EVALUASI SISTEM KEAMANAN INFORMASI

Pentingnya Evaluasi
– Lubang keamanan diketemukan hampir setiap hari.
– Kesalahan konfigurasi bisa terjadi.
– Penambahan perangkat baru yang mengubah konfigurasi yang sudah ada.

Sumber Lubang Keamanan
– Disain kurang baik
– TCP/IP sequence numbering, IP spoofing
– Algoritma enkripsi yang lemah
– Implementasi kurang baik
– Implementasi terburu-buru
– Bad programming, out-of-bound array
– sloppy programming
– Kesalahan konfigurasi
– Berkas yang esensial menjadi writeable for all. Contoh: berkas password, aliases, log.
– Default account masih aktif
– False sense of security
– Kesalahan menggunakan program.
– rm -rf /
– del *,*

Penguji Keamanan Sistem
– Automated tools berbasis informasi tentang security hole
– Crack: memecahkan password
– Tripwire: integritas berkas dan direktori
– Satan/Saint: Menguji keamanan sistem melalui Web
– Cops

Probing Services
– Melihat servis yang diberikan oleh sebuah server
– Servis diberikan melalui TCP atau UDP dengan port tertentu.
– telnet, port 23
– SMTP, port 25
– HTTP/WWW, port 80
– POP, port 110
– Menguji secara manual lewat telnet
– Menguji SMTP: telnet localhost 25

Mendeteksi Probling
�� Untuk mendeteksi adanya probing ke sistem informasi
dapat dipasang suatu program yang memonitornya.
Probing biasanya meninggalkan jejak di berkas log di
sistem. Dengan mengamati entry di dalam berkas log
dapat diketahui adanya probing.
Contoh : root# tail /var/log/syslog
May 16 15:40:42 epson tcplogd: “Syn probe”
notebook[192.168.1.4]:[8422]-
epson[192.168.1.2]:[635]
Dari contoh diatas diketahui IP : 192.168.1.4
melakukan probing
Program Probe lain : courtney, portsentry dan tcplogd.
OS Finger Printing
Mengetahui operating system (OS) dari target yang akan diserang merupakan salah satu pekerjaan pertama yang dilakukan oleh seorang cracker. Setelah mengetahui OS yang dituju, dia dapat melihat database kelemahan sistem yang dituju. Fingerprinting merupakan istilah yang umum digunakan untuk menganalisa OS sistem yang dituju. Beberapa cara konvensional antara lain : telnet, ftp, netcat, dll.

Jika server tersebut kebetulan menyediakan suatu servis, seringkali ada banner yang menunjukkan nama OS beserta versinya. Misalkan dilakukan dengan telnet dengan port tertentu, atau dapat juga menggunakan program tertentu.
Cara fingerprinting yang lebih canggih adalah dengan menganalisa respon sistem terhadap permintaan (request) tertentu. Misalnya dengan menganalisa nomor urut packet TCP/IP yang dikeluarkan oleh server tersebut dapat dipersempit ruang jenis dari OS yang digunakan.
Ada beberapa tools untuk melakukan deteksi OS ini antara lain: nmap, dan queso
Penggunaan Program Penyerang

Salah satu cara untuk mengetahui kelemahan sistem informasi anda adalah dengan menyerang diri sendiri dengan paket-paket program penyerang (attack) yang dapat diperoleh di Internet.

�� Internet Security Scanner (ISS) atau Security Analysis Tool for Auditing (SATAN)
program ini akan menginformasikan kelemahan dari sistem yang dituju dan
dapat melakukan scanning seluruh domain atau sub network.

�� TCP Wrapper untuk memonitor jaringan komputer
�� Crack untuk melakukan testing password security.
�� IP Scanner, IP Sniper, Network Analyzer DLL

Selain program penyerang yang sifatnya agresif
melumpuhkan sistem yang dituju, ada juga program
penyerang yang sifatnya melakukan pencurian
atau penyadapan data. Untuk penyadapan data,
biasanya dikenal dengan istilah “sniffer”.

Contoh program penyadap (sniffer) antara lain:
• pcapture (Unix)
• sniffit (Unix)
• tcpdump (Unix)
• WebXRay (Windows)

Penggunaan Sistem Pemantau Jaringan
Sistem pemantau jaringan (network monitoring) dapat digunakan untuk mengetahui adanya lubang keamaman. Misalnya apabila anda memiliki sebuah server yang semestinya hanya dapat diakses oleh orang dari dalam, akan tetapi dari pemantau jaringan dapat terlihat bahwa ada yang mencoba mengakses melalui tempat lain. Selain itu dengan pemantau jaringan dapat juga dilihat usaha-usaha untuk melumpuhkan sistem dengan melalui denial of service attack (DoS) dengan mengirimkan packet yang jumlahnya berlebihan. Network monitoring biasanya dilakukan dengan menggunakan protokol SNMP (Simple Network Management Protocol).

