas yang mungkin kita semua lupakan dan jarang digunakan perintah itu adalah NETSTAT . Windows menyediakan perintah ini untuk mendukung jaringan Netstat juga bisa digunakan untuk melihat ip-ip yang sedang terhubung ke computer kita. Untuk itu buka dos command caranya :
-Start>Run>command.exe [utk win 95/98]
- Start>Run>cmd.exe [utk win 2000/xp /nt]
lalu mucul deh command prompt
C:\winnt>netstat ?
 Displays protocol statistics and current TCP/IP network connections.
 NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
-a    Displays all connections and listening ports.
-e    Displays Ethernet statistics. This may be combined with the -s option.
-n    Displays addresses and port numbers in numerical form.
-p    proto Shows connections for the protocol specified by proto; proto may be TCP or UDP. If used with the -s option to display per-protocol statistics, proto may be TCP, UDP, or IP.
-r    Displays the routing table.
-s   Displays per-protocol statistics.  By default, statistics are shown for TCP, UDP and IP; the –p option may be used to specify a subset of the default.
Interval dedisplays selected statistics, pausing interval seconds between each display. Press CTRL+C to stop redisplaying statistics.  If omitted, netstat will print the current configuration information once.
Sekarang kita gunakan netstat untuk melihat koneksi yang terhubung gunakan-a


Kode:
C:\winnt>netstat -a
          Proto Local Address Foreign Address State
          TCP me:http me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:epmap me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:https me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:microsoft-ds me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1025 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1027 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1028 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1071 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1146 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1163 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1253 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1261 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1288 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1306 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1314 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:5101 me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:epmap 10.22.1.236:4504 TIME_WAIT
          TCP me:netbios-ssn me.ladomain.lintasarta.co.id:0 LISTENING
          TCP me:1071 LAJKTTS02:1080 ESTABLISHED
          TCP me:1288 IS~HRS:microsoft-ds ESTABLISHED
          TCP me:1306 GREENGUY:microsoft-ds ESTABLISHED
          UDP me:1134 *.*
sebelah nama pc itu adalah port yang digunakan untuk hubungan. Netstat diatas saya mengunakan komputer kantor yang mengunakan ip dhcp. Disini kita bisa melihat siapa-siapa aja yang terhubung dalam komputer kita atau dengan contoh yang lebih jelas ini .
Untuk lebih jelasnya aku akan coba menyusup ke komputer orang lain dengan menggunakan kaht2 :d dan aku udah dapat menyusup.
C:\WINDOWS\System32>netstat –a
Active Connections
 Proto Local Address Foreign Address State
   TCP khs_2003:epmap khs_2003:0 LISTENING
   TCP khs_2003:microsoft-ds khs_2003:0 LISTENING
   TCP khs_2003:1025 khs_2003:0 LISTENING
   TCP khs_2003:1063 khs_2003:0 LISTENING
   TCP khs_2003:1093 khs_2003:0 LISTENING
   TCP khs_2003:1136 khs_2003:0 LISTENING
   TCP khs_2003:1138 khs_2003:0 LISTENING
   TCP khs_2003:5000 khs_2003:0 LISTENING
   TCP khs_2003:43715 khs_2003:0 LISTENING
   TCP khs_2003:epmap 10.21.3.17:3628 TIME_WAIT    <——1
   TCP khs_2003:epmap 10.21.3.50:1686 FIN_WAIT_2   <——2
   TCP khs_2003:netbios-ssn khs_2003:0 LISTENING
   TCP khs_2003:1093 10.21.1.18:8080 CLOSE_WAIT
   TCP khs_2003:1136 10.21.1.18:8080 ESTABLISHED
   TCP khs_2003:1138 10.21.1.18:8080 ESTABLISHED
   TCP khs_2003:11196 khs_2003:0 LISTENING
