Cara Deteksi dan Blok Serangan Port Scanning di Linux Dengan Portsentry

Cara Mengamankan Linux Server Dari Port Scanning Dengan Portsentry - Portsentry adalah aplikasi yang dirancang untuk mendeteksi port scanning dan merespon secara aktif dengan cara melakukan blocking terhadap IP yang melakukan scanning ke server kita. Portsentry dapat dikategorikan sebagai tool yang berfungsi sebagai intrusion detection, intrusion detection sendiri adalah suatu metode yang digunakan untuk mendeteksi aktivitas mencurigakan yang tidak wajar di dalam sebuah sistem komputer atau jaringan.

Apa itu port scanning?

Port scanning adalah aktivitas yang dilakukan oleh attacker sebagai bagian dari proses footprinting sebelum melakukan tahap penetration testing (percobaan penetrasi) ke dalam sistem komputer yang ditargetkan, dengan teknik port scanning ini maka attacker akan mengetahui layanan (service) apa dan port berapa yang statusnya terbuka pada server atau sistem target.

Jika diketahui ada layanan dan juga port yang statusnya terbuka, misalnya saja layanan SSH Server, maka si attacker akan mencoba melakukan serangkaian eksploitasi ke server kita melalui layanan SSH Server tersebut, contoh yang paling umum yaitu serangan brute force yang bertujuan untuk membobol password dengan metode dictionary attack.

Baca juga : 

Tutorial cara brute force attack dengan hydra

Tutorial cara brute force attack dengan medusa

Oleh karena itu kita perlu memasang software intrusion detection seperti portsentry ini, dengan tool ini kita akan lebih aware jika ada attacker yang mencoba melakukan scanning port pada server kita, selain mampu mendeteksi serangan port scanning, portsentry juga mampu melakukan blocking alamat IP yang mencoba melakukan scanning port ke server kita.

Portsentry mampu mendeteksi port scanning baik melalui protokol TCP maupun UDP, dan juga mampu mendeteksi stealth scan seperti SYN/half-open, FIN, NULL, dan X-MAS scan. Setiap mesin yang menjalankan port scanning akan dideteksi oleh portsentry kemudian alamat IPnya dimasukkan ke file hosts.deny oleh TCPWrapper untuk kemudian akan diblock oleh ipchain/iptables.

Cara Install PortSentry di Linux

PortSentry sendiri sudah tersedia di repositori ubuntu, sehingga untuk menginstallnya kita tinggal menjalankan perintah apt-get install saja melalui konsol terminal.

$ sudo apt-get install portsentry

Ketika proses instalasi berlangsung, akan muncul tampilan seperti gambar di bawah ini yang memberitahukan bahwa portsentry secara default tidak melakukan blocking apapun, tekan enter pada keyboard untuk melanjutkan.

Cara Konfigurasi PortSentry di Linux

Jika sudah selesai, kita harus melakukan beberapa perubahan pada file konfigurasi portsentry agar portsentry dapat melakukan deteksi port scanning dari mesin lain dan juga melakukan blocking terhadap alamat IP tersebut. Buka file portsentry.conf dengan teks editor, contoh disini saya pakai teks editor nano, jika kamu kurang familiar dengan teks editor berbasis CLI, kamu bisa pakai teks editor GUI seperti gedit, mousepad atau leafpad.

$ sudo nano /etc/portsentry/portsentry.conf

Kemudian cari baris berikut.

BLOCK_UDP="0"
BLOCK_TCP="0"

Ganti angka 0 menjadi 1 seperti gambar berikut.

Lalu cari baris berikut.

#KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

Fungsinya yaitu agar iptables mendrop koneksi yang berasal dari alamat IP yang melakukan scanning port ke server kita, agar perintah tersebut bisa bergungsi maka hilangkan tanda pagar di belakang baris tersebut seperti ini.

Kemudian cari baris.

#KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"

Hilangkan tanda pagar di belakang baris tersebut, tapi secara default tanda pagar di belakang baris tersebut sudah hilang, jadi biarkan saja begitu. Fungsi baris perintah tersebut yaitu agar alamat IP yang melakukan scanning port ke server kita dimasukkan secara otomatis oleh TCPWrapper ke file hosts.deny.

Kita cukup melakukan perubahan konfigurasi 3 itu saja pada file portsentry.conf, jika sudah, kita restart service portsentry dengan menjalankan perintah berikut.

$ sudo service portsentry restart

Untuk melihat status dari portsentry, kamu bisa jalankan perintah.

$ sudo service portsentry restart

Kemudian untuk memantau aktivitas port scanning ke server kita, jalankan perintah berikut.

$ tail -f /var/log/syslog

Jika ada aktivitas port scanning ke server kita, maka portsentry akan mendeteksinya yang bisa kita pantau melalui syslog. Contohnya seperti gambar di bawah ini, dimana terdapat aktivitas scanning port dari alamat IP 192.168.12.76 dan berhasil diblock oleh portsentry.

Setiap alamat IP yang melakukan scanning port akan dimasukkan oleh TCPWrapper secara otomatis ke file hosts.deny, kamu bisa mengeceknya dengan perintah berikut.

$ cat /etc/hosts.deny

Selain itu, portsentry juga memiliki kemampuan untuk mengingat alamat IP mana yang sering melakukan scanning port, ini karena setiap alamat IP yang melakukan scanning port akan dimasukkan juga ke dalam file portsentry.history, kamu bisa mengeceknya dengan perintah.

$ sudo cat /var/lib/portsentry/portsentry.history

Berikut adalah hasil scanning dari komputer lain menggunakan aplikasi nmap ke server yang menjalankan portsentry.

Dari gambar di atas bisa dilihat bahwa semua port pada server statusnya filtered, hal ini karena aktivitas scanning port terdeteksi oleh portsentry kemudian alamat IPnya dimasukkan ke file hosts.deny oleh TCPWrapper dan berdasarkan file hosts.deny tersebut iptables melakukan blocking koneksi agar komputer penyerang tidak dapat berkomunikasi dengan server kita.

Baca juga : Cara mengubah port SSH di server debian dan ubuntu

Demikianlah langkah-langkah instalasi dan konfigurasi portsentry untuk memproteksi server dari serangan port scanning. Semoga bermanfaat dan terimakasih.

Read More

Cara Mengubah Port SSH di Debian dan Ubuntu Server

Cara Mengubah Port SSH di Debian dan Ubuntu Server - SSH (Secure Shell) merupakan protokol jaringan berbasis kriptografi yang digunakan untuk remote shell dan juga komunikasi data secara aman pada jaringan komputer. SSH memiliki kemampuan melakukan enkripsi dan dekripsi data yang dipertukarkan antara host client dan server.

Protokol SSH berjalan pada TCP 22, protokol ini dirancang guna menggantikan protokol serupa yaitu telnet, yang mana protokol telnet tidak memiliki kemampuan enkripsi data sehingga proses pertukaran data yang terjadi dapat disniffing karena mengirimkan seluruh informasi dalam bentuk plain teks yang dapat dibaca dengan mudah.

Selain dipakai untuk remote shell layaknya telnet, SSH juga bisa digunakan untuk proses pertukaran data antara server dengan client menggunakan SFTP (Secure File Transfer Protocol). SFTP merupakan protokol pengganti FTP yang kurang aman dan tidak terenkripsi.

Cara Mengubah Port SSH di Linux

Service SSH merupakan salah satu service yang sangat penting, karena melalui service ini kita bisa melakukan remote shell yang ada di server dengan mudah melalui antar muka teks (CLI).

Semua konfigurasi pada server bisa dilakukan melalui koneksi SSH, misalnya saja kamu manage VPS untuk website atau mail server kamu. Namun ternyata, service SSH yang terbuka pada server juga bisa dimanfaatkan oleh hacker untuk mencoba serangkaian teknik hacking guna mendapatkan unauthorized access ke server, teknik yang paling umum dipakai biasanya yaitu serangan brute force.

Baca juga :
Cracking password dengan hydra
Cracking password dengan medusa

Salah satu cara untuk mengamankannya yaitu dengan mengubah default port SSH dari port 22 menjadi port lain yang tidak umum, misalnya saja kita ubah ke port 2288.

 

Untuk mengubah port SSH kita harus mengedit file SSH daemon dengan teks editor, jalankan perintah berikut untuk membuka filenya.

$ sudo nano /etc/ssh/sshd_config

Kemudian cari ini.

 

#Port 22

Kemudian ganti angka 22 menjadi angka 2288 (atau port number lain yang kamu inginkan), hilangkan juga tanda pagar di belakangnya agar baris tersebut dapat dieksekusi oleh sistem.

Lalu simpan file sshd_config yang baru saja kita edit dengan menekan tombol kombinasi CTRL + X, lalu ketik Y pada keyboard dan tekan tombol enter.

Terakhir silahkan service SSHnya dengan menjalankan perintah berikut.

$ sudo service ssh restart

Untuk melihat apakah port 2288 sudah open atau belum, kamu bisa mengeceknya dengan nmap, perintahnya seperti ini.

$ nmap localhost

Atau ..

$ nmap localhost -p2288 

Nah ternyata port 2288 statusnya sudah open, kemudian sekarang kita coba remote SSH dari komputer client melalui port 2288, bisa pakai putty atau dari konsol terminal langsung seperti ini.

Hasilnya kita berhasil login SSH ke server melalui port 2288 yang sebelumnya sudah kita setting. Dengan begitu maka server kita akan lebih aman dari serangan brute force yang dilakukan oleh orang-orang yang tidak bertanggung jawab yang ingin mengambil alih server kita.

Selain mengganti default port, kita juga bisa mengamankan login SSH dengan memproteksinya menggunakan Fail2ban, tutorialnya insyaallah akan saya posting secepatnya kalau tidak ada halangan.

 Demikian tutorial kali ini, semoga bermanfaat dan terimakasih.

Read More

Tutorial Cara Install Hydra di Ubuntu

Tutorial Cara Install THC Hydra di Ubuntu - Hydra adalah salah satu tool security yang dipakai untuk melakukan cracking password secara remote. Tool ini dikembangkan oleh THC (The Hacker Choice) di bawah lisensi AGPLv3.

Hydra memiliki kelebihan dibandingkan tool cracking password yang lain seperti Medusa, Fang dan Ncrack. Ini karena hydra mampu melakukan cracking password lebih cepat dan bisa melakukan cracking terhadap banyak protokol, berikut adalah protokol-protokol yang bisa dicrack dengan tool hydra.

Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP-POST, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTPS-POST, HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MEMCACHED, MONGODB, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, Radmin, RDP, Rexec, Rlogin, Rsh, RTSP, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP v1+v2+v3, SOCKS5, SSH (v1 and v2), SSHKEY, Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.

Metode yang dipakai oleh hydra yaitu brute force. Brute force sendiri merupakan teknik dimana attacker mengcrack password dengan cara melakukan percobaan login sebanyak mungkin sampai akhirnya menemukan kombinasi username dan password yang tepat.

Kalau kamu menggunakan distro linux khusus untuk pentest seperti Kali Linux, Backbox atau Parrot Security, maka tool hydra ini sudah include di dalamnya tanpa harus kamu install secara manual. Namun jika pakai distro linux biasa kamu harus menginstalnya secara manual.

Cara Install Hydra di Ubuntu

Di artikel ini saya akan jelaskan langkah-langkah cara install hydra di Ubuntu dengan perintah apt-get dan juga compile langsung dari source codenya yang kita download dari laman github.

Cara install hydra melalui source code

Untuk menginstall hydra langsung melalui source code, kamu harus menginstall dependensinya terlebih dahulu. Dependensi sendiri adalah file pendukung yang dibutuhkan oleh sistem agar suatu program dapat dijalankan.

Buka konsol terminal, kemudian paste perintah di bawah ini. 

sudo apt-get install git make libssl-dev libssh-dev libidn11-dev libpcre3-dev libgtk2.0-dev libmysqlclient-dