Senin, 13 Oktober 2014

Mengamankan Server ubuntu dengan PORTSENTRY

CARA MENGAMANKAN SERVER UBUNTU DENGAN PORTSENTRY

Nah kali ini saya membahas cara mengamankan server yang kita buat dari ganggu orang yang tidak dikenal, salah satunya dengan portsentry, naah ini cara setting dan install nya

pertama :

install dulu portsentry nya, cara nya masuk terminal ya!!! ketik:

$ sudo apt-get install portsentry

Kemudian melakukan sedikit konfigurasi pada portsentry agar dapat melindungi dari scanning yang dilakukan oleh IP Scanner :

$ sudo pico /etc/portsentry/portsentry.conf

Cari bari ini :

# 0 = Do not block UDP/TCP scans.
# 1 = Block UDP/TCP scans.
# 2 = Run external command only (KILL_RUN_CMD)

BLOCK_UDP="0"
BLOCK_TCP="0"

Ubah menjadi :

BLOCK_UDP="1"
BLOCK_TCP="1"

Dan juga pastikan baris ini aktif :

KILL_ROUTE="/sbin/route add -host $TARGET$ reject"

Setelah itu IP Target mengaktifkan service portsentry yang sudah di install tadi :

$ sudo /etc/init.d/portsentry start

Nah sekarang, si IP Scanner mencoba kembali melakukan scanning terhadap IP Target yang sudah dipasang PortSentry :

# nmap -sS -vv -P0 -sV 10.10.10.1

# nmap -sS -vv -P0 -sV 10.10.10.1

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2011-10-18 16:45 WIT
Initiating ARP Ping Scan against 10.10.10.1 [1 port] at 16:45
The ARP Ping Scan took 0.01s to scan 1 total hosts.
DNS resolution of 1 IPs took 0.01s.
Initiating SYN Stealth Scan against 10.10.10.1 [1680 ports] at 16:45
Discovered open port 32774/tcp on 10.10.10.1
Discovered open port 32773/tcp on 10.10.10.1
Discovered open port 143/tcp on 10.10.10.1
Discovered open port 79/tcp on 10.10.10.1
Discovered open port 32771/tcp on 10.10.10.1
Discovered open port 1/tcp on 10.10.10.1
Discovered open port 139/tcp on 10.10.10.1
Discovered open port 111/tcp on 10.10.10.1
Discovered open port 54320/tcp on 10.10.10.1
Discovered open port 15/tcp on 10.10.10.1
Discovered open port 445/tcp on 10.10.10.1
Discovered open port 27665/tcp on 10.10.10.1
Discovered open port 119/tcp on 10.10.10.1
Discovered open port 12345/tcp on 10.10.10.1
Discovered open port 31337/tcp on 10.10.10.1
Discovered open port 1524/tcp on 10.10.10.1
Discovered open port 1080/tcp on 10.10.10.1
Discovered open port 2000/tcp on 10.10.10.1
Discovered open port 6667/tcp on 10.10.10.1
Discovered open port 12346/tcp on 10.10.10.1
Discovered open port 322/tcp on 10.10.10.1
Discovered open port 32772/tcp on 10.10.10.1
Discovered open port 540/tcp on 10.10.10.1
Discovered open port 11/tcp on 10.10.10.1
Discovered open port 635/tcp on 10.10.10.1
The SYN Stealth Scan took 0.14s to scan 1680 total ports.
Initiating service scan against 25 services on 10.10.10.1 at 16:45

--- Berhenti sampai disini karena IP Scanner sudah terblokir secara otomatis oleh portsentry yang ada pada IP Target ---

Kalau dilihat sekarang, PortSentry ini banyak membuat daemon/service palsu pada server IP Target, sehingga tentunya akan menyulitkan bagi si IP Scanner untuk mencari lebih dalam dari port yang ada pada IP Target, dan juga saat ini IP Scanner telah masuk kedalam blokir atau blacklist dari portsentry yang ada di IP Target.

PortSentry ini melakukan deteksi terhadap IP yang melakukan scanning dan kemudian melakukan blocking terhadap IP tersebut. hal ini bisa dilihat pada log yang ada di IP Target dimana portsentry berada :

# tail -f /var/log/syslog
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 79
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 111
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 119
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 143
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Connect from host: 10.10.10.2/10.10.10.2 to TCP port: 540
Oct 18 16:45:50 IP-Target portsentry[9621]: attackalert: Host: 10.10.10.2 is already blocked. Ignoring

PortSentry ini melakukan bloking terhadap IP Scanner dan memasukannya kedalam file /etc/hosts.deny dan juga membuat routing ke IP Scanner menjadi null routing atau Network is unreachable.

Jika dilihat routingnya dari IP Target seperti ini jadinya :

$ route -n
10.10.0.0 0.0.0.0 255.255.0.0 U 1 0 0 eth0
10.10.10.2 - 255.255.255.255 !H 0 - 0 -
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0

Pertanyaannya sekarang adalah bagaimana cara nya untuk merelease atau membuka blokir yang dilakukan oleh portsentry??

Caranya pertama-tama adalah membuang IP Scanner (IP yang terblokir) dari /etc/hosts.deny dan setelah itu hapus juga routing null nya di IP Target (dimana portsentry di install) :

$ sudo route del 10.10.10.2

Lakukan juga restart service portsentry nya :

# /etc/init.d/portsentry stop
Stopping anti portscan daemon: portsentry.
# /etc/init.d/portsentry start
Starting anti portscan daemon: portsentry in tcp & udp mode.

Jika kita ingin menambahkan whitelist di portsentry ini dapat di masukan block IP nya kedalam file yang ada pada :

/etc/portsentry/portsentry.ignore

IP yang ditambahkan pada file tersebut diatas maka akan di abaikan oleh portsentry.

selesai semoga bermanfaat . .

7 Langkah mengamankan openSSH

Pilih dan gunakan password yang baik dan aman.

Password yang baik tidak selamanya harus rumit atau panjang sekali. Password yang terlalu rumit justru bisa-bisa membuat kita susah mengingatnya. Gunakanlah kombinasi angka, huruf dan sisipkan beberapa simbol pada password Anda.

Silahkan Anda kreasikan sendiri password yang baik dan aman untuk Anda. Ingat, jangan sekali-kali Anda membuat user: admin/admin, atau test/test (atau username/password lain yang sudah umum dan mudah ditebak) di server yang terhubung langsung ke Internet.

Larang user root untuk login melalui ssh.

Jika tidak ada keperluan khusus, set agar user root tidak bisa login melalui ssh.

Di Ubuntu, edit /etc/ssh/sshd_config, lalu cari baris PermitRootLogin yes (ini adalah konfigurasi default instalasi di Ubuntu), ubah menjadi seperti berikut:

PermitRootLogin no

Setelah itu, pastikan Anda restart service ssh.

sudo /etc/init.d/ssh restart

Batasi pengakses, hanya buka akses untuk IP atau network yang Anda percaya.

Anda bisa membatasi pengakses menggunakan tcpwrapper (hosts.allow, hosts.deny) atau menggunakan iptables.

Contoh penggunakan hosts.allow, hosts.deny untuk membatasi akses ssh hanya boleh dari ip 192.168.22.2 dan hanya untuk network 192.168.23.0/24.

Sunting berkas /etc/hosts.deny

sshd: all

Sunting berkas /etc/hosts.allow

sshd: 127.0.0.0/255.255.255.0 
sshd: 192.168.22.2 
sshd: 192.168.23.0/255.255.255.0

Untuk membuat rules serupa, menggunakan UFW di Ubuntu.

sudo ufw allow proto tcp from 127.0.0.0/24 to any port 22
sudo ufw allow proto tcp from 192.168.22.2 to any port 22
sudo ufw allow proto tcp from 192.168.23.0/24 to any port 22

Silakan Anda baca tulisan lain yang membahas lebih detail mengenai UFW.

Pasang DenyHosts.

Hampir dipastikan, setiap komputer yang terhubung ke Internet sekarang ini rentan terhadap serangan brute force. Jadi penyerang melakukan proses coba-coba login ke sistem dengan menebak username dan password. Si penyerang umumnya memiliki daftar kombinasi username dan password untuk dicobakan ke sistem yang akan diserang.

Dalam beberapa kasus proses coba-coba login ini bisa berhasil, terutama ketika dalam sistem itu ada user yang menerapkan password yang tidak aman (weak password).

Untuk mengurangi efek serangan brute force, Anda bisa menginstal aplikasi denyhosts. Di Ubuntu Anda bisa menginstalnya dari repositori main.

sudo apt-get install denyhosts

Anda mungkin ingin menyunting /etc/denyhosts.conf agar email notifikasi dikirim ke alamat email Anda. Caranya sunting file tersebut, lalu cari baris yang diawali dengan ADMIN_EMAIL, lalu ubah menjadi:

ADMIN_EMAIL = email.anda@domain.com

Konfigurasi lainnya Anda bisa tweak lagi, atau terima default saja (dalam kasus penulis, konfigurasi default sudah cukup baik).

Ganti default port.

Ini mungkin bukan konsep security yang benar-benar baik, tapi trik ini cukup efektif menghindari serangan dari script-script yang menscan ke port 22. Jadi jangan mengasumsikan instalasi openssh Anda sudah aman jika default port Anda ganti. Ini hanya trik untuk menghindari scan ataupun serangan dari cracker pemula.

Caranya, tinggal sunting berkas /etc/ssh/sshd_config, lalu cari baris Port 22, silahkan ganti ke port yang Anda inginkan. Misal,

Port 2222

Jangan lupa untuk merestart service ssh agar konfigurasi baru diterapkan ke sistem.

sudo /etc/init.d/ssh restart

Untuk selanjutnya, Anda bisa mengakses server via ssh ke port 2222. Jika menggunakan perintah ssh, kira-kira seperti berikut:

ssh 192.168.56.101 -l cecep -p 2222

Pasang sistem Port Knocking.

Mungkin dari sekian tips yang diberikan diartikel ini, memasang port knocking adalah tips yang paling rumit. Tapi tips ini cocok jika Anda memang benar-benar paranoid, tidak ingin membuka port 22 atau port lainnya untuk koneksi ssh, tapi Anda tetap ingin bisa mengakses server jika sewaktu-waktu Anda membutuhkan koneksi dari remote komputer.

Silahkan Anda pelajari seputar port knocking ini di website dokumentasi ubuntu.

Selalu update sistem Anda.

Sebetulnya ini adalah aspek pengamanan dasar. Setiap administrator baik di Linux, Windows atau OS lainnya harus rajin mengupdate sistemnya. Karena pada umumnya update terbaru bisa menutup dan memperbaiki celah keamanan yang sudah diketahui sebelumnya.

Di ubuntu, Anda bisa melakukannya dengan satu langkah mudah:

sudo apt-get update && sudo apt-get upgrade

raihan-Charnoest Cyber School

Blogger news

Blogroll

Blogger templates