dasar-dasar security · keamanan komputer maupun jaringan komputer, terutama yang terhubung ke...
TRANSCRIPT
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Dasar-Dasar Security
� Pendahuluan
Keamanan komputer maupun jaringan komputer, terutama yang terhubung
ke internet harus direncanakan dan dikoordinasikan dengan baik agar dapat
melindungi sumber daya (resource) dan investasi di dalamnya. Informasi (data) dan
service (pelayanan) sudah menjadi sebuah komoditi yang sangat penting.
Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat
menjadi sangat esensial bagi suatu organisasi, baik yang berupa organisasi
komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun
individual (pribadi).
� Aspek-aspek Security Dalam mengamankan jaringan ada beberapa aspek yang harus kita perhatikan dan
dijaga, antara lain:
� Kestabilan Sistem
Sistem yang kita buat harus stabil sejalan dengan waktu, dalam arti bila
sewaktu-waktu terjadi perubahan pada perilaku hardware maupun software
yang lain dari biasanya. Administrator harus mampu segera mengatasi masalah-
masalah tersebut, seperti memperbaiki bug yang ada, melakukan upgrade, dan
mengganti device rusak.
� Ketersediaan data dan kerahasiaan
Harus ada perlindungan terhadap informasi baik berupa data, program, dan
segala hal yang dianggap penting agar tidak dihapus atau dirubah oleh orang
lain yang tidak berhak. Selain itu harus ada jaminan terhadap informasi agar
tidak bisa diakses/diketahui atau diubah oleh orang lain yang tidak berhak
� Ketersediaan service
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Servis-servis yang kita sediakan di dalam jaringan harus dijaga agar selalu
tersedia tanpa adanya gangguan
� Kendali
Harus ada sistem pengendalian tertentu, seperti mengatur hak akses di dalam
sistem jaringan. Karena perilaku pemakai sulit ditebak maka pengguna harus
dibatasi dalam melakukan akses pada daerah dimana ia berwenang, sedangkan
bagi pengguna luar harus ditolak.
� Monitoring
Administrator harus melakukan pemantauan terhadap sistem jaringan yang
dibangunnya, siapa yang telah mengakses dan menggunakan servis, aktivitas
apa yang telah dilakukan, mencari sela-sela sistem yang belum terlindungi,
memantau catatan logging sistem, mendeteksi penyusup yang masuk dll.
Sangat penting di sini untuk mengembangkan budaya memperhatikan aspek
keamanan dalam menggunakan setiap fasilitas jaringan kepada seluruh
user/pengguna. Perlu diperhatikan bagi administrator jaringan agar para pengguna
jaringan ikut menjaga keamanan jaringan, misalnya dengan menerapkan disiplin
menggunakan login miliknya dan tidak memberikannya kepada siapa pun,
mengganti password secara berkala, dan hal-hal lain yang berguna untuk
membangun semangat untuk melindungi jaringan secara bersama.
� Pengaturan Akses dalam Sistem Unix
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah
dengan mengatur akses ke informasi melalui mekanisme “access control”.
Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.
Di sistem Unix, untuk menggunakan sebuah sistem atau komputer, pemakai
diharuskan melalui proses authentication dengan menuliskan “userid” dan
“password”. Informasi yang diberikan ini dibandingkan dengan userid dan password
yang berada di sistem. Apabila keduanya valid, pemakai yang bersangkutan
diperbolehkan menggunakan sistem. Apabila ada yang salah, pemakai tidak dapat
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
menggunakan sistem. Informasi tentang kesalahan ini biasanya dicatat dalam
berkas log. Besarnya informasi yang dicatat bergantung kepada konfigurasi dari
sistem setempat. Misalnya, ada yang menuliskan informasi apabila pemakai
memasukkan userid dan password yang salah sebanyak tiga kali. Ada juga yang
langsung menuliskan informasi ke dalam berkas log meskipun baru satu kali salah.
Informasi tentang waktu kejadian juga dicatat. Selain itu asal hubungan (connection)
juga dicatat sehingga administrator dapat memeriksa keabsahan hubungan.
� Password di Sistem Unix Akses ke sistem UNIX menggunakan password yang biasanya disimpan di dalam
berkas /etc/passwd. Di dalam berkas ini disimpan nama, userid, password, dan
informasi-informasi lain yang digunakan oleh bermacam-macam program. Contoh isi
berkas password dapat dilihat di bawah ini (dapat dibuka juga dengan perintah
‘vipw’):
root:fi3sED95ibqR7:0:1:System Operator:/:/sbin/sh daemon:*:1:1::/tmp: hakim:d98skjhj9l:72:98:Rahmat Hakim:/home/hakim:/bin/bash Field Isi sandhy Nama atau userid pemakai d98skjhj9l password yang sudah terenkripsi (encrypted pass-word) 72 UID, user identification number 98 GID, group identification number Sandhy Hasan nama lengkap dari pemakai (sering juga disebut GECOS
a atau GCOS field) /home/sandhy home directory dari pemakai /bin/bash shell dari pemakai.
Pada sistem UNIX lama, biasanya berkas /etc/passwd ini “readable”, yaitu
dapat dibaca oleh siapa saja. Meskipun kolom password di dalam berkas itu berisi
“encrypted password” (password yang sudah terenkripsi), tetapi ini merupakan
potensi sumber lubang keamanan. Ada program tertentu yang dapat digunakan
untuk memecah password tersebut. Contoh program ini antara lain: crack (UNIX),
viper (perl script), dan cracker jack (DOS). Program “password cracker” ini tidak
dapat mencari tahu kata kunci dari kata yang sudah terenkripsi. Akan tetapi, yang
dilakukan oleh program ini adalah melakukan coba-coba (brute force attack). Salah
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
satu caranya adalah mengambil kata dari kamus (dictionary) kemudian
mengenkripsinya. Apabila hasil enkripsi tersebut sama dengan password yang
sudah terenkripsi (encrypted password), maka kunci atau passwordnya ketemu.
Selain melakukan “lookup” dengan menggunakan kamus, biasanya program
“password cracker” tersebut memiliki beberapa algoritma heuristic seperti
menambahkan angka di belakangnya, atau membaca dari belakang (terbalik), dan
seterusnya. Semakin sederhana password yang digunakan maka kemungkinan
terpecahnya password tersebut akan semakin tinggi dan semakin cepat selesainya.
� Shadow Password Salah satu cara untuk mempersulit mendapatkan berkas yang berisi password
(meskipun terenkripsi) adalah dengan menggunakan “shadow password”.
Mekanisme ini menggunakan berkas /etc/shadow untuk menyimpan encrypted
password, sementara kolom password di berkas /etc/passwd berisi karakter “x”.
Berkas /etc/shadow tidak dapat dibaca secara langsung oleh pemakai biasa
(bersifat hidden), tetapi bisa diakses oleh user root.
Beberapa perintah dan fungsi yang berhubungan dengan account dan password :
chage (mengeset password expiration)
chfn (untuk mengubah finger information)
chsh (mengubah default shell)
gpasswd (menambah user dalam group tertentu)
groupadd (menambah group)
groupdel (menghapus group)
groupmod (mengubah setting/informasi group)
id (menampilkan informasi ID beberapa informasi)
login (untuk login)
newgrp (mengganti group efektif)
passwd (membuat password atau mengubah password)
su (substitue user)
userdel (menghapus user)
usermod (mengubah setting dan informasi user)
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
� Pemilihan Password Dengan adanya kemungkinan password ditebak, misalnya dengan menggunakan
program password cracker, maka memilih password memegang peranan yang
sangat penting dan memerlukan perhatian khusus. Berikut ini adalah daftar hal-hal
yang sebaiknya tidak digunakan sebagai password :
• Nama orang, dan hewan.
• Nama komputer, nomor telepon atau plat nomor kendaran.
• Tanggal lahir, alamat rumah, nama tempat yang terkenal.
• Kata-kata yang terdapat dalam kamus (misal : bahasa Indonesia, bahasa
Inggris).
• Password dengan karakter yang sama diulang-ulang
• Password yang mengurutkan penekanan tombol pada keyboard
Sebaiknya jangan menggunakan password yang terdapat dalam kamus, atau kata-
kata yang umum digunakan. Gunakan kombinasi huruf besar dan kecil, dan
gunakan angka atau karakter lainnya. Password yang kita gunakan semakin
panjang tentu semakin baik. Panjang password minimal secara default biasanya
adalah 7 karakter. Kita bisa mengeset sesuai dengan kebutuhan kita (misal = 8
karakter). Untuk itu editlah file /etc/login.defs dengan text editor favorit anda :
[root]# vi /etc/login.defs
kemudian pada bagian PASS_MIN_LEN 7 (ganti 7 dengan 8).
� Dasar-dasar Enkripsi Enkripsi adalah proses pengubahan/konversi/penyandian suatu informasi ke bentuk
tertentu sehingga tidak dimengerti/tidak dapat dimanfaatkan oleh pihak yang tidak
berhak. Enkripsi digunakan untuk melindungi data. Dekripsi adalah kebalikan dari
proses enkripsi.
Data-data penting yang ada dan yang anda kirimkan bisa diubah sedemikian rupa
sehingga tidak mudah disadap. Jenis-jenis metode enkripsi ini banyak sekali, misal :
DES (Data Encryption System), PEM (Privacy Enhanced Mail), PGP (Pretty Good
Privacy), SSL (Secure Socket Layer), MD5 dll.
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication,
seperti telnet. Informasi ini dapat dilihat dengan mudah oleh program penyadap
(sniffer).
Aplikasi-aplikasi yang sering digunakan untuk enkripsi antara lain :
• SSH (Secure Shell), merupakan aplikasi enkripsi digunakan terutama untuk
remote akses sebagai pengganti telnet/rlogin.
• Gpg (Encryption and signing Tool), merupakan aplikasi enkripsi/dekripsi data.
• Crypt, biasa terdapat pada sistem berbasis Unix.
• SSL, aplikasi enkripsi data yang berbasis web.
• PGP, aplikasi enkripsi data yang berbasis email.
� Serangan Terhadap Sistem Keamanan Serangan pada keamanan jaringan sangat banyak jenisnya. Bahkan mungkin
ditemukan cara-cara baru yang lebih mudah dan efektif serta tidak terlalu
membutuhkan kemampuan yang tinggi. Serangan-serangan ini ada yang bersifat
mengganggu, merusak, bahkan mengambil alih posisi superuser (root). Serangan
yang sering terjadi di internet di antaranya :
• Scanning
Scan adalah probe dalam jumlah besar menggunakan tool secara otomatis
dengan tujuan tertentu (misal : mendeteksi kelemahan-kelemahan pada host
tujuan). Scanner biasanya bekerja dengan men-scan port TCP /IP dan servis-
servisnya dan mencatat respon dari komputer target. Dari scanner ini dapat
diperoleh informasi mengenai port-port mana saja yang terbuka. Kemudian
yang dilakukan adalah mencari tahu kelemahan-kelemahan yang mungkin
bisa dimanfaatkan berdasar port yang terbuka dan aplikasi serta versi aplikasi
yang digunakan.
• Sniffing
Sniffer adalah device (software maupun hardware) yang digunakan untuk
mendengar informasi yang melewati jaringan dengan protokol apa saja. Host
dengan mode promiscuous mampu mendengar semua trafik di dalam
jaringan. Sniffer dapat menyadap password maupun informasi rahasia, dan
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
keberadaannya biasanya cukup sulit untuk dideteksi karena bersifat pasif.
Sniffer ini mendengarkan port Ethernet untuk hal-hal seperti "Password",
"Login" dan "su" dalam aliran paket dan kemudian mencatat lalu lintas
setelahnya. Dengan cara ini, penyerang memperoleh password untuk sistem
yang bahkan tidak mereka usahakan untuk dibongkar. Password teks biasa
adalah sangat rentan terhadap serangan ini. Untuk mengatasinya, dapat
digunakan enkripsi, merancang arsitektur jaringan yang lebih aman dan
menggunakan One Time Password (OTP).
• Eksploit
Eksploit berarti memanfaatkan kelemahan sistem untuk aktifitas-aktifitas di
luar penggunaan normal yang sewajarnya.
• Spoofing
Biasanya IP spoofing dilakukan dengan menyamarkan identitas alamat IP
menjadi IP yang tepercaya (misal dengan script tertentu) dan kemudian
melakukan koneksi ke dalam jaringan. Bila berhasil akan dilanjutkan dengan
serangan berikutnya.
• DoS (Denial of Service) attack
Salah satu sumberdaya jaringan yang berharga adalah servis-servis yang
disediakannya. DoS atau malah Distributed DoS (DDoS) attack dapat
menyebabkan servis yang seharusnya ada menjadi tidak bisa digunakan. Hal
ini tentu akan mendatangkan masalah dan merugikan. Penyebab penolakan
servis ini sangat banyak sekali, dapat disebabkan antara lain :
1. Jaringan kebanjiran trafik (misal karena serangan syn flooding, ping
flooding, smurfing).
2. Jaringan terpisah karena ada penghubung (router/gateway) yang tidak
berfungsi.
3. Ada worm/virus yang menyerang dan menyebar sehingga jaringan
menjadi lumpuh bahkan tidak berfungsi, dll
• Malicious Code
Malicious Code adalah program yang dapat menimbulkan efek yang tidak
diinginkan jika dieksekusi. Jenisnya antara lain : trojan horse, virus, dan
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
worm. Trojan Horse adalah program yang menyamar dan melakukan aktifitas
tertentu secara tersembunyi (biasanya merugikan, misal : game yang mencuri
password). Virus adalah program yang bersifat mengganggu bahkan
merusak dan biasanya memerlukan intervensi manusia dalam
penyebarannya. Worm adalah program yang dapat menduplikasikan diri dan
menyebar dengan cepat tanpa intervensi manusia. Malicious kode dapat
menimbulkan beragam tingkat permasalahan.
• Serangan secara fisik
Serangan secara fisik misalnya mengakses server/jaringan/piranti secara
ilegal :
• Buffer Ofer Flow
Dapat terjadi jika ada fungsi yang dibebani dengan data yang lebih besar dari
yang mampu ditangani fungsi tersebut. Buffer adalah penampungan
sementara di memori komputer dan biasanya mempunyai ukuran tertentu.
Jika hal itu terjadi maka kemungkinan yang dapat terjadi adalah :
Program menolak dan memberi peringatan
Program akan menerima data, meletakkannya pada memori dan
mengoverwrite isi memori jika ada data sebelumnya. Cracker dapat membuat
data di mana bagian overflownya adalah set instruksi tertentu untuk
mendapatkan akses. Jika set instruksi baru menempati tempat suatu instruksi
sebelumnya, maka instruksi cracker akan dapat dijalankan.
• Social Engineering
Social engineering berarti usaha untuk mendapatkan password dengan jalan
'memintanya' , misalkan dengan menggunakan fakemail.
• OS Finger Printing
Mengetahui operating system (OS) dari target yang akan diserang
merupakan salah satu pekerjaan pertama yang dilakukan oleh seorang
cracker. Setelah mengetahui OS yang dituju, dia dapat melihat database
kelemahan sistem yang dituju. Fingerprinting merupakan istilah yang umum
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
digunakan untuk menganalisa OS sistem yang dituju. Beberapa cara
konvensional antara lain : telnet, ftp, netcat, dll.
Jika server tersebut kebetulan menyediakan suatu servis, seringkali ada
banner yang menunjukkan nama OS beserta versinya. Misalkan dilakukan
dengan telnet dengan port tertentu, atau dapat juga menggunakan program
tertentu.
Cara fingerprinting yang lebih canggih adalah dengan menganalisa respon
sistem terhadap permintaan (request) tertentu. Misalnya dengan menganalisa
nomor urut packet TCP/IP yang dikeluarkan oleh server tersebut dapat
dipersempit ruang jenis dari OS yang digunakan.
Ada beberapa tools untuk melakukan deteksi OS ini antara lain: nmap, dan
queso
• Crack password
Crack password adalah program untuk MENDUGA dan memecahkan
password dengan menggunakan sebuah atau beberapa kamus (dictionary)
Dewasa ini tool-tool yang digunakan dalam penyerangan semakin mudah digunakan
dan efektif, bahkan banyak yang disertai source kodenya..
� Situs-situs Security di internet Sudah menjadi kewajiban administrator tentunya, untuk senantiasa mengikuti
perkembangan keamanan jaringan sehingga tetap up to date. Kadang ditemukan
bug-bug terbaru yang dapat dieksploit, dan patch lebih sering datang terlambat dan
baru dikeluarkan setelah ditemukannya bug yang telah memakan korban.
Cukup banyak situs-situs di internet yang berisi informasi, script, maupun program
dunia underground ini, dari situs Indonesia sampai situs internasional. Yang cukup
terkenal antara lain :
http://www.cert.org
http://www.cert.or.id
http://www.rootshell.com
http://www.securityfocus.com
http://www.astalavista.box.sk
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
http://www.hackerlink.or.id
http://www.antionlione.com
Adapula situs yang menawarkan scan secara online otomatis , di antaranya :
http://hackerwhacker.com
http://grc.com
GENERAL SECURITY (SECURITY SECARA UMUM)
� Pendahuluan
Pengamanan pertama kali yang biasa dilakukan terhadap komputer adalah
konfigurasi keamanan lokal. Kita pastikan bahwa komputer kita aman dari gangguan
walaupun tidak terkoneksi ke jaringan/internet. Kemudian pada bagian general
security ini kita juga akan melakukan pemeriksaan file-file log dan backup.
� Keamanan Lokal Langkah pertama yang biasa dilakukan untuk mengamanan sistem adalah
konfigurasi dan persiapan kemanan secara lokal. Konfigurasi ini difokuskan
terutama untuk mengamankan sistem walaupun tidak sedang terhubung ke dalam
jaringan/internet. Keamanan secara lokal meliputi antara lain : akses ke server
secara lokal, akses fisik server/piranti jaringan, dan perlindungan terhadap
kerusakan.
� Perlindungan dengan password lilo
Program LILO (linux loader) berguna untuk mengatur proses booting (sebagai
boot manager untuk multi sistem operasi) dan mempunyai fungsi khusus untuk
memuat (meload) kernel, biasa digunakan untuk mesin Intel-compatible. Password
lilo diperlukan terutama untuk mencegah penggantian password melalui linux single
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
mode. Seperti telah kita ketahui bahwa Linux dalam menjalankan operasinya
mempunyai 7 buah mode runlevel (0-6). Perhaikan tabel berikut :
Run Level
Keterangan
0 Halt (komputer mati) 1 Mode User Tunggal (digunakan untuk adminstrasi sistem) 2 Multi user tanpa NFS (Network File System) 3 Mode multi user penuh 4 Tidak digunakan 5 X11, tampilan grafis 6 Reboot
Ketika booting Linux akan menjalankan program init yang terletak pada
/sbin/init dan secara default akan menjalankan run level 3 (Full Multi User Mode).
Tanpa password lilo siapa saja yang mereboot sistem kita dapat masuk ke mode
single user (run level 1) yang berarti masuk menjadi root tanpa harus mengetahui
passwordnya sama sekali. Hal ini dapat dilakukan dengan mengaktifkan mode
single pada saat muncul prompt lilo waktu booting.
Lilo :
Lalu diisi dengan linux –s, atau linux single
Dengan begitu kita akan masuk ke single mode dengan satu console saja
dan menjadi user root. Untuk mencegahnya, kita akan mengkonfigurasikan agar
sistem kita hanya dapat masuk ke mode single user, tetapi setelah melewati
password lilo yang telah kita konfigurasikan. Prakteknya akan kita bahas pada
bagian Job Sheet di halaman selanjutnya.
Dengan mengeset password lilo saja sebenarnya sistem juga masih kurang
aman karena orang lain dapat saja melakukan booting dengan melalui media lain
misalkan floppy dengan disket booting linux. Asalkan dia tahu letak file / (root) atau
mencoba-coba dan akhirnya berhasil melakukan booting, dia bisa saja masuk single
user tanpa password. Untuk menghindari hal itu dapat dilakukan pencegahan
diantaranya dengan pembatasan akses fisik ke media floopy dan cdrom atau
pembatasan akses BIOS (Basic Input Output System) dengan memberi password
pada BIOS. Pastikan dulu bahwa boot sequence sudah benar yaitu dari harddisk
atau C saja dan pilih option password untuk setup. Tetapi hal ini juga masih bisa
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
menjadi masalah jika BIOS kita mempunyai password default, atau malah dilakukan
peresetan BIOS dengan cara setting jumper/pembongkaran batere BIOS.
� Keamanan secara Fisik Yang juga patut menjadi perhatian juga adalah keamanan secara fisik. Hal ini
meliputi akses terhadap server dan piranti-piranti vital lainnya. Yang perlu
direncanakan adalah letak strategis server agar bisa terjaga dan tidak sembarangan
bisa dijangkau/diakses oleh orang yang tidak bertanggung-jawab.
Selain itu juga perlu diperhatikan agar komputer terjaga dengan melengkapi
pengaman yang baik (misalkan : kunci, gembok, dll).
� Keamanan terhadap Kerusakan Sistem kita tentu harus tahan terhadap kemungkinan- kemungkinan
kerusakan yang bisa terjadi, di antaranya adalah :
1. Petir
Untuk menghindari kerusakan adanya kerusakan yang diakibatkan oleh petir
dapat dicegah dengan pemasangan anti petir dan semacamnya.
2. Hewan
Dapat juga sistem kita mengalami gangguan/kerusakan karena hewan,
misalkan : tikus, serangga, dll. Untuk itu dapat dilakukan pencegahan
seperlunya.
3. Bencana
Bencana ini meliputi : air/hujan, kebakaran, gempa dll
4. Listrik Padam
Untuk menghindari mati/terhentinya service atau kerusakan yang ditimbulkan
karena matinya listrik dapat dicegah dengan pemasangan UPS
(Uninterruptable Power Supply).
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
� Audit Log Hampir semua kegiatan penggunaan sistem dicatat dalam berkas yang biasanya
disebut logfile atau log saja. Berkas log ini sangat berguna untuk mengamati
penyimpangan yang terjadi. Kegagalan untuk masuk ke sistem (login), misalnya,
tersimpan di dalam berkas log. Untuk itu para administrator seharusnya rajin
memelihara dan menganalisa berkas log yang dimilikinya. Letak dan isi dari berkas
log bergantung kepada operating system yang digunakan. Di sistem berbasis UNIX,
biasanya berkas ini berada di direktori /var/adm atau /var/log. Jangan sampai file log
menjadi kurang berguna karena tak pernah dibaca. Lihatlah log file anda sewaktu-
waktu. Hal ini dapat membantu mengenali hal-hal yang tidak biasa.
Contoh entry log :
Apr 5 17:20:10 kaizer wu-ftpd[12037]: failed login from hackeredan.com [64.55.12.34], m1 Apr 9 18:41:47 kaizer login[12861]: invalid password for `moel' on `ttyp0' from `hackeredan.com' Baris di atas menunjukkan kegagalan untuk masuk ke sistem melalui fasilitas FTP
(baris pertama) dan telnet (baris kedua). Pada baris kedua terlihat bahwa user
“moel” (atau yang mengaku sebagai user “moel”) mencoba masuk melalui login dan
gagal memberikan password yang valid. Hal ini bisa terjadi karena ketidak
sengajaan, salah memasukkan password, atau bisa juga karena sengaja ingin
mencoba-coba masuk dengan userid “moel” dengan password coba-coba. Cara
coba-coba ini sering dilakukan dengan mengamati nama user yang berada di sistem
tersebut (misalnya dengan menggunakan program finger untuk mengetahui
keberadaan sebuah user).
Beberapa perintah-perintah file log, diantaranya :
[root]# lastlog digunakan untuk menampilkan rekaman kapan user terakhir login (login, port, host,
dan waktu)
[root]# last menampilkan rekaman user yang pernah login pada file /usr/log/wtmp
Beberapa file log yang penting, diantaranya :
1. /var/log/xferlog , mencatat rekaman login pada ftp daemon
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
2. /var/log/messages, mencatat rekaman kejadian sistem dan kernel. Daemon yang
digunakan yaitu oleh file ini antara lain :
• syslogd (the system logging daemon), berfungsi merekam hampir semua
program yang dijalankan. Selain aktifitas dari internet daemon, syslog juga
mencatat kejadian-kejadian unusual atau kejadian yang seharusnya tidak
terjadi, misalnya kegagalan sebuah daemon dalam melakukan tugasnya,
dll. Dapat dikonfigurasi melalui file /etc/syslogd.conf
• klogd, berfungsi merekam pesan kernel
3. /var/log/maillog, mencatat kejadian/aktifitas transaksi mail
Untuk melihat satu-persatu file-file log tentu akan sangat melelahkan, menghabiskan
waktu yang banyak dan sangat kurang terjamin ketelitiannya. Ada program
(misalkan : logcheck) yang dapat mengatasi masalah tersebut. Logcheck bekerja
dengan mencari pattern pencarian tertentu setiap jangka waktu tertentu.
� Backup Menyeluruh Secara Rutin
Seringkali penyusup masuk ke dalam sistem dan merusak dengan menghapus
berkas/data yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan
masuk sebagai super user (administrator), maka ada kemungkinan dia dapat
menghapus seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin
merupakan sebuah hal yang esensial.
Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup yang
letaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari hilangnya data
akibat bencana seperti kebakaran, banjir, gempa dan lain lain. Apabila data-data
dibackup akan tetapi diletakkan pada lokasi yang sama, kemungkinan data akan
hilang jika tempat yang bersangkutan mengalami bencana.
