Latar
Belakang Masalah
Pada era global ini, keamanan sistem informasi berbasis Internet
harus
sangat diperhatikan, karena jaringan komputer Internet yang
sifatnya publik dan
global pada dasarnya tidak aman. Pada saat data terkirim dari suatu
terminal asal
menuju ke terminal tujuan dalam Internet, data itu akan melewati
sejumlah terminal
yang lain yang berarti akan memberi kesempatan pada user Internet
yang lain untuk
menyadap atau mengubah data tersebut.
Sistem keamanan jaringan komputer yang terhubung ke Internet harus
direncanakan dan dipahami dengan baik agar dapat melindungi sumber
daya yang
berada dalam jaringan tersebut secara efektif.
Berdasarkan uraian di atas, penulis tertarik untuk mempelajari cara
untuk
mengamankan suatu sistem dan jaringan komputer. Oleh karena itu,
pada proyek
akhir kuliah Keamanan Sistem Informasi (EC-5010) ini, penulis
mengambil bahan
mengenai keamanan jaringan internet.
Hping
Hping adalah sebuah TCP/IP assembler. Tidak seperti ping command
yang hanya
dapat mengirim ICMP echo request, hping juga dapat mengirim
paket TCP, UDP,
ICMP, dan RAW-IP protocols. Hping dapat digunakan untuk
berbagai macam
keperluan, yaitu:
• Mengetes firewall
• Port scanning
• Network testing, dengan menggunakan protokol yang
berbeda-beda
• Remote OS fingerprinting
• Remote uptime guessing
• TCP/IP stacks auditing
• Traceroute
• Manual path MTU discovering
Instalasi Hping
Program hping dapat diperoleh secara gratis dengan cara
mendownloadnya
pada situs www.hping.org
Nama file yang didapatkan adalah hping2.tar.gz. File
dalam bentuk ini tidak
dapat langsung diinstall, untuk dapat menginstalnya
file ini harus didecompreesed terlebih dahulu. Perintah yang digunakan untuk mendecompreesed file
tersebut
adalah gunzip, jadi untuk mendecompreesed file
hping2.tar.gz digunakan perintah
seperti berikut:
[root@localhost
root]#gunzip hping2.tar.gz
Setelah perintah tersebut diberikan maka file hping2.tar.gz akan
berubah
menjadi hping2.tar , bentuk file ini juga masih belum dapat
digunakan, untuk dapat
menggunakannya harus diketikkan perintah seperti berikut:
[root@localhost
root]#tar xvf hping2.tar
Setelah perintah tersebut diketikkan maka semua file (biasanya
dibuat dalam
satu folder, dalam hal ini folder hping2) sudah dapat diakses,
untuk menginstall
program hping, harus diketikkan perintah berikut pada folder
hping2:
[root@localhost
hping2]#./configure
[root@localhost
hping2]#make
[root@localhost
hping2]#make install
Apabila tidak bermasalah maka program hping sudah dapat dijalankan.
Protokol-protokol
Yang Dapat Digunakan
TCP adalah default protocol pada program hping, secara default
hping akan
mengirim TCP headers ke port 0 host target dengan
winsize 64 dan tanpa adanya
TCP flag yang on. Biasanya ini adalah cara yang
terbaik untuk melakukan hide ping,
dan sangat berguna ketika target dilindungi firewall yang
tidak memperbolehkan
ICMP untuk lewat dan juga dengan mengirim TCP nullflag ke
port 0 mempunyai
kemungkinan yang cukup besar untuk tidak tercatat pada target.
Selain protokol TCP,
protokol lainnya yang dapat digunakan untuk mengirim
paket ke target adalah sebagai berikut:
Ø AW IP
Pada mode ini hping akan mengirim paket IP yang sama seperti paket
yang
dikirimkan dari sebuah aplikasi, sehingga taget akan mengira bahwa
paket yang
dikirimkan adalah sebuah paket dari sebuah aplikasi.
Apabila diiginkan untuk mengirim paket IP ke target maka perintah
yang harus
diketikkan adalah sebagai berikut:
[root@localhost
hping2]#hping –0 [target host] [option]
Ø ICMP
Pada mode ini, secara default hping akan mengirim ICMP echo-request,
tetapi
kita dapat juga untuk megeset tipe-tipe ICMP yang lain denagn
menggunakan –
icmptype –icmpcode
Apabila diiginkan untuk mengirim paket ICMP ke target maka perintah
yang
harus diketikkan adalah sebagai berikut:
[root@localhost
hping2]#hping –1 [target host]
Ø UDP
Pada mode ini, secara default hping akan mengirim paket UDP ke port
0 target
host. UDP header dapat diatur dengan menggunakan –baseport ,
–destport, --
keep.
Apabila diiginkan untuk mengirim paket UDP ke target maka perintah
yang
harus diketikkan adalah sebagai berikut:
[root@localhost
hping2]#hping –2 [target host] [option]
Fungsi-fungsi
Hping
v Port Scanning
Dengan menscan port taget host, kita dapat mengetahui port-port
yang terbuka
pada target host. Untuk dapat menscan port target host, kita kirim
paket TCP dengan
flag SYN on ke target host yang ingin discan portnya. Apabila port
target membalas
dengan flag SA maka port tersebut terbuka sedangakan apabila port
target membalas
dengan flag RA maka port tersebut tertutup. Berikut ini adalah
contoh dari port
scanning :
[root@thomas
sbin]# hping 152.102.20.184 -S -p ++22
HPING 152.102.20.184 (eth0
152.102.20.184): S set, 40 headers + 0 data bytes
len=46 ip=152.102.20.184 ttl=128
id=56775 sport=22 flags=RA seq=0 win=0 rtt=0.5 ms
len=46 ip=152.102.20.184 ttl=128 DF
id=56776 sport=23 flags=SA seq=1 win=16616 rtt=0.6 ms
len=46 ip=152.102.20.184 ttl=128
id=56777 sport=24 flags=RA seq=2 win=0 rtt=0.5 ms
len=46 ip=152.102.20.184 ttl=128 DF
id=56778 sport=25 flags=SA seq=3 win=16616 rtt=0.5 ms
len=46 ip=152.102.20.184 ttl=128
id=56779 sport=26 flags=RA seq=4 win=0 rtt=0.5 ms
Dari hasil scanning dari alamat IP 152.102.20.184 dapat
terlihat bahwa port
23 dan port 25 terbuka, sedangkan port 22, 24, 26 tertutup.
ü Inverese Mapping
Inverse mapping dilakukan
untuk mengetahui host yang aktif atau tidak. Cara
untuk melakukan Inverse mapping adalah mengirimkan paket TCP
dengan mengeset
flag reset. Apabila tidak didapatkan respon maka dapat
disimpulkan bahwa host
tersebut aktif, tetapi apabila mendapat respon “ICMP host
unreachable” maka dapat
disimpulkan bahwa IP address tujuan tidaklah digunakan. Berikut ini
adalah contoh
dari inverse mapping:
[root@thomas
sbin]# hping 152.102.20.183 -R
HPING 152.102.20.183 (eth0
152.102.20.183): R set, 40 headers + 0 data bytes
ICMP Host Unreachable from
ip=152.102.20.183 name=UNKNOWN
ICMP Host Unreachable from
ip=152.102.20.183 name=UNKNOWN
ICMP Host Unreachable from
ip=152.102.20.183 name=UNKNOWN
ICMP Host Unreachable from
ip=152.102.20.183 name=UNKNOWN
ICMP Host Unreachable from
ip=152.102.20.183 name=UNKNOWN
Dari contoh di atas dapat disimpulkan bahwa host dengan IP
152.102.20.183
tidaklah aktif.
[root@thomas
sbin]# hping 152.102.20.184 -R
HPING 152.102.20.184 (eth0
152.102.20.184): R set, 40 headers + 0 data bytes
--- 152.102.20.184 hping statistic
---
4 packets tramitted, 0 packets
received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0
ms
Dari contoh di atas dapat disimpulkan bahwa host dengan IP
152.102.20.184
dalam keadaan aktif
ü IOS Exploit Test
Berikut ini contoh yang menunjukkan kelemahan pada IOS router (IOS
exploit). Hal
ini dilakukan dengan mengirimkan paket IP dengan ttl=0, ipproto =
53/55/77/103 , count=76, data=26. Berikut ini adalah perintah yang
dapat
menyebabkan interface router yang menjadi target tidak dapat
menerima inbound
packet(pada contoh
ini router memiliki alamat IP 10.7.7.3 sedangkan terminal yang
dipakai untuk “menyerang” router memiliki alamat IP 10.7.7.5):
[root@thomas sbin]# hping 10.7.7.3
--rawip --rand-source --ttl 0 --ipproto 55 --count 76 -
-interval u250 --data 26
HPING 10.7.7.3 (eth0 10.7.7.3): raw
IP mode set, 20 headers + 26 data bytes
--- 10.7.7.3 hping statistic ---
76 packets tramitted, 0 packets
received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0
ms
Arti argumen-argumen pada perintah di atas adalah:
F --rawip
Argumen ini berarti paket yang dikirim menggunakan protokol rawip
yang sudah dibahas pada bagian III.2.
F --rand-source
Argumen ini berguna merupakan kependekan dari random source yang
berguna agar router pada alamat IP 10.7.7.3 tidak mengetahui asal
dari
paket ini.
F --ttl 0
Argumen ini berarti time-to-live dari paket ini adalah 0, time-to-live
adalah
“umur” dari paket yang dikirim.
F --ipproto 55
Argumen ini berarti paket rawip yang dikirim menggunakan protokol
IP
55, protokol IP yang dapat digunakan untuk dapat melakukan
“serangan”
ini adalah 53, 77, 103.
F --count 76
Argumen ini berarti paket yang dikirim berjulah 76.
F --interval u250
Argumen ini berarti selang waktu antara paket satu dengan paket
berikutnya adalah 250 uS.
F --data 26
Argumen ini berarti dalam paket yang dikirim terdapat data sebesar
26
bytes yang berfungsi agar paket yang dikirim terlihat seolah-olah
seperti
data dari suatu program aplikasi.
Setelah paket tersebut dikirim, maka kita tidak dapat mengirimkan
paket ke
interface tersebut karena interface tersebut dalam keadaan blocking.
Berikut ini
adalah contoh yang menunjukkan bahwa interface yang dituju tidak
dapat menerima
paket yang ditujukkan padanya:
[root@thomas
sbin]# hping 10.7.7.3 --count 5
HPING 10.7.7.3 (eth0 10.7.7.3): NO
FLAGS are set, 40 headers + 0 data bytes
--- 10.7.7.3 hping statistic ---
5 packets tramitted, 0 packets
received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0
ms
Apabila kita melihat interface router yang diserang maka akan dapat
dilihat hasil
sebagai berikut:
Wg_ro_f#show interface ethernet0
Ethernet0 is up, line protocol is up
Hardware is AmdP2, address is
0050.500e.f1e0 (bia 0050.500e.f1e0)
Internet Address is 10.7.7.3 /24
MTU 1500 bytes, BW 10000 Kbit, DLY
1000 usec, rely 255/255, load 1/255
Encapsulation ARPA, loopback not
set, keepalive (10 sec)
ARP type: ARPA, ARP timeout 04:00:00
Last input 00:00:4, output 00:00:07,
output hang never
Last clearing of “show interface”
counters 00:07:18
Input queue:
76/75/1091/0(size/max/drops/flushes);total output drops:0
Pada bagian input queue terlihat bahwa interface ethernet0
tersebut dalam
keadaan blocked.
ü Iddle Scanning
Idle Scanning adalah
salah satu cara dalam scanning port dengan
menggunakan spofeed packet, dengan menggunakan cara ini maka
target host tidak
akan mengetahui alamat IP kita yang sebenarnya. Untuk dapat
melakukan Idle
Scanning dibutuhkan
sebuah host yang sering disebut sebagi silent host, selain host
yang men-scan dan host yang ingin di-scan.
Pertama-tama kita lihat IPID dari silent host,dengan
menggunakan perintah
(asumsi alamat dari silent host adalah 152.102.20.158)
[root@localhost
hping2]#hping 152.102.20.158–r
HPING 152.102.20.158 (eth0
152.102.20.158): no flags are set, 40 data bytes
60 bytes from 152.102.20.158:
flags=RA seq=0 ttl=64 id=41660 win=0 time=1.2 ms
60 bytes from 152.102.20.158:
flags=RA seq=1 ttl=64 id=+1 win=0 time=75 ms
60 bytes from 152.102.20.158:
flags=RA seq=2 ttl=64 id=+1 win=0 time=91 ms
60 bytes from 152.102.20.158:
flags=RA seq=3 ttl=64 id=+1 win=0 time=90 ms
60 bytes from 152.102.20.158:
flags=RA seq=4 ttl=64 id=+1 win=0 time=91 ms
60 bytes from 152.102.20.158:
flags=RA seq=5 ttl=64 id=+1 win=0 time=87 ms
Dapat dilihat bahwa IPID bertambah 1 secara teratur.
Setelah melihat IPID dari silent host, langkah selanjutnya
adalah mengirimkan
paket TCP dengan flag SYN ke port yang dituju pada host target
dengan
menggunakan IP dari silent host, apabila port yang dituju
pada host target terbuka
maka host target akan mengirimkan SYN|ACK ke silent host,
dan silent host akan
membalas paket kiriman ini dengan RST, maka IPID dari silent
host akan bertambah
menjadi +2.
60 bytes from 152.102.20.158:
flags=RA seq=17 ttl=64 id=+1 win=0 time=96 ms
60 bytes from 152.102.20.158:
flags=RA seq=18 ttl=64 id=+1 win=0 time=80 ms
60 bytes from 152.102.20.158:
flags=RA seq=19 ttl=64 id=+2 win=0 time=83 ms
60 bytes from 152.102.20.158:
flags=RA seq=20 ttl=64 id=+1 win=0 time=92 ms
Berarti port dari target host terbuka.