   TCP khs_2003:43715 10.21.3.50:1687 ESTABLISHED     <——3
   UDP khs_2003:microsoft-ds *:*
   UDP khs_2003:isakmp *:*
   UDP khs_2003:1028 *:*
   UDP khs_2003:1035 *:*
   UDP khs_2003:ntp *:*
   UDP khs_2003:netbios-ns *:*
   UDP khs_2003:netbios-dgm *:*
   UDP khs_2003:1900 *:*
   UDP khs_2003:13715 *:*
   UDP khs_2003:61804 *:*
   UDP khs_2003:ntp *:*
   UDP khs_2003:1032 *:*
   UDP khs_2003:1036 *:*
   UDP khs_2003:1107 *:*
   UDP khs_2003:1134 *:*
   UDP khs_2003:1900 *:*
Komputer ini sedang di susupi oleh aku coba lihat port nya.pada angka 3 ada port yang dibuka kaht2 untuk menge sploit suatu komputer. Lalu bagaimana kita cara kita untuk mengetahui nama komputer yang sedang menyusup ke komputer kita . Gunakan nbtstat-a
C:\WINDOWS\System32>nbtstat -a [ip]
   C:\WINDOWS\Syetem32>nbtstat -a 10.21.3.50
   Jantung:
   Node IpAddress: [10.21.3.50] Scope Id: []
      NetBIOS Remote Machine Name Table
         Name Type Status
---------------------------------------------
      ME <00> UNIQUE Registered
      ME <20> UNIQUE Registered
      WORKGROUP <00> GROUP Registered
      WORKGROUP <1E> GROUP Registered
      ME <03> UNIQUE Registered
      INet~Services <1C> GROUP Registered
      IS~ME……….<00> UNIQUE Registered
MAC Address = 00-60-08-29-37-48
Coba lihat ternyata ip 10.21.3.50 nama pc nya adalah me dan dia join ke workgroup. Kita bisa buat kaget orang yang mengintip kita itu gunakan netsend fasiltas yang hanya ada pada win 2000/xp atau nt .
C:\winnt>net send [ip/nama pc] [pesan]
Sebetulnya masih ada lagi fasilitas2 dos yang bisa digunakan untuk iseng jadi tambah ngerti dan asyik bukan main-main di DOS command ,apalagi kalau main di warnet :d , ya udah  segitu aja tricknya semoga bermaanfaat.
2.      Mendeteksi penyusup pada jaringan computer lewat IDS
IDS dapat didefiniskan sebagi tool, metode atau sumber daya yang memberikan bantuan untuk melakukan identifikasi, memberikan laporan terhadap jaringan komputer. IDS tidak berdiri sendiri dalam melindungi sistem.
Firewall diilustrasikan sebagai suatu pintu (dinding) yang dikunci. Intrusion Detection System memberikan alarm ke sistem dan intrusion prevention sebagai anjing penjaga. Sebagai ilustrasi dari 3 komponen tersebut, jika suatu gudang yang dipenuhi oleh benda-benda berharga, gudang tersebut akan dijaga dnegan sangat ketat. Gudang tersebut dikelilingi oleh pagar yang tebal dan kuat dan dipasangi kamera pengintasi dan detektor gerak untuk mengamati aktivitas gedung , juga anjing penjaga yang selalu mengawasi kegiatan yang mencurigai. Jika ada penyusup yang mencoba masuk mereka kan menghadapi kendala untuk melumpuhkan dinding terlebih dahulu. Jika dinding telahberhasil dibuka maka kamera pengintai dan detector gerak akan memberitahu akan adanya penyusup sehingga akan diambil tindakan dan posisi siaga untuk emlindungi gudang. Anjing penjaa akan menghambat penyusup untuk masuk ke dalam gudang sehingga aktivitas dari penyusup bisa digagalkan.
Seperti ilustrasi di atas , dinding, kamera pengintai dan anjing penjaga mempunyai cara kerja yang berbeda untuk melindungi gudang. Begitu juga dengan firewall, IDS dan IPS memiliki fungsi masing-masing untuk melindungi suatu sistem jaringan komputer. Ketiga komponen tersebut mempunyai teknologi yang berbeda dan saling bekerjasama untuk melindungi system. Sekarang tergantung dari organisasi atau perusahaan, bagaimana memandang arti suatu keamanan dan bagaiamana mereka mengimplementasikan serta berapa harga yang berani mereka bayar untuk itu.
IDS dan IPS serta firewall merupakan metode untuk mendapatkan keamanan yang mendalam . Untuk mendapatkan pertahanan yang lebih mendalam dari suatu system diperlukan pendekatan lapisan keamanan untuk melindungi informasi yang ada dari gangguan luar maupun gangguan dari dalam system itu sendiri. Dengan lapisan ganda untuk keamanan dimana tiap-tiap lapisan mempunyai fungsi yang berbeda, secara umum hal ini mencakup keamanan secara menyeluruh.