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
KEAMANAN JARINGAN (NETWORK SECURITY)
� Pendahuluan
Terhubungnya LAN atau komputer ke Internet membuka potensi adanya lubang
keamanan lain (security hole) yang tadinya telah teratasi dengan mekanisme
keamanan secara fisik dan lokal. Jaringan, terutama internet, merupakan sebuah
jaringan komputer yang sangat terbuka di dunia. Konsekuensi yang harus di
tanggung adalah tidak ada jaminan keamanan bagi jaringan yang terkait ke internet.
Artinya jika operator jaringan tidak hati-hati dalam men-set up sistem dan
menerapkan policy-nya, maka kemungkinan besar jaringan yang terkait ke Internet
akan dengan mudah dimasuki orang yang tidak di undang dari luar.
Merupakan tugas dari administrator jaringan yang bersangkutan, untuk menekan
resiko tersebut seminimal mungkin. Pemilihan strategi dan kecakapan administrator
jaringan ini, akan sangat membedakan dan menentukan apakah suatu jaringan
mudah ditembus atau tidak.
Yang perlu untuk diketahui adalah bahwa kemudahan (kenyamanan) mengakses
informasi berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri.
Semakin tinggi tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses
informasi. Sebelum memulai segalanya, ada baiknya menentukan terlebih dahulu
tingkat ancaman yang harus diatasi dan resiko yang harus diambil maupun resiko
yang harus dihindari, sehingga dapat dicapai keseimbangan yamg optimal antara
keamanan dan kenyamanan.
� Pengenalan Keamanan Jaringan Keamananan komputer yang tidak terhubung (stand alone), hanya terhubung ke
jaringan/LAN dan terhubung ke internet tentu mempunyai perbedaan. Dengan
menghubungkan suatu jaringan ke internet, resiko keamanan yang akan dihadapi
akan semakin banyak. Serangan bisa terjadi kapan saja, dari mana saja dan oleh
siapa saja. Ingat, internet adalah jaringan yang bersifat global. Untuk itu,
pengamanan harus dilakukan dengan hati-hati. Walaupun demikian, kemungkinan
terjadinya masalah sekuriti di kemudian hari masih akan tetap ada. Tidak ada
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
jaminan bahwa sistem yang kita konfigurasi akan benar-benar aman. Yang bisa kita
lakukan hanyalah menekan seminimal mungkin kemungkinan terjadinya masalah
sekuriti.
Untuk itu, ada beberapa cara yang dapat dilakukan, antara lain menutup port-
port yang tidak dipakai, meletakkan firewall, menggunakan aplikasi yang reliable
(misalkan webserver dengan apache), melakukan konfigurasi program-program
aplikasi internet (misalkan melakukan konfigurasi keamanan pada apache dan
mengintegrasikannya dengan SSL), menggunakan program-program sekuriti
(misalkan scan listener dengan menggunakan portsentry), dan lain-lain. Pada bab
ini kita akan membahas mengenai internet daemon (inetd) yang digunakan untuk
mengelola beberapa aplikasi internet (misal : telnet, ftp, ssh, dll). Untuk versi Linux
SuSE yang terbaru, inetd ini sudah digantikan posisinya oleh xinetd. Perbedaannya
antara lain adalah sintaks-sintaks yang digunakan dan juga xinetd menggunakan
satu buah file untuk satu servis sedangkan inetd menggunakan satu buah file untuk
semua servis (file /etc/inetd.conf). Selain inetd, pada bab ini kita juga akan
membahas TCP Wrappers yang akan kita pakai untuk `membungkus` inetd
(internet daemon) agar lebih aman. Penasaran ? Mari kita pelajari bagian
berikutnya.
� Service inetd (internet daemon)
Secara default sistem kita akan menjalankan beberapa servis internet yang
mungkin sebagian di antaranya tidak kita gunakan/perlukan. Untuk meningkatkan
keamanan, lebih baik servis-servis (misalkan finger, telnet, dll) yang tidak terlalu kita
butuhkan dimatikan/ditutup saja. Sudah banyak kasus yang menunjukkan kesalahan
penggunaan (abuse) dari servis tersebut, atau ada kemungkinan lubang keamanan
dalam servis tersebut akan tetapi sang administrator tidak menyadari bahwa servis
tersebut dijalankan di komputernya. Kebanyakan servis yang berhubungan dengan
internet (misalkan : ftp, telnet , ssh, dll) akan dijalankan melalui inetd (internet
daemon).
Dengan melakukan pengeditan pada /etc/inetd.conf (konfigurasi utama internet
daemon : superserver) maka kita dapat melakukan modifikasi-modifikasi yang
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
diperlukan misalkan saja mematikan servis- servis yang tidak digunakan (dengan
menambahkan tanda komentar (#) pada awal baris). Agar lebih jelas mari kita
pelajari sintaks pada file /etc/inetd.conf :
Sintaks
service tipe_socket protocol flag user server_path argumen
KETERANGAN
service
Menjelaskan nama servis yang ditranslasikan ke nomor port dengan melihat file
/etc/services
tipe_socket
Berisi jenis/tipe socket yaitu (ada dua) : stream (bersifat connection oriented
digunakan untuk TCP) dan dgram (digunakan untuk UDP)
protocol
Berisi jenis protokol yang digunakan
flag
Di isi dengan wait atau nowait. Jika berisi wait maka inetd hanya menjalankan
satu server pada port yang telah ditentukan. Sebaliknya dengan option nowait maka
server dapat dijalankan lebih dari satu tanpa perlu menunggu selesainya eksekusi
sebelumnya. Jika kita menggunakan option stream maka flag nowait harus
digunakan.
user
Berisi login ID dari user yang akan memiliki proses dari perintah yang
dijalankan. Kebanyakan menggunakan user root. Tetapi ada beberapa proses yang
tidak menggunakan root tetapi memakai user lain (misal : nobody, news, dll) dengan
alasan security.
server_path
Berisi full path dari program server yang akan dijalankan.
argumen
Berisi perintah yang akan dijalankan serta beberapa argumen yang diperlukan. Akan
bernilai kosong/tidak diisi jika kita menggunan option internal (menggunakan servis
internal) pada bagian server. Contoh file /etc/inetd.conf :
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
# inetd.conf This file describes the services that will be available # through the INETD TCP/IP super server. To re-configure # the running INETD process, edit this file, then send the # INETD process a SIGHUP signal. # Version: @(#)/etc/inetd.conf 3.10 05/27/93 # Authors: Original taken from BSD UNIX 4.3/TAHOE. # Fred N. van Kempen, <[email protected]> # Modified for Debian Linux by Ian A. Murdock <[email protected]> # Modified for RHS Linux by Marc Ewing <[email protected]> # <service_name> <sock_type> <proto> <flags> <user> <server_path> <args> # # Echo, discard, daytime, and chargen are used primarily for testing. # To re-read this file after changes, just do a 'killall -HUP inetd' #echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal #time stream tcp nowait root internal #time dgram udp wait root internal # # These are standard services. # ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd # # Shell, login, exec, comsat and talk are BSD protocols. # #shell stream tcp nowait root /usr/sbin/tcpd in.rshd #login stream tcp nowait root /usr/sbin/tcpd in.rlogind #exec stream tcp nowait root /usr/sbin/tcpd in.rexecd #comsat dgram udp wait root /usr/sbin/tcpd in.comsat talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd ntalk dgram udp wait nobody.tty /usr/sbin/tcpd in.ntalkd #dtalk stream tcp wait nobody.tty /usr/sbin/tcpd in.dtalkd # # Pop and imap mail services et al # #pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d #imap stream tcp nowait root /usr/sbin/tcpd imapd #
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
# The Internet UUCP service. # #uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l # # Tftp service is provided primarily for booting. Most sites # run this only on machines acting as "boot servers." Do not uncomment # this unless you *need* it. # #tftp dgram udp wait root /usr/sbin/tcpd in.tftpd #bootps dgram udp wait root /usr/sbin/tcpd bootpd # # Finger, systat and netstat give out user information which may be # valuable to potential "system crackers." Many sites choose to disable # some or all of these services to improve security. # #finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd #cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd #systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx #netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet # # Authentication # # identd is run standalone now # #auth stream tcp wait root /usr/sbin/in.identd in.identd -e -o # # End of inetd.conf smtp stream tcp nowait qmaild /var/qmail/bin/tcp-env tcp-env /var/qmail/bin/qmail-smtpd #linuxconf stream tcp wait root /bin/linuxconf linuxconf --http Terlihat pada file /etc/inetd.conf di atas ada beberapa servis yang didisable untuk
menghindari hal-hal yang tidak diinginkan. Di antaranya adalah linuxconf, finger,
rlogin, dll.
� Pengenalan Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan
jaringan internal. Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan
utama dari firewall adalah untuk menjaga agar akses (ke dalam maupun ke luar)
dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan.
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi
yang bersangkutan.
Firewall merupakan alat untuk mengimplementasikan kebijakan security (security
policy). Sedangkan kebijakan security, dibuat berdasarkan perimbangan antara
fasilitas yang disediakan dengan implikasi security-nya. Semakin ketat kebijakan
security, semakin kompleks konfigurasi layanan informasi atau semakin sedikit
fasilitas yang tersedia di jaringan. Sebaliknya, dengan semakin banyak fasilitas yang
tersedia atau sedemikian sederhananya konfigurasi yang diterapkan, maka semakin
mudah orang orang ‘usil‘ dari luar masuk kedalam sistem (akibat langsung dari
lemahnya kebijakan security).
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya.
Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP
address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada
masing-masing firewall. Firewall dapat berupa sebuah perangkat keras yang sudah
dilengkapi dengan perangkat lunak tertentu, sehingga pemakai (administrator)
tinggal melakukan konfigurasi dari firewall tersebut. Firewall juga dapat berupa
perangkat lunak yang ditambahkan kepada sebuah server (baik UNIX maupun
Windows NT), yang dikonfigurasi menjadi firewall.
Firewall pada dasarnya dapat dikategorikan menjadi 2 berdasarkan cara fungsi
kerjanya (keduanya dapat dilakukan pada sebuah perangkat komputer (device) atau
dilakukan secara terpisah), yaitu :
1. Fungsi filtering
Firewall bekerja pada level jaringan (network-level firewall) biasa disebut
packet filter.
Firewall tipe ini biasanya berupa router yang melakukan fungsi packet filtering
berdasarkan parameter-parameter tertentu : alamat sumber, protokol, nomor
port dan isi. Dari membandingkan informasi yang diperoleh pada paket-paket
trafik dengan kebijaksanaan yang ada pada tabel akses, maka tindakan yang
diberlakukan adalah :
• Melewatkan paket data ke tujuannya (client atau server)
• Memblok paket data
2. Fungsi proxy
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Firewall pada level aplikasi (application level gateway) ini berfungsi sebagai
penghubung antara komputer client dengan jaringan luar. Pada koneksinya,
paket-paket IP tidak pernah diteruskan secara langsung, namun ditranslasi
dan diwakilkan oleh gateway aplikasi tersebut yang berfungsi sebagai saluran
dan penterjemah dan menggantikan fungsi client. Proxy akan merelai semua
request dari client kepada server yang sesungguhnya, kemudian merelai balik
semua hasil response real server kepada client kembali. Ditengah proses di
atas, maka proxy server berkesempatan untuk melakukan pembatasan “relai”
berdasarkan tabel akses yang sudah dibuat.
Fungsi proxy dapat dilakukan oleh berbagai software tergantung kepada jenis
proxy yang dibutuhkan, misalnya web proxy, rlogin proxy, ftp proxy dan
seterusnya. Di sisi client sering kali dibutuhkan software tertentu agar dapat
menggunakan proxy server ini, seperti misalnya dengan menggunakan
SOCKS. Beberapa perangkat lunak berbasis UNIX untuk proxy antara lain:
Socks (proxy server oleh NEC Network Systems Labs), Squid (web proxy
server).
� Packet Filterring TCP Wrappers
Secara default linux suse akan mengizinkan servis-servis tertentu (misal :
telnet) dengan tanpa pembatasan. Untuk itu diperlukan pembatasan-pembatasan
(proteksi) tertentu sehingga dapat mengurangi kerawanan keamanan jaringan.
Salah satu aplikasi pada sistem UNIX yang digunakan untuk melakukan
packet filtering adalah TCP Wrappers. TCP Wrappers biasanya sudah terinstal
secara default waktu penginstalan Linux.
Program ini bekerja dengan cara membungkus inetd (internet daemon :
aplikasi yang menjalankan servis-servis internat) agar lebih aman. Sebagai contoh
ada permintaan koneksi telnet dari internet, jika sistem kita tidak mempunyai tcp
wrappers maka inetd akan memanggil telnetd dan session telnet akan terbentuk
tanpa melakukan pembatasan apapun. Hal ini berbeda dengan TCP Wrappers yang
telah terinstal, sebelum memanggil telnetd, TCP Wrapper akan memeriksa dulu
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
berdasarkan pembatasan-pembatasan yang telah disetting kemudian memutuskan
apakah koneksi tersebut akan diizinkan atau tidak.