Tetapi apabila port yang dituju pada target host tertutup maka silent
hosts
akan menerima RST paket dari target host, dan silent host tidak
akan menjawab apaapa.
60 bytes from
152.102.20.158.:flags=RA seq=52 ttl=64 id=+1 win=0 time=85 ms
60 bytes from 152.102.20.158:
flags=RA seq=53 ttl=64 id=+1 win=0 time=83 ms
60 bytes from 152.102.20.158:
flags=RA seq=54 ttl=64 id=+1 win=0 time=93 ms
Nmap
Nmap (Network Mapper) adalah sebuah program open source yang
berguna
untuk mengesksplorasi jaringan. Nmap didesain untuk dapat melakukan
scan jaringan
yang besar, juga dapat digunakan untuk melakukan scan host
tunggal. Nmap
menggunakan paket IP untuk menentukan host-host yang aktif dalam
suatu jaringan,
port-port yang terbuka, sistem operasi yang dipunyai, tipe firewall
yang dipakai, dll.
Keunggulan-keunggulan yang dimiliki oleh Nmap:
Ø Powerful
Nmap dapat digunakan untuk men-scan jaringan yang besar
Ø Portable
Nmap dapat berjalan di berbagai macam sistem operasi seperti Linux,
Windows,
FreeBSD, OpenBSD, Solaris, dll
Ø Mudah untuk digunakan
Ø Free
Ø Mempunyai dokumentasi yang baik
v
Instalasi
Nmap
Program Nmap dapat diperoleh secara gratis dengan cara mendownloadnya
pada situs www.Nmap.org
Nama file yang didapatkan adalah Nmap-3.30.tar.gz. File dalam
bentuk ini
tidak dapat langsung diinstall, untuk dapat menginstalnya file ini
harus didecompreesed terlebih dahulu. Perintah yang digunakan untuk mendecompreesed
file tersebut adalah gunzip, jadi untuk mendecompreesed file
Nmap-3.30.tar.gz
digunakan perintah seperti berikut:
[root@localhost
root]#gunzip Nmap-3.30.tar.gz
Setelah perintah tersebut diberikan maka file Nmap-3.30.tar.gz akan
berubah
menjadi Nmap-3.30.tar , bentuk file ini juga masih belum dapat
digunakan, untuk
dapat menggunakannya harus diketikkan perintah seperti berikut:
[root@localhost
root]#tar xvf Nmap-
Setelah perintah tersebut diketikkan maka semua file (biasanya
dibuat dalam
satu folder, dalam hal ini folder Nmap-3.30) sudah dapat diakses,
untuk menginstall
program Nmap, harus diketikkan perintah berikut pada folder
Nmap-3.30:
[root@localhost
Nmap-3.30]#./configure
[root@localhost
Nmap-3.30]#make
[root@localhost
Nmap-3.30]#make install
Apabila tidak bermasalah maka program Nmap sudah dapat dijalankan.
v
Hal-hal
yang Dapat Dilakukan dengan Menggunakan Nmap
Fungsi utama dari Nmap adalah sebagai port scanning, menurut
definisinya
scanning adalah
kegiatan probe dalam jumlah yang besar dengan menggunakan tool
secara otomatis, dalam hal ini adalah Nmap.
Sebuah scanner sebenarnya adalah scanner untuk port TCP/IP, yaitu
sebuah
program yang menyerang port TCP/IP dan servis-servisnya (telnet,
ftp, http, dan lain-lain) dan mencatat respon dari komputer target. Dengan cara
ini, user program
scanner dapat memperoleh informasi yang berharga dari host yang
menjadi target.
Teknik-teknik yang dapat digunakan untuk men-scan port dari
host yang
dituju ada berbagai macam cara, yaitu:
F TCP connect() scanning ( -sT )
Adalah teknik yang paling dasar dalam TCP scanning, ddngan
menggunakan
teknik ini, scanning dilakukan setelah 3-way handshaking terjadi,
3-way
handshaking terjadi
setelah melewati proses-proses seperti berikut:
ü Paket SYN dikirimkan dari terminal yang ingin melakukan scanning
ke
terminal tujuan.
ü Paket SYN|ACK dikirmkan oleh terminal tujuan sebagai balasan dari
paket
SYN yang diterimanya.
ü Paket ACK dikirimkan oleh terminal yang ingin melakukan scanning
sebagai balasan dari paket SYN|ACK yang diterimanya.
Keunggulan dari teknik
adalah kecepatannya, teknik ini adalah teknik yang
tercepat untuk men-scan port pada Nmap.