IDS bekerja pada lapisan OSI Model /Layer.Berikut ini merupakan lapisan –lapisan yang terdapat pada jaringan OSI Layer:
- Application
- Presentation
- Session
- Transport
- Network
- Data link
- Physical
Ada beberapa alasan untuk menggunakan IDS:
a)      Mencegah resiko keamanan yang terus meningkat, karena banyak ditemukan kegiatan illegal yang diperbuat oleh orang-orang yang tidak bertanggung jawab dan hukuman yang diberikan atas kegiatan tersebut
b)      Mendeteksi serangan dan pelanggaran keamanan sistem jaringan yang tidak bisa dicegah oleh system yang umum dipakai seperti firewall
c)      Mendeteksi serangan awal
Penyerang yang akan menyerang suatu sistem biasanya melakukan langkah-langkah awal yang mudah diketahui. Langkah awal dari suatu serangan pada umumnya adalah dengan melakukan penyilidikan atau menguji system jaringan yang akan menjadi target untuk mendapatkan titik-titik dimana mereka akan bisa masuk.Sehingga disini IDS berfungsi memonitor kegiatan-kegiatan yang tidak lazim pada suatu jaringan sehingga langkah awal dari para penyerang bisa diketahui. Dengan demikian administrator bisa melakukan tindakan pencegahan dan bersiap atas kemungkinan yang akan terjadi.
1.      Mengamankan file yang keluar dari jaringan. Kebanyakan serangan yang terjadi pada awalnya berasal dari dalam jaringan itu sendiri, karena keteledoran para pemakai sehingga file-file yang akan dikirim ke jaringan eksternal tidak memenuhi policy yang ada
2.      Sebagai pengendali untuk security design dan administrator, teruatama bagi perusahaan yang besar
3.      Menyediakan informasi yang akurat terhadap gangguan secara langsung,meningkatkan diagnosis,recovery dan mengkoreksi factor-faktor penyebab serangan . Jika seandainya IDS tidak mampu menghalangi suatu serangan, IDS akan mengumpulkan informasi dari peristiwa, serangan dan jenis serangan yang terjadi sehingga upaya perbaikan sistem jaringan menjadi lebiah mudah dilakukan.
Apa yang bisa dilakukan IDS
a)      Memonitor akses database
Ketika mempertimbangkan pemilihan kandidat untuk menyimpan data, suatu perusahaan akan memilih database sebagai solusi untuk menyimpan data-data yang berharga. Jika data yang disimpan dalam database bisa diakses oleh orang-orang yang tidak berhak, maka akan terjadi bencana. Olehkarena itu database server selalu diletakkan pada posisi yang paling dalam dari suatu jaringan dan hanya bisa diakses oleh sumber daya internal
b)      Melindungi e-mail server
Jika berbicara tentang melindungi e-mail account, banyak user menggunakan software untuk melakukan scanning terhadap kemungkinan adanya virus.Program antivirus tidak sepenuhnya bisa mendeteksi malicious code. IDS juga berfungsi untuk mendeteksi virus email seperti QAZ, worm , NAVIDAD WORM dan versi terbaru dari explore ZIP
c)      Memonitor policy security
Security policy merupakan suatu aturan yang diberikan untuk melindungi suatu jaringan dari hal-hal yang tidak diinginkan. IDS juga bisa diatur untuk memonitor policy security. Jika ada pelanggaran terhadap policy securhty maka IDS akan memberitahu bahwa telah terjadi sesuatu yang tidak sesuai dengan aturan yang ada.
Pembagian jenis-jenis IDS yang ada pada saat sekarang ini didasarkan atas beberapa terminology, diantaranya:

1.      Arsitektur system
Dibedakan menurut komponen fungsional IDS, bagaimana diatur satu sama lainnya.
a)      Host-Target Co-Location
IDS yang dijalankan pada sistem yang akan dilindungi. Kelemahan dari sistem ini adalah jika penyusup berhasil memperoleh akses ke sistem maka penyusup dapat dengan mudah mematikan IDS tipe ini.
b)      Host-Target Separation
IDS diletakkan pada komputer yang berbeda dengan komputer yang akan dilindungi
c)      Strategi Pengendalian
IDS dibedakan menurut bagaimana IDS-IDS yang ada dikendalikan, baik input maupun outputnya. Jenis-jenis IDS menurut terminology ini adalah:
1.      Terpusat
Seluruh kendali Pada IDS, baik monitoring, deteksi dan pelaporanyya dikendalikan secara terpusat
2.      Terdistribusi parsial
Monitoring dan deteksi dikenadalikan dari node local dengan hierarki pelaporan pada satu atau beberapa pusat lokasi
3.      Terditribusi total
Monitoring dan deteksi menggunakan pendekatan berbasis agen, dimana keputusan respons dibuat pada kode analisis.