� Konfigurasi TCP Wrappers
File-file yang perlu diperhatikan dalam penyetingan TCP Wrappers antara
lain :
1. /etc/inetd.conf (konfigurasi internet daemon)
2. /etc/hosts.allow (konfigurasi host-host yang diizinkan)
3. /etc/hosts.deny (konfigurasi host-host yang ditolak)
Pastikan dahulu bahwa TCP Wrappers sudah terinstal pada sistem kita.
Untuk mengeceknya dapat dilihat pada file /etc/inetd.conf. Dalam inetd.conf,
layanan tanpa TCP Wrapper akan dituliskan dalam bentuk sebagai berikut, misal :
telnet stream tcp nowait nobody /usr/etc/telnetd in.telnetd –b /etc/issue
Jika internet daemon sudah dikonfigurasi dengan TCP Wrapper maka akan
terbaca seperti ini :
telnet stream tcp nowait nobody /usr/local/bin/tcpd Biasanya tcpwrappers dirakit menjadi “tcpd”. Apabila servis di server anda
(misalnya telnet atau ftp) dijalankan melalui tcpd, maka server anda menggunakan
tcpwrappers.
TCP Wrappers mengkonfigurasikan Network Access Control pada file
/etc/hosts.allow dan /etc/hosts.deny. File /etc/hosts.deny ini berisi mengenai servis
dari user/host/network mana saja yang akan ditolak sedangkan file /etc/hosts.allow
berisi mengenai servis dari user/host/network mana saja yang akan diterima. Secara
garis besar kedua file tersebut mempunya sintaks sbb :
� Daemon_list : client_host_list
Daemon List merupakan daftar daemon seperti telnetd, fingerd, ftpd, ssh, dll.
Client Host List merupakan daftar user/host/network dan mempuyai bentuk sbb :
ALL : semua host
KNOWN : host yang terdaftar pada DNS server
LOCAL : host yang tidak dipisahkan oleh . (dot)
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
PARANOID : mempunyai nama dan IP address yang tidak sesuai jika
dilacak dan dibandingkan antara pelacakan dari nama dengan
dari nomor IP
UNKNOWN : host yang hanya mempunyai nomor IP tanpa nama internet
.linux.net : host dengan domain linux.net
167.205.206.107 : host dengan IP adress tertentu
Agar lebih jelas dapat dibaca manualnya :
[user]$ man hosts_options
� IPfwadm, IPchains, NetFilter dan IP Tables
Selain dengan aplikasi TCP Wrappers kita dapat juga menggunakan ipfwadm
(berbasis kernel 2.0), ipchains (berbasis kernel 2.2), dan Netfilter dengan IP Tables
(berbasis kernel 2.4) untuk melakukan packet filtering. Baik ipfwadm, ipchains,
maupun netfilter dan ip tables bersifat saling menggantikan, dan kita cukup
menggunakan salah satu saja. Ipchains (berbasis kernel 2.2.16) sudah dibahas
pada bab koneksi internet.
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
MONITORING LOG DAN INTEGRITAS SISTEM � Pendahuluan
Ada banyak program yang berhubungan dengan keamanan dan biasanya
dapat didownload gratis di internet. Program tersebut meliputi program
enkripsi/dekripsi, probe/scan listener, pemantau (monitoring), dan firewall. Juga
program seperti probe dan scanner, cracker, bomber dan flooder, sniffer, malicious
code (virus, trojan dan worm), eksploit bug, backdoor, spoof dll. Dewasa ini tool-tool
security yang ada semakin banyak jenisnya, mudah digunakan, dan semakin efektif.
Pada bab ini kita akan memfokuskan pada pembahasan pemantauan integritas
sistem dan pemeriksaan file-file log secara otomatis.
Pemantau integritas sistem adalah apilkasi yang digunakan untuk melakukan
pengujian terhadap integratitas sistem, software yang digunakan misalkan tripwire
dan sxid. Tripwire digunakan untuk memantau perubahan-perubahan (direktori dan
file) yang terjadi pada sistem. Digunakan terutama untuk mencegah adanya
backdoor, memantau pengubahan file oleh orang yang tidak berhak, dll. Logcheck
digunakan untuk membantu memeriksa file-file log sehingga tidak membosankan,
lebih efektif dan praktis. Program ini bekerja dengan cara mencari pattern/bentuk
tertentu (dapat dikonfigurasi) dalam file log lalu mengirimkan laporannya kepada
admin, misalnya melalui email.
� Trip Wire
Salah satu contoh program yang sering digunakan untuk memantau integritas
sistem Linux adalah program Tripwire. Program Tripwire dapat digunakan untuk
memantau adanya perubahan pada berkas/file atau direktori.
Cara Kerja Tripwire.
Pada waktu pertama kali digunakan, tripwire harus digunakan untuk membuat
database mengenai berkas-berkas atau direktori yang ingin kita amati beserta
“signature” dari berkas tersebut. Signature berisi informasi mengenai besarnya
berkas, kapan dibuatnya, pemiliknya, hasil checksum atau hash (misalnya dengan
menggunakan program MD5), dan sebagainya. Apabila ada perubahan pada berkas
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
tersebut, maka keluaran dari hash function akan berbeda dengan yang ada di
database sehingga ketahuan adanya perubahan. Selain Tripwire, tool yang yang
digunakan utuk melakukan pengecekan integritas sistem antara lain: TAMU (Texas
A&M University), ATP (The Anti-Tampering Program), dan sXid (men-tracks file-file
suid dan sgid, bisa mendeteksi jika ada kit root yang terinstal).
Tripwire yang merupakan salah satu pilhan utilitas yang dapat digunakan oleh user
dan administrator untuk memeriksa perubahan yang terjadi pada file atau direktori.
Hal itu untuk menghindari adanya backdoor (pintu belakang untuk mendapatkan
akses illegal lagi), penyusupan karena adanya bug pada perangkat lunak, adanya
malicious code dan perubahan terhadap sistem oleh oramg lain yang sebenarnya
tidak mempunyai hak untuk itu. Dalam pemeriksaan keutuhan dan keaslian file ini,
tripwire perlu mengetahui file mana saja yang akan diperiksa baru setelah itu
membandingkan file yang akan diperiksa tersebut dengan informasi (database) yang
telah disimpan sebelumnya. Dan jika terjadi perubahan atau penambahan file baru
Tripwire akan melaporkannya sehingga administrator dapat segera memeriksa
apakah pengubahan atau penambahan file baru tersebut legal atau tidak.