Berikut adalah contoh dari TCP connect () scanning :
[root@thomas
nmap-3.30]# nmap 152.102.20.184 -sT
Starting nmap 3.30
Interesting ports on 152.102.20.184:
(The 1632 ports scanned but not
shown below are in state: closed)
Port State Service
23/tcp open telnet
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1032/tcp open iad3
1723/tcp open pptp
3372/tcp open msdtc
F TCP SYN scanning (-sS)
Teknik ini sering disebut sebagai half open scanning, karena
dengan teknik ini
tidak dibuka koneksi TCP secara utuh. Paket yang dikirimkan adalah
paket TCP
dengan flag SYN diset, apabila port pada target host aktif maka
paket dengan flag
SYN|ACK akan dikirimkan dari port target host. Setelah paket dengan
flag
SYN|ACK diterima, maka paket dengan flag RST akan dikirim untuk
memutuskan
koneksi. Keuntungan utama dari teknik ini adalah sedikitnya host
yang mencatat
aktivitas dari taknik scan seperti ini.
Berikut adalah contoh dari TCP SYN scanning :
[root@thomas
nmap-3.30]# nmap 152.102.20.184 -sS
Interesting ports on 152.102.20.184:
(The 1632 ports scanned but not
shown below are in state: closed)
Port State Service
23/tcp open telnet
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1032/tcp open iad3
Nmap run completed -- 1 IP address
(1 host up) scanned in 5.714 seconds
F TCP FIN scanning (-sF)
Adalah sebuah teknik untuk menscan port pada target host
dengan mengirimkan
paket TCP dengan flag FIN diset, apabila port yang dituju terbuka
maka paket ini
akan dibiarkan saja, sedangkan apabila port yang dituju tertutup
maka port ini
akan membalas paket RST.
Berikut adalah contoh dari TCP SYN scanning :
[root@localhost
Nmap-3.30]#Nmap 10.7.7.3 –sF
Starting nmap 3.30
Interesting ports on 152.102.20.184:
(The 1632 ports scanned but not
shown below are in state: closed)
Port State Service
23/tcp open telnet
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1032/tcp open iad3
1723/tcp open pptp
3372/tcp open msdtc
Nmap run completed -- 1 IP address
(1 host up) scanned in 5.714 seconds
Nmap juga dapat digunakan untuk mengetahui sistem operasi yang
dipakai
oleh target host dengan menggunakan perintah:
[root@thomas
nmap-3.30]# nmap 152.102.20.184 -O
Interesting ports on 152.102.20.184:
(The 1632 ports scanned but not
shown below are in state: closed)
Port State Service
23/tcp open telnet
25/tcp open smtp
80/tcp open http
135/tcp open loc-srv
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1032/tcp open iad3
1723/tcp open pptp
3372/tcp open msdtc
Device type: general purpose
Running: Microsoft Windows
95/98/ME|NT/2K/XP
OS details: Microsoft Windows
Millennium Edition (Me), Win 2000
profressional or Advanced Server, or
WinXP
Nmap juga dapat digunakan untuk melakukan scan lebih dari
satu host secara
bersamaan, berikut ini adalah contohnya:
[root@thomas
nmap-3.30]# nmap 152.102.20.157-158 -v -v -O
Host 152.102.20.157 appears to be up
... good.
Initiating SYN Stealth Scan against
152.102.20.157 at 08:35
Adding open port 135/tcp
Adding open port 445/tcp
Adding open port 80/tcp
Adding open port 139/tcp
Adding open port 1029/tcp
Adding open port 1026/tcp
Adding open port 21/tcp
Adding open port 3372/tcp
Adding open port 443/tcp
Adding open port 1025/tcp
For OSScan assuming that port 21 is
open and port 1 is closed and neither are
firewalled
Interesting ports on 152.102.20.157:
(The 1634 ports scanned but not
shown below are in state: closed)
Port State Service
21/tcp open ftp
80/tcp open http
135/tcp open loc-srv
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1029/tcp open ms-lsa
3372/tcp open msdtc
Device type: general purpose
Running: Microsoft Windows
95/98/ME|NT/2K/XP
OS details: Microsoft Windows
Millennium Edition (Me), Win 2000 profressional or
Advanced Server, or WinXP
OS Fingerprint:
(None)
TCP Sequence Prediction:
Class=random positive increments
Difficulty=14018 (Worthy challenge)
TCP ISN Seq. Numbers: 971BEF00
971D151E 971E5401 971F505D 97207012 97220E7C
IPID Sequence Generation:
Incremental
Host 152.102.20.158 appears to be up
... good.
Initiating SYN Stealth Scan against
152.102.20.158 at 08:35
Adding open port 135/tcp
Adding open port 445/tcp
Adding open port 80/tcp
Adding open port 139/tcp
Adding open port 1029/tcp
Adding open port 25/tcp
Adding open port 119/tcp
Adding open port 1026/tcp
Adding open port 21/tcp
Adding open port 3372/tcp
Adding open port 563/tcp
The SYN Stealth Scan took 0 seconds
to scan 1644 ports.
For OSScan assuming that port 21 is
open and port 1 is closed and neither are
firewalled
Interesting ports on 152.102.20.158:
(The 1631 ports scanned but not
shown below are in state: closed)
Port State Service
21/tcp open ftp
25/tcp open smtp
80/tcp open http
119/tcp open nntp
135/tcp open loc-srv
139/tcp open netbios-ssn
443/tcp open https
445/tcp open microsoft-ds
563/tcp open snews
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1029/tcp open ms-lsa
3372/tcp open msdtc
Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows
Millennium Edition (Me), Win 2000 profressional or
Advanced Server, or WinXP
OS Fingerprint:
(None)
TCP Sequence Prediction:
Class=random positive increments
Difficulty=15858 (Worthy challenge)
TCP ISN Seq. Numbers: D40BCE8B
D40CC35F D40DAE22 D40EF206 D40FF391 D41182B7
IPID Sequence Generation:
Incremental
Nmap run completed -- 2 IP addresses
(2 hosts up) scanned in 12.992 seconds
Nessus
Nessus adalah sebuah program yang berfungsi sebagai security
scanner yang akan
mengaudit jaringan yang dituju lalu menentukan kelemahan-kelemahan
dari jaringan
yang dituju.
Berikut ini adalah fitur-fitur yang dimiliki oleh Nessus:
Ø Plug-in architecture
Setiap security test ditulis sebagai external plugin.
Dengan fitur seperti ini, kita
dapat dengan mudah menambah tes yang kita inginkan tanpa harus
membaca
kode dari nessusd engine.
Ø NASL (Nessus Attack Scrpiting Language)
NASL adalah sebuah bahasa yang didesain untuk menulis program security
test
dengan mudah dan cepat. Selain dengan NASL, bahasa C juga dapat
digunakan
untuk menulils program security test.
Ø Up-to-date security vulnerability database.
Ø Client-sever
architectureNessus security scanner
terdiri dari dua bagian yaitu: sebuah server yang
berfungsi sebagai pelaku serangan, dan sebuah client yang berfungsi
sebagai
frontend.
Client dan server dapat berjalan pada sistem yang berbeda. Arti dari
fitur ini adalah bahwa keseluruhan jaringan dapat diaudit melalui
sebuah PC,
dengan server yang melakukan serangan ke jaringan yang dituju.
F Dapat mengetes jumlah host yang banyak dalam waktu yang sama.
F Smart service recognation.
Nessus tidak mempercayai host yang dituju menggunakan port standar
yang
ditentukan oleh IANA. Ini berarti Nessus dapat mengenali sebuah Web
server
yang berjalan pada port yang bukan merupakan port standar
(contohnya pada port
8080), atau sebuah FTP server yang berjalan pada port 31337.
F Multiple Services
Apabila ada dua buah Web server pada host yang dituju maka
Nessus akan
mengetes kedua Web server tersebut.
F Complete reports.
Nessus tidak hanya memberi tahu kelemahan dari jaringan yang dituju
tetapi juga
memberikan cara yang dapat digunakan untuk mencegah the bad guy utnuk
mengeksploitasi kelemahan dari jaringan dan juga memberikan level
resiko dari
setiap masalah yang ditemukan.
F Exportable reports.
Unix client dapat mengekspor laporan sebagai Ascii text, HTML,
LaTeX, dll.
Instalasi
Nessus
Program Nessus dapat didownload pada situs www.nessus.org. Untuk
menginstal Nessus pada Linux, dibutuhkan file-file seperti berikut:
• nessus-libraries-2.0.tar.gz
• libnasl-2.0.tar.gz
• nessus-core.2.0.tar.gz
• nessus-plugins.2.0.tar.gz
Langkah-langkah yang dibutuhkan untuk menginstal file-file di atas
adalah
sama, sebagai contoh akan diberikan cara untuk menginstal
nessus-libraries:
[root@localhost
Nessus-libraries-2.0]#./configure
[root@localhost
Nessus-libraries-2.0]#make
[root@localhost
Nessus-libraries-2.0]#make install
Untuk menginstall libnasl, nessus-core, nessus-plugins dilakukan
dengan
langkah-langkah yang sama dengan langkah-langkah untuk menginstal
nessuslibraries.
Setelah Nessus berhasil diinstal, maka akan muncul tulisan seperti
berikut:
Congratulations ! Nessus
is now installed on this host
. Create a nessusd
certificate using /usr/local/sbin/nessus-mkcert
. Add a nessusd user use
/usr/local/sbin/nessus-adduser
. Start the Nessus
daemon (nessusd) use /usr/local/sbin/nessusd -D
. Start the Nessus
client (nessus) use /usr/local/bin/nessus
. To uninstall Nessus,
use /usr/local/sbin/uninstall-nessus
. Remember to invoke
'nessus-update-plugins' periodically to update
your
list of plugins
. A step by step demo of
Nessus is available at :
4.3.2.Hasil Scan Dengan Menggunakan Nessus
Nessus adalah sebuah program yang berfungsi sebagai security scanner,
pada
bagian ini akan diperlihatkan hasil scan dari Nessus.
Berikut ini adalah hasil scan dari host 152.102.20.5,
dapat dilihat pada host ini
tidak terdapat vulnerability.
Nessus Scan Report
This report gives details on hosts that were tested and
issues that were found. Please follow the
recommended steps and procedures to eradicate these
threats.
Scan Details
Hosts which where alive and responding
during test 1
Number of security holes found 0
Number of security warnings found 0
Host List
Host(s) Possible Issue
152.102.20.5 No noticeable information
found
[ return to top ]
Analysis of Host
Address of
Host Port/Service Issue regarding
Port
152.102.20.5 telnet (23/tcp) No Information
152.102.20.5 h323hostcall (1720/tcp) No Information
Security Issues and Fixes: 152.102.20.5
Type Port Issue and Fix
This file was generated by Nessus, the open-sourced security scanner.
Berikut ini akan diperlihatkan sebuah contoh dari host, yaitu host
dengan IP
152.102.20.184, yang memiliki vulnerabiliity pada port 80:
Security Issues and Fixes: 152.102.20.184
Type Port Issue and Fix
Vulnerability http (80/tcp)
The remote host has FrontPage Server Extensions (FPSE)
installed.
There is a denial of service / buffer overflow
condition
in the program 'shtml.exe' which comes with it.
However,
no public detail has been given regarding this issue
yet,
so it's not possible to remotely determine if you are
vulnerable to this flaw or not.
If you are, an attacker may use it to crash your web
server
(FPSE 2000) or execute arbitrary code (FPSE 2002).
Please
see the Microsoft Security Bulletin MS02-053 to
determine
if you are vulnerable or not.
*** Nessus did not actually check for this flaw, so
this
*** might be a false positive
Solution : See http://www.microsoft.com/technet/security/bulletin/ms02-053.asp
Risk factor : High
CVE : CAN-2002-0692
BID : 5804
Nessus ID : 11311
Vulnerability http (80/tcp) The remote frontpage server may leak information on
the anonymous user
By knowing the name of the anonymous user, more
sophisticated attacks may be
launched
Check the following data for any potential leaks:
method=open service:3.0.2.1105
- status=917505
- osstatus=0
- msg=The user 'IUSR_TP1' is not authorized to
execute the 'open service' method.
- osmsg=
1
CVE : CAN-2000-0114
Nessus ID : 10077
Vulnerability http (80/tcp)
The IIS server appears to have the .HTR HSAPI filter
mapped.
At least one remote vulnerability has been discovered
for the .HTR
filter. This is detailed in Microsoft Advisory
MS02-018, and gives remote SYSTEM level access to the
web server.
It is recommended that even if you have patched this
vulnerability that
you unmap the .HTR extension, and any other unused
ISAPI extensions
if they are not required for the operation of your
site.
Solution :
To unmap the .HTR extension:
1.Open Internet Services Manager.
2.Right-click the Web server choose Properties from the
context menu.
3.Master Properties
4.Select WWW Service -> Edit -> HomeDirectory
-> Configuration
and remove the reference to .htr from the list.
Risk factor : High
CVE : CVE-2002-0071
BID : 4474
Nessus ID : 10932
Vulnerability http (80/tcp)
The remote WebDAV server may be vulnerable to a buffer
overflow when
it receives a too long request.
An attacker may use this flaw to execute arbitrary code
within the
LocalSystem security context.
*** As safe checks are enabled, Nessus did not actually
test for this
*** flaw, so this might be a false positive
Solution : See http://www.microsoft.com/technet/security/bulletin/ms03-007.asp
Risk Factor : High
CVE : CAN-2004-0109
BID : 7116
Nessus ID : 11412
Vulnerability http (80/tcp)
The IIS server appears to have the .SHTML ISAPI filter
mapped.
At least one remote vulnerability has been discovered
for the
.SHTML filter. This is detailed in Microsoft Advisory
MS02-018
and results in a denial of service access to the web
server.
It is recommended that even if you have patched this
vulnerability that
you unmap the .SHTML extension, and any other unused
ISAPI extensions
if they are not required for the operation of your
site.