4.      Waktu
Waktu dalam hal ini berarti waktu dalam kejadian, baik monitoring maupun analisis. Jenis IDS menurut terminology ini adalah:
a)      Interval-based(batch mode): informasi dikumpulkan terlebih dahulu dan kemudian dievaluasi menurut interval waktu yang telah ditentukan
b)      Real time (continues):IDS memperoleh data secara terus menerus dan dapat mengetahui bahwa penyerangan sedang terjadi sehingga secara cepat dapat melakukan respons terhadap penyerangan.

Sumber Informasi
IDS ini dibedakan menurut sumber daya yang diperoleh . Terminologi ini sering digunakan untuk membagi jenis-jenis IDS. Jenis-jenis IDS menurut terminology ini diantaranya:
1.      Host-Based IDS : IDS memperoleh informasi dari sebuah sistem komputer. Host-based IDS memperoleh informasi dari data yang dihasilkan oleh sistem pada sebuah komputer yang diamati. Data host-based IDS biasanya berupa log yang dihasilkan dengan memonitor sistem file, event, dan keamanan pada windows NT dan syslog pada lingkungan sistem operasi UNIX
2.      Network-Based IDS : IDS memperoleh informasi dari paket-paket jaringan yang ada. Network based IDS menggunakan raw packet yang ada di jaringan sebagai sumber datanya.
3.  Cara menanggulangi system computer kita dari penyusup      
Di dunia jaringan terutama internet, keamanan merupakan salah satu hal yang cukup penting untuk diperhatikan oleh para administrator atau pengelola jaringan. Hal ini disebabkan semakin rawannya keamanan suatu jaringan yg bias disebabkan oleh bermacam-macam hal dari virus, trojan, exploit, serangan cracker sampai keteledoran dari pengelola jaringan sendiri dalam mengkonfigurasi sistem jaringannya karena terbatasnya pengetahuan yang dimilikinya. Oleh karena itu para pakar security jaringan mencoba melakukan berbagai penelitian untuk mendapatkan konsep keamanan jaringan dengan cara membuat model jaringan yang digunakan untuk mendeteksi adanya serangan terhadap jaringannya dengan cara meninggalkan sebuah pintu belakang (backdoor) yang terbuka dan berisi hal-hal yang menarik bagi penyerang tapi dengan meninggalkan jebakan dibaliknya sehingga begitu terkena jebakan yang dibuat, pengelola jaringan bisa segera melakukan tindakan terhadap penyerangnya tanpa membuat kerugian terhadap jaringan yang di kelolanya. Itulah konsep mengenai Honeypot yang sekarang ini banyak diimplementasikan oleh para pakar sekurity jaringan untuk melindungi jaringannya terhadap tamu tak diundang yang mencoba melakukan sesuatu hal yang merugikan terhadap jaringan yang dikelolanya. Honeypot merupakan suatu perangkat jaringan yang melakukan tugas seolah-olah perangkat jaringan umumnya yang telah dimodifikasi agar terkunci atau tidak terhubung pada lalulintas data pada jaringan, dan dirancang untuk menarik perhatian para penyusup untuk menyerang perangkat jaringan virtual tersebut tugasnya adalah untuk mengidentifikasi adanya serangan terhadap sistem jaringannya. Selain menidentifikasi Honeypot dapat dirancang untuk melakukan serangan balik kepada jaringan penyerangnya yaitu dengan cara menjalankan skrip otomatis yang bertugar menscan jaringan penyerangnya untuk kemudian menjalankan serangan sesuai dengan tipe vurnabilitynya bila diketahui terdapat lubang keamanan di jaringan tersebut.