Daftar file atau direktori yang akan diperiksa Tripwire terdapat dalam file
konfigurasi Tripwire yang default-nya bernama tw.config. Sedangkan keadaan asli
file tersebut terdapat di dalam file database Tripwire yang default-nya bernama
tw.db_@. Karakter @ diganti dengan hostname komputer yang diinstal Tripwire.
Yang menjadi file inti dalam program Tripwire ini sebenarnya adalah kedua file
tersebut yaitu file konfigurasi tw.config dan file database tw.db_@. Karena itu
sangat disarankan pada saat menginstalasi program Tripwire agar kedua file ini
diletakkan pada tempat yang hanya di-mount read-only atau di media eksternal
(seperti disket atau NFS) sehingga tidak ada intruder yang dapat mengubahnya.
Sebab jika hal ini tidak dilakukan akan sangat mungkin menyebabkan kita tidak
dapat mengetahui seorang intruder yang telah berhasil masuk ke dalam sistem dan
telah menyiapkan backdoor. Hal ini dikarenakan pada saat intruder itu telah
membuat file baru atau mengubah suatu file untuk digunakan sebagai backdoor, ia
sekaligus dapat mengubah file database Tripwire sehingga jejaknya tidak akan
terdeteksi oleh Tripwire. Jika hal seperti ini terjadi, berarti program Tripwire yang
telah diinstalasi sama sekali tidak berguna. Contoh file yang membahayakan
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
keamanan sistem jika diubah : password user, group user, pengubahan UID/GID
sebuah file atau penambahan file yang memiliki setuid root, inetd, service, dll.
Instalasi dan penggunaan Tripwire, silakan dilihat di bagian Jobsheet.
� Logcheck
Serangan terhadap sistem bisa terjadi kapan saja, dan tidak setiap saat
administrator berada ditempat kejadian. Mungkin ada administrator yang tidak
pernah (jarang) membaca file log karena memang menghabiskan waktu,
membosankan dan tidak terjamin ketelitiannya. Padahal justru dari logginglah
sebuah kejadian bisa ditrace dengan benar.
Karena itu, dapat digunakan suatu program yang berfungsi untuk membantu
dalam memeriksa file-file log sehingga lebih mudah dan praktis, misalnya logcheck.
Logcheck adalah program yang berfungsi mencari pattern/bentuk tertentu
(menyaring informasi penting) yang kita inginkan dalam file-file logging lalu
mengirimkan laporannya kepada admin, misalnya melalui email. Logcheck bisa
dikonfigurasi untuk melakukan checking sesering yang kita butuhkan, misal 5
menit/1 jam sekali, dengan menggunakan cron. Pattern yang akan dicari oleh
logcheck pun bisa di atur sesuai dengan perkembangan informasi buggy yang
bertebaran di internet.
TELNET DAN SSH
� Pendahuluan
Penggunaan telnet untuk melakukan login jarak jauh (remote login)
memungkinkan terjadinya pelanggaran privacy dan pencurian password. Hal ini
dimungkinkan karena telnet tidak menggunakan enkripsi. Penyadapan dapat
dilakukan dengan menggunakan aplikasi sniffer (misalnya snifit) dengan cara
mendengar informasi-informasi yang lewat. SSH dapat dipakai untuk mengatasi hal
ini karena SSH menggunakan enkripsi.
� Telnet
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Telnet digunakan untuk melakukan login secara remote dari tempat/komputer
lain melalui jaringan (dengan hubungan TCP/IP menggunakan port 23). Dengan
menggunakan telnet maka kita seolah-olah berada di depan komputer yang kita
inginkan/kita tuju. Kita akan melakukan prosedur sama seperti jika melakukan login
secara lokal yaitu mengisi nama login dan password. Syarat yang harus dipenuhi
cukup sederhana yaitu komputer clien harus sudah terinstal aplikasi telnet dan
komputer server harus terinstal aplikasi telnet dan telnet server. Salah satu yang
menjadi permasalahan penggunaan applikasi telnet adalah kurang terjaminnya
keamanan karena informasi tentang userid dan password ini dikirimkan melalui
jaringan komputer secara terbuka/plain text tanpa enkripsi. Akibatnya ada
kemungkinan seorang yang nakal melakukan sniffing dengan software sniffer dan
mengumpulkan informasi tentang pasangan userid dan password ini. Meskipun cara
ini biasanya membutuhkan akses “root” ada baiknya kita menghindari hal tersebut,
dengan mendisable fasilitas telnet misalnya.
� Sniffit
Sniffit adalah salah satu program aplikasi yang digunakan untuk melakukan
aktivitas sniffing. Sniffit bisa mendeteksi login, password, dan perintah-perintah yang
kita ketikkan pada console jika kita melakukan aktivitas tertentu, misalkan telnet.
Lihatlah bagian Jobsheet untuk instalasi dan menggunakan sniffit.
� Secure Shell (SSH)
Enkripsi dapat digunakan untuk melindungi adanya sniffing. Salah satu aplikasi
yang digunakan untuk remote login dengan enkripsi adalah SSH. Paket yang
dikirimkan dengan SSH akan dienkripsi dengan RSA atau IDEA sehingga tidak
dapat dibaca/dimengerti isinya oleh orang lain ng yang tidak berhak. Beberapa
implementasi SSH ini, antara lain : ssh untuk UNIX (dalam bentuk source code,
gratis), putty, SSH untuk Windows dari Data Fellows (komersial)
http://www.datafellows.com/, TTSSH (skrip yang dibuat untuk Tera Term Pro (gratis,
untuk Windows)), SecureCRT untuk Windows (shareware/komersial).
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
� PUBLIC KEY CRYPTOGRAPHY (KRIPTOGRAPHI KUNCI PUBLIK)
SSH dalam enkripsinya menggunakan metode public key cryptography. Dengan
metode ini, kita akan memerlukan 2 buah kunci berbeda yang digunakan baik untuk
melakukan enkripsi dan dekripsi. Dua buah kunci tersebut masing-masing disebut
public key (dipublikasikan ke publik/orang lain) dan private key (dirahasiakan/hanya
pemiliknya yang tahu). Masing-masing kunci di atas dapat digunakan untuk
melakukan enkripsi dan dekripsi.
Perhatikan ilustrasi kasar enkripsi dengan public key cryptography berikut ini :
Misalkan terjadi komunikasi antara dua person, yaitu Lia mengirimkan data ke
Hakim. Maka proses yang terjadi adalah :
Public Key Hakim Lia
Gambar 1. Lia mengambil public key milik Hakim
Lia Public Key Hakim + Private Key Lia + Data Data terenkripsi
Gambar logika
Lia menggunakan private key miliknya untuk melakukan enkripsi terhadap data.
network
network