An attacker may use this flaw to prevent the remote
service
from working properly.
*** Nessus reports this vulnerability using only
*** information that was gatherered. Use caution
*** when testing without safe checks enabled
Solution: See
http://www.microsoft.com/technet/security/bulletin/ms02-018.asp
and/or unmap the shtml/shtm isapi filters.
To unmap the .shtml extension:
1.Open Internet Services Manager.
2.Right-click the Web server choose Properties from the
context menu.
3.Master Properties
4.Select WWW Service -> Edit -> HomeDirectory
-> Configuration
and remove the reference to .shtml/shtm and sht from
the list.
Risk factor : Medium
CVE : CAN-1999-1376, CVE-2000-0226, CVE-2002-0072
BID : 4479
Nessus ID : 10937
(Tampilan di atas ini hanya sebagian dari keseluruhan
hasil report Nessus pada host 152.102.20.184,
hasil lengkapnya dapat dilihat pada bagian lampiran)
Penjelasan dari hasil report mengenai vulnerability di
atas akan diuraikan di
bawah ini:
a. Host dengan IP152.102.20.184 memiliki Front Page Server
Extension (FPS) yang
terinstal di dalamnya, yang dapat menyebabkan denial of
service(DOS)/buffer
overflow di
dalam program shtml.exe
b Frontpage server pada host dengan IP 152.102.20.184 sangat
mungkin untuk
membocorkan informasi pada anonymous user, yang dapat
menyebabkan serangan
yang membahayakan host.
c. IIS server pada host dengan IP 152.102.20.184 mempunyai
.HTR ISAPI filter
mapped. Sedikitnya
ada sebuah vulnerability yang disebabkan oleh .HTR filter.
Hal ini dapat diatasi dengan cara melakukan unmap pada extension
pada .HTR.
Server ini juga
mungkin mempunyai .SHTML ISAPI filter mapped. Sama seperti .HTR,
sedikitnya ada sebuah vulnerability yang disebabkan oleh .SHTML
filter.
d. WebDAV server mungkin mempunyai vulnerability ketika
menerima request yang
terlalu panjang.
4.4.Ethereal
Ethereal adalah sebuah network protocol analyzer yang dapat
didapatkan
secara gratis. Ethereal dapat berjalan pada sistem operasi Linux
dan Window.
Ethereal memberikan ringkasan dan informasi yang mendetail mengenai
paket yang
“ditangkap”.
Berikut ini adalah fitur-fitur yang dimiliki oleh Ethereal-0.9.14:
• Data dapat langsung ditangkap dari koneksi jaringan secara
langsung.
• Ethereal dapat membaca file-file yang ditangkap oleh tcpdump,
NAI’s Sniffer,
Sniffer Pro, Sunsnoop, atmsnoop, dll.
• Data langsung dapat dibaca dari Ethernet, FDDI , PPP, Token Ring,
IEEE 802.11,
classical IP over ATM, dan loopback
interface.
• Data yang ditangkap dapat dilihat secara grafis.
• 393 protocol dapat dikenali oleh Ethereal.
• Output dapat disimpan atau diprint sebagai plain text atau
sebagai PostScript.
4.4.1. Hasil Capture dari Ethereal
Seperti yang telah disebutkan di atas bahwa ethereal berfungsi
untuk
menangkap paket data langsung dari jaringan, dan juga memberikan
informasi
mengenai paket data yang ditangkap. Berikut ini akan diperlihatkan
hasil capture dari
ethereal.
Pada tampilan di atas dapat dilihat bahwa dengan menggunakan
ethereal dapat
diketahui password yang dalam contoh ini untuk mendapatkan akses
mengadakan
FTP session dengan 152.102.20.157.
Dari contoh di bawah ini dapat dilihat bahwa host 152.102.20.189
sedang
melakukan scanning terhadap host 152.102.20.158.
Dari hasil-hasil capture di atas dapat terlihat bahwa output
dari ethereal
terbagi atas tiga bagian, yaitu:
• Bagian pertama menampilkan keseluruhan paket data yang ditangkap
oleh
ethereal, bagian ini memberikan informasi mengenai waktu
ditangkapnya paket
data oleh ethereal setelah program ethereal dijalankan, asal paket
data berasal,
tujuan dari paket data, protokol yang dipergunakan, dan memberikan
informasi
paket data yang ditanglap secara umum.
• Bagian kedua menampilkan informasi dari paket data secara lebih
mendetail.
• Bagian ketiga menampilkan nilai heksa dari paket data yang
ditangkap.
Nama : Dian Sinta Agustin
Nim : 1100631013
Jurusan : Manajemen Informatika
Tidak ada komentar:
Posting Komentar
Catatan: Hanya anggota dari blog ini yang dapat mengirim komentar.