Program network monitoring / management :
~ Etherboy (Windows), Etherman (Unix)
~ HP Openview (Windows)
~ Packetboy (Windows), Packetman (Unix)
~ SNMP Collector (Windows)
~ Webboy (Windows)

Program pemantau jaringan yang tidak menggunakan SNMP :
• iplog, icmplog, updlog, yang merupakan bagian dari paket iplog untuk memantau paket
IP, ICMP, UDP.
• iptraf, sudah termasuk dalam paket Linux Debian netdiag
• netwatch, sudah termasuk dalam paket Linux Debian netdiag
• ntop, memantau jaringan seperti program top yang memantau proses di sistem Unix
• trafshow, menunjukkan traffic antar hosts dalam bentuk text-mode
pemantau Adanya Serangan

��Sistem pemantau (monitoring system) digunakan untuk
mengetahui adanya tamu tak diundang (intruder) atau
adanya serangan (attack). Nama lain dari sistem ini
adalah “intruder detection system” (IDS). Sistem ini dapat
memberitahu administrator melalui e-mail maupun
melalui mekanisme lain seperti melalui pager.

Contoh software IDS antara lain:
• Autobuse, mendeteksi probing dengan memonitor logfile.
• Courtney dan portsentry, mendeteksi probing (port scanning)
dengan memonitor packet yang lalu lalang. Portsentry bahkan
dapat memasukkan IP penyerang dalam filter tcpwrapper
(langsung dimasukkan kedalam berkas /etc/hosts.deny)
• Shadow dari SANS
• Snort, mendeteksi pola (pattern) pada paket yang lewat dan
mengirimkan alert jika pola tersebut terdeteksi.

Honeypot
Honeypot merupakan sumber sistem informasi yang bersifat terbuka (opensif) yang memfocuskan pada proses pemgumpulan informasi tentang aktifitas ilegal si Attacker yang mencoba menyusup dan mengeksplorasi authorisasi system komputer (server).Dengan Honyepot kita bisa mengetahui tingkah laku si Attacker diantaranya : port yang diserang, perintah2 yang dipergunakan, dan jenis aktifitas lainnya yang bisa direkam.Honeypot akan melindungi server asli yang kita miliki… krn kita mendirikan server palsu yang tanpa disadari sebenarnya si Attacker sedang menyerang sistem yang bukan sebenarnya… sehingga terperangkap.
Apa sih tujuan dari Honeypot ?
.Pendeteksian Dini (Early Detection).Metode inilah yang akan memberitahukan & mengingatkan kita pada serangan-serangan terhadap system server oleh orang-orang yang tidak memiliki otoritas.
. Pendeteksian Ancaman Baru (New Threat Detection)Metode ini merupakan medote yang digunakan utk mengathui ancaman2 baru beserta teknik2 penyerangan baru yang digunakan oleh si Attacker dalam usaha untuk mendapatkan ‘Escalating Priviledge’.
. Mengenel Si Attacker (Know Your Enemy)Metode yang digunakan untuk mengetahui siapa si Attacker sesungguhnya, apa yang dikerjakan oleh Attacker juga metode serta teknik yang dipergunakan.
. Menyelamatkan System (Safe The System)Metode yang digunakan utk menjebak si Attacker sehingga Attacker berusaha tetap melakukan tindakan hanya pada Honeypot system sehingga server asli tetap dalam kondisi yang aman (– not 100% secure)
. Mengacaukan Pola Fikir Attacker (Make a crodit Attacker Logic)Meteode yang membuat pola fikir Attacker menjadi bingung dalam menghapi pola system network yang tidak sebenarnya.
. Membagun Pertahanan (Building System Defense)Honeypot yang dibangun akan memberikan pertahanan yang lebih bagus dikarenakan si Attacker tidak akan langsung melakukan penyerangan terhadap server sesungguhnya.
. Mencegah Proses Hacking (Hacking Process Prevention)System pertahanan yang kita tanam dan kita bangun akan mengurangi serangan terhadapat proses hacking.

Hal-hal yang terdapat di dalam Honeypot :
. Network Devices HardwareUntuk mendirikan honeypot berati kita juga membutuhkan perangkat jaringan komputer.
. Monitoring or Logging ToolsHoneypot yang kita dirikan dapat memonitor secara langsung aktifitas si Attacker
. Alerting MechanismHoneypot dapat memberikan layanan messanger utk administrator apabila terdapat serangan2.
. KeyStroke LoggerHoneypot dapat memberikan informasi tentang apa saja yang dilakukan oleh Attacker termasuk ketikan2 dari papan keyboard si Attacker.
. Packet AnalyzerHoneypot dapat memberikan informasi ttg packet data yang diberikan oleh Attacker ke system honeypot server
. Forensic ToolsHoneypot dapat memberikan informasi ttg System forensic yang digunakan Attacker terhdapa system.
Dimana Honeypot ditempatkan ?. Penempatan secara langsung dengan menghadapkan honeypot dengan internet tanpa adanya firewall.
. Penempatan secara tidak langsung, dimana honeypot berada diantara firewall dan koneksi internet.
. Penempatan honeypot pada DMZ.