Ada dua macam jenis Honeypot yaitu Honeypot Hardware berupa Server, Router atau Switch yang telah dimodifikasi yang sebagian fungsinya telah dinonaktifkan dan dibuat sedemikian rupa agar menarik perhatian attacker. Perangkat jaringan ini ditempatkan di dalam jaringan, tidak melakukan komunikasi dengan perangkat jaringan yang lain. Sistem operasi di perangkat ini di modifikasi sebagian fungsinya sehingga penyerang tidak bisa menguasai perangkat ini untuk menyerang perangkat jaringan yang sesungguhnya. Honeypot hardware dapat juga berupa sekumpulan perangkat jaringan yang membentuk jaringan sesungguhnya yang disebut Honeynet. Tujuan dibuat Honeynet adalah untuk mempelajari berbagai jenis serangan dari para penyusup untuk kemudian di publikasikan di internet agar para pengelola jaringan dapat mengetahui teknik-teknik yang dilakukan penyusup dalam melakukan serangan  terhadap sistem jaringan. Jenis Honeypot kedua adalah Honeypot berbasis software emulator yang telah dimodifikasi agar fungsinya mirip seperti tugas aplikasi sesungguhnya contohnya seperti Aplikasi Server HTTP, Email, FTP, Sistem Operasi dan lainnya yang dinonaktifkan sebagian fungsinya. Attacker hanya berkutat dengan software tersebut tanpa pernah berhasil menguasai hardware tempat honeypot berada jadi aplikasi tersebut telah diisolasi sehingga tidak berhubungan dengan aplikasi lain yang sesungguhnya berjalan.dalam jaringan tersebut.
Fungsi paling penting dari Honeypot untuk mengetahui jenis serangan dan sisi psikologis penyusup yang menyerangnya. Honeypot harus dibuat seolaholah menarik dan mudah untuk diserang, tetapi tidak terlalu mudah dalam melakukannya. Sehingga penyerang tidak cepat mengetahui bahwa yang diserangnya adalah sebuah Honeypot karena bila cepat ketahuan maka penyusup akan berusaha mencari server lainnya yang berada dalam jaringan tersebut untuk diserangnya.
Pada umumnya jenis serangan para penyusup mempunyai pola yang sama yaitu menetapkan target, melakukan scanning, mencari service/daemon yang berjalan dalam jaringan, mencari exploitnya, melakukan serangan, menguasai sistem untuk kemudian meninggakan backdoor untuk digunakan di lain waktu dengan cara membuka port lainnya atau memodifikasi kernel atau aplikasi yang berjalan dalam jaringan tersebut. Tidak semua Honeypot baik hardware atau software aman digunakan untuk menjebak tamu tak di undang bila di gunakan bersama dalam jaringan seseungguhnya. Penyusup berpengalaman dapat dengan mudah mengidentifikasi bahwa yang diserangnya merupakan honeypot sehingga ia akan menyerang server yang sesungguhnya dalam jaringan tersebut. Sehingga bila disuatu jaringan akan mengimplementasikan honeypot maka pastikan bahwa honeypot tersebut hanya menjalankan aplikasi honeypot tanpa lalu lintas data didalamnya. Honeypot tersebut tidak boleh berkomunikasi dengan perangkat lainnya dalam jaringan sehingga merupakan kotak yang terkunci. Lakukan pengamanan untuk perangkat jaringan yang sesungguhnya dengan tidak mengijinkan modifikasi kernel pada server dan memasang firewall hardware dan software yg tangguh dengan konfigurasi yang tepat. Pengamanan dapat juga dilakukan dengan cara mengkonfigurasi honeypot agar melakukan reboot ketika penyusup berusaha untuk mengubah konfigurasi, memasang backdoor ataupun mencompile ulang kernel.
Demikian sekelumit mengenai Honeypot yang merupakan salah satu konsep bagi administrator jaringan untuk mengamankan sistemnya dari serangan penyusup dan melakukan tindakan untuk melakukan serangan balik terhadap penyusup. Sehingga dengan adanya tulisan ini maka para newbie bias bertindak waspada bila ingin melakukan serangan terhadap suatu jaringan yang diketahui menarik dan mudah untuk di serang.
Status State
   ++ ESTABLISHED berarti komputer terhubung ke Foreign .
   ++ LISTENING koneksi komputer dalam keadaan standby .
   ++ TIME_WAIT komputer sedang menunggu suatu koneksi .
   ++ CLOSE_WAIT
   ++ FIND_WAIT

Tidak ada komentar:

Poskan Komentar