Keamanan Mail Server


Proses pengiriman Email memanfaatkan protokol SMTP (Simple Mail Transport Protocol – bekerja di port 25) atau UUCP. Protokol SMTP hanya bekerja untuk berkomunikasi dengan server mail remote, tidak untuk server lokal.

Sedangkan pengguna Email dapat membaca e-mailnya menggunakan protokol POP. Setiap pengguna memiliki ‘mailbox’ pada mail server tempat mail yang ditujukan kepada pengguna tersebut disimpan.

mailserver

Continue reading

Advertisements

Keamanan Web Server


WEB HACKING

World Wide Web merupakan bagian dari Internet yang paling populer, sehingga serangan paling banyak terjadi lewat port 80 atau yang dikenal sebagai Web hacking, berupa :
1. Deface situs
2. SQL injection
3. Memanfaatkan kelemahan scripting maupun HTML form.

Deface
Deface adalah suatu aktivitas mengubah halaman depan atau isi suatu situs Web sehingga tampilan atau isinya sesuai dengan yang anda kehendaki.
Deface banyak terjadi pada situs e-commerce web yang menggunakan Microsoft IIS. Ini dikarenakan adanya bug pada IIS yang dikenal sebagai unicode bug. Dengan adanya bug ini seseorang dapat mengakses command line shell cmd.exe pada server keluarga Windows NT.

Teknik-teknik Deface Situs Web
Secara garis besarnya deface ini dapat dilakukan dengan 3 cara yaitu :

  1. Secara umum, Memasukkan Input Illegal Tujuan adalah agar user terlempar keluar dari direktori file-file web server dan masuk ke root directory untuk kemudian menjalankan cmd.exe dan mengamati struktur direktori pada NT server sasaran.
  2. Dengan TFTP (Trivial File Transfer Protocol) adalah protokol berbasis UDP yang listen pada port 69 dan sangat rawan keamanannya dan kebanyakan web server menjalankan servis TFTP ini.
  3. Dengan FTP dengan Web yang telah diisi bahan deface. Setiap NT server memiliki file ftp.exe untuk melakukan FTP upload ataupun FTP download (dari dan ke sever itu).

Continue reading

Trojan


Seperti halnya virus, jumlah trojan yang semakin lama semakin bertambah banyak, karena hacker atau pembuat program Trojan (programmer) yang selalu bereksperimen untuk mengembangkannya. Trojan tidak mempunyai masa aktif, maksudnya Trojan akan ada selamanya (bersarang) dan tidak pernah akan habis. Programmer akan selalu bereksperimen untuk menciptakan Trojan yang unik dengan fungsi-fungsi baru dengan metode enkripsi yang lebih hebat. Secara teknis, Trojan dapat muncul di mana saja dan kapan saja, di sistem operasi manapun dan berbagai platform. Kecepatan peredaran Trojan secepat virus. Secara umum Trojan berasal dari program-program yang di download dari Internet, terutama freeware atau shareware yang mencurigakan dan tidak berasal dari situs aslinya, Salah satu indikasi komputer yang terinfeksi oleh Trojan dapat digambarkan sebagai berikut. Pada saat komputer terhubung dengan Internet, misalnya saat mengobrol (chating) atau memeriksa e-mail, tetapi hardisk bekerja dengan sibuk (busy) dalam waktu yang lama. Selain itu pemakai juga tidak sedang menjalankan program aplikasi besar atau men-download sesuatu yang mengharuskan piringan hardisk berputar cukup lama. Kejadian tersebut termasuk kejadian aneh yang patut dicurigai adanya penyusupan.

Definisi Trojan

Continue reading

PROBING


Mendeteksi Probling

Apabila anda seorang sistem administrator, anda dapat memasang program yang memonitor adanya probing ke sistem yang anda kelola. Probing biasanya meninggalkan jejak di berkas log di sistem anda. Dengan mengamati entry di dalam berkas log dapat diketahui adanya probing.
root# tail /var/log/syslog
May 16 15:40:42 epson tcplogd: “Syn probe”
notebook[192.168.1.4]:[8422]->epson[192.168.1.2]:[635]
May 16 15:40:42 epson tcplogd: “Syn probe”
notebook[192.168.1.4]:[8423]->epson[192.168.1.2]:ssl-ldap
May 16 15:40:42 epson tcplogd: “Syn probe”
notebook[192.168.1.4]:[8426]->epson[192.168.1.2]:[637]
May 16 15:40:42 epson tcplogd: “Syn probe”
notebook[192.168.1.4]:[8429]->epson[192.168.1.2]:[638]
May 16 15:40:43 epson tcplogd: “Syn probe”
notebook[192.168.1.4]:[8430]->epson[192.168.1.2]:[639]
May 16 15:40:43 epson tcplogd: “Syn probe”
notebook[192.168.1.4]:[8437]->epson[192.168.1.2]:[640]
May 16 15:40:43 epson tcplogd: “Syn probe”
notebook[192.168.1.4]:[8441]->epson[192.168.1.2]:[641]
May 16 15:40:43 epson tcplogd: “Syn probe”
notebook[192.168.1.4]:[8445]->epson[192.168.1.2]:[642]
May 16 15:40:43 epson tcplogd: “Syn probe”
notebook[192.168.1.4]:[8454]->epson[192.168.1.2]:[643]Contoh di atas menunjukkan entry di berkas syslog dimana terjadi probing dari komputer yang di beri nama notebook dengan nomor IP 192.168.1.4. Selain itu, ada juga program untuk memonitor probe seperti paket program courtney, portsentry dan tcplogd.OS fingerprinting
Mengetahui operating system (OS) dari target yang akan diserang merupakan salah satu pekerjaan yang dilakukan oleh seorang cracker. Setelah mengetahui OS yang dituju, dia dapat melihat database kelemahan sistem yang dituju. Fingerprinting merupakan istilah yang umum
digunakan untuk menganalisa OS sistem yang dituju. Fingerprinting dapat dilakukan dengan berbagai cara. Cara yang paling konvensional adalah melakukan telnet ke server yang dituju. Jika server tersebut kebetulan menyediakan servis telnet, seringkali ada banner yang menunjukkan nama OS beserta versinya.
unix% telnet 192.168.1.4
Trying 192.168.1.4…
Connected to 192.168.1.4.
Escape character is ‘^]’.
Linux 2.0.33 (rock.pau-mikro.org) (ttyp0)
login:

Apabila sistem tersebut tidak menyediakan servis telnet akan tetapi menyediakan servis FTP, maka informasi juga sering tersedia. Servis FTP tersedia di port 21. Dengan melakukan telnet ke port tersebut dan memberikan perintah “SYST” anda dapat mengetahui versi dari OS yang digunakan seperti contoh di bawah ini.
unix% telnet ftp.netscape.com 21
Trying 207.200.74.26…
Connected to ftp.netscape.com.
Escape character is ‘^]’.
220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
SYST
215 UNIX Type: L8 Version: SUNOS

Jika server tersebut tidak memiliki FTP server akan tetapi menjalankan Web server, masih ada cara untuk mengetahui OS yang digunakan dengan menggunakan program netcat (nc) seperti contoh di bawah ini (dimana terlihat OS yang digunakan adalah Debian GNU):
$ echo -e “GET / HTTP/1.0\n\n” | nc localhost 80 | \
grep “^Server:”
Server: Apache/1.3.3 (Unix) Debian/GNU

Cara fingerprinting yang lebih canggih adalah dengan menganalisa respon sistem terhadap permintaan (request) tertentu. Misalnya dengan menganalisa nomor urut packet TCP/IP yang dikeluarkan oleh server tersebut dapat dipersempit ruang jenis dari OS yang digunakan. Ada beberapa tools untuk melakukan deteksi OS ini antara lain:
• nmap
• queso

Berikut ini adalah contoh penggunaan program queso untuk mendeteksi OS dari sistem yang menggunakan nomor IP 192.168.1.1. Kebetulan sistem ini adalah sistem Windows 95.
unix# queso 192.168.1.1
192.168.1.1:80 * Not Listen, Windoze 95/98/NT

Penggunaan program penyerang
Salah satu cara untuk mengetahui kelemahan sistem informasi anda adalah dengan menyerang diri sendiri dengan paket-paket program penyerang (attack) yang dapat diperoleh di Internet. Dengan menggunakan program ini anda dapat mengetahui apakah sistem anda rentan dan dapat
dieksploitasi oleh orang lain. Perlu diingat bahwa jangan menggunakan program-program tersebut untuk menyerang sistem lain (sistem yang tidak anda kelola). Ini tidak etis dan anda dapat diseret ke pengadilan. Beberapa program penyerangan dicontohkan di Bab “Eksploitasi
Keamananan”. Selain program penyerang yang sifatnya agresif melumpuhkan sistem yang dituju, ada juga program penyerang yang sifatnya melakukan pencurian atau penyadapan data. Untuk penyadapan data, biasanya dikenal dengan istilah “sniffer”. Meskipun data tidak dicuri secara fisik (dalam artian menjadi hilang), sniffer ini sangat berbahaya karena dia dapat digunakan untuk menyadap password dan informasi yang sensitif. Ini merupakan serangan terhadap aspek privacy. Contoh program penyadap (sniffer) antara lain:
• pcapture (Unix)
• sniffit (Unix)
• tcpdump (Unix)
• WebXRay (Windows)

http://www.youtube.com/watch?v=jiX6Y1giBeY&feature=player_embedded

Sniffer


Mungkin banyak yang belum tau tentang sniffer atau bahkan sudah banyak yang tau. Apa itu Sniffer ?

Sniffing adalah suatu teknik “mengintip”(mengintip yang berbahaya). Hacker yang berusaha “mengintip” data-data komputer orang lain tetapi “mengintip” lewat komputer si hacker. Contohnya jika di perkantoran kita menggunakan jaringan internet yang ada untuk mengirimkan email ke teman di luar kota. Kegiatan sniffing bisa terjadi disaat kita mengirimkan email tersebut,siapakah pelakunya? bisa saja admin dari jaringan kantor atau bahkan teman sebelah meja anda. who knows?

Continue reading

Cara kerja Firewall


Firewall pada dasarnya merupakan sebuah penghalang antara komputer anda (jaringan)dengan internet. Firewall bisa diumpamakan sebuah satpam yang menjaga pintu gerbang rumah anda untuk menyaring pengunjung yang datang ke tempat anda.

Firewall adalah seperangkat software atau hardware yang menyaring data yang keluar dan masuk dalam sebuah jaringan komputer. Jika ada data yang dicurigai membawa hal berbahaya dan dapat merusak, seperti virus, spyware, dan trojan, firewall akan melarangnya untuk keluar atau masuk ke dalam jaringan.

Continue reading

Enkripsi


PGP adalah singkatan dari Pretty Good Privacy, dan merupakan program komputer yang sering dipakai dalam proses kriptografi dan autentikasi pengiriman data komputer. PGP pertama diperkenalkan pada tahun 1991 oleh Philip Zimmermann untuk menyandikan data dalam pengiriman surat elektronik(email). Dalam proses penyandian data ini, PGP mengikuti standar RFC 4880.

PGP saat ini bergabung dengan perusahaan symantec corporation salah satu perusahaan anti virus yang terkenal dengan produk norton anti virus-nya

PGP dapat didownload di http://www.pgpi.org/

Dalam bidang kriptografi, selain PGP, terdapat metode penyandian enkripsi dan dekripsi yang lain seperti: DESAESRSA, dan lain lainnya.

Continue reading

INTRUSION DETECTION SYSTEMS (IDS)


Intrusion Detection System (IDS)

IDS (Intrusion Detection System) adalah sebuah sistem (dapat berupa perangkat keras maupun perangkat lunak)  yang melakukan pengawasan terhadap traffic jaringan dan pengawasan terhadap kegiatan-kegiatan yang mencurigakan didalam sebuah sistem jaringan, IDS dapat melakukan inspeksi terhadap lalu lintas inbound  dan outbound dalam sebuah sistem atau jaringan, melakukan analisis dan mencari bukti dari percobaan intrusi (penyusupan). Jika ditemukan kegiatan-kegiatan yang mencurigakan berhubungan dengan traffic jaringan maka IDS akan memberikan peringatan kepada sistem atau administrator jaringan. Dalam banyak kasus IDS juga merespon terhadap traffic yang tidak normal/ anomali melalui aksi pemblokiran seorang user atau alamat IP (Internet Protocol).

Continue reading