PORT SENTRY
Portsentry
merupakan tools yang digunakan untuk menghindari berbagai aktifitas scanning
(terutama stealth scanning) yang dilakukan oleh hacker. Portsentry dapat
mengingat ip address dari si hacker. PortSentry adalah sebuah perangkat
lunak yang dirancang untuk mendeteksi adanya port scanning & meresponds
secara aktif jika ada port scanning. Port scan adalah proses scanning berbagai
aplikasi servis yang dijalankan di server Internet. Port scan adalah langkah
paling awal sebelum sebuah serangan di lakukan.
Portsentry
juga dapat membuat server kita seolah-olah menghilang dari hadapan hacker
bilamana terjadi aktifitas scanning dan juga dapat memblok IP hacker tersebut
juga secara otomatis. Tujuannya adalah untuk melindungi dari scanning yang
dilakukan oleh pihak lain.
Dari
sekian banyak hal yang paling banyak di takuti orang pada saat mengkaitkan diri
ke Internet adalah serangan virus & hacker. Penggunaan Software Firewall
akan membantu menahan serangan dari luar. Pada kenyataan di lapangan, menahan
serangan saja tidak cukup, kita harus dapat mendeteksi adanya serangan bahkan
jika mungkin secara otomatis menangkal serangan tersebut sedini mungkin. Proses
ini istilah keren-nya Intrusion Detection.
PortSentry
adalah sebuah perangkat lunak yang di rancang untuk mendeteksi adanya port
scanning & meresponds secara aktif jika ada port scanning. Port scan adalah
proses scanning berbagai aplikasi servis yang dijalankan di server Internet.
Port scan adalah langkah paling awal sebelum sebuah serangan di lakukan. Terus
terang, cara meresponds PortSentry cukup sadiz, jika ada mesin yang tertangkap
basah melakukan port scan terhadap Server yang kita miliki maka secara aktif
akan memblokir mesin penyerang agar tidak dapat masuk & melakukan transaksi
dengan Server kita. Bagi mesin yang sial tersebut, maka jangan berharap untuk
melakukan hubungan ke Server yang kita miliki.
PortSentry
dapat di download secara gratis & tidak melanggar HAKI dari Psionic
Software http://www.psionic.com.
Selain PortSentry juga tersedia beberapa freeware di http://www.psionic.com seperti Logcheck
untuk audit software & HostSentry yang merupakan host based intrusion detection
dan melihat jika ada login yang tidak normal. Bagi anda yang menggunakan Linux
Mandrake 8.0, PortSentry biasanya sudah di bawa bersama CD Mandrake 8.0 jadi
tidak perlu terlalu pusing lagi dengan mendownload dari Internet.
Beberapa fitur utama dari PortSentry:
Beberapa fitur utama dari PortSentry:
Berjalan
di atas soket TCP & UDP untuk mendeteksi scan port ke sistem kita.
Mendeteksi
stealth scan, seperti SYN/half-open, FIN, NULL, X-MAS.
PortSentry
akan bereaksi secara real-time (langsung) dengan cara memblokir IP address si
penyerang. Hal ini dilakukan dengan menggunakan ipchains/ipfwadm dan memasukan
ke file /etc/host.deny secara otomatis oleh TCP Wrapper.
PortSentry
mempunyai mekanisme untuk mengingat mesin / host mana yang pernah connect ke
dia. Dengan cara itu, hanya mesin / host yang terlalu sering melakukan
sambungan (karena melakukan scanning) yang akan di blokir.
PortSentry
akan melaporkan semua pelanggaran melalui syslog dan mengindikasikan nama
system, waktu serangan, IP mesin penyerang, TCP / UDP port tempat serangan
dilakukan. Jika hal ini di integrasikan dengan Logcheck maka administrator
system akan memperoleh laporan melalui e-mail.
Dengan
adanya berbagai fitur di atas maka system yang kita gunakan tampaknya seperti
hilang dari pandangan penyerang. Hal ini biasanya cukup membuat kecut nyali
penyerang.
Penggunaan PortSentry sendiri sangat mudah sekali, bahkan untuk penggunaan
biasa saja praktis semua instalasi default tidak perlu di ubah apa-apa dapat
langsung digunakan. Instalasi PortSentry di Linux Mandrake 8.0 dapat dilakukan
pada saat instalasi awal dengan memilih paket portsentry, atau setelah Linux di
install dengan cara menggunakan Software Manager di desktop untuk menambahkan
portsentry. Yang mungkin perlu di tune-up sedikit adalah file konfigurasi
portsentry yang semuanya berlokasi di /etc/portsentry. Untuk mengedit file
konfigurasi tersebut anda membutuhkan privilige sebagai root. Pengalaman saya
selama ini, tidak banyak yang perlu di tune-up. Beberapa hal yang mungkin perlu
di set adalah
file /etc/portsentry/portsentry.conf merupakan konfigurasi utama portsentry. Disini secara bertahap diset port mana saja yang perlu di monitor, responds apa yang harus di lakukan ke mesin yang melakukan portscan, mekanisme menghilangkan mesin dari routing table, masukan ke host.deny. Proses setting sangat mudah hanya dengan membuka / menutup tanda pagar (#) saja. Pada kenyataannya, jika kita ambil dari distribusi Linux Mandrake, semua option di portsentry.conf yang ada kita diamkan saja portsentry sudah berjalan dengan baik.
pada
file /etc/portsentry/always_ignore masukan semua IP address di LAN yang harus
selalu di abaikan oleh portsentry. Saya biasanya memasukan IP address desktop /
laptop administrator LAN ke sini, agar tidak terblokir secara tidak sengaja.
Pada
file /etc/portsentry/portsentry.ignore isikan IP address yang perlu di abaikan
sama dengan isi file /etc/portsentry/always_ignore.
Pada
file /etc/portsentry.modes kita dapat menset mode deteksi yang dilakukan
portsentry. Semakin baik mode deteksi yang dipilih (advanced stealth TCP/UP
scanning), biasanya PortSentry akan semakin sensitif & semakin rewel karena
sedikit-sedikit akan memblokir mesin.
NIM: 141420308
NAMA: YOGI PRANATA
KLS: IF6IB
www.binadarma.ac.id
Nama Dosen Suryayusra,
M.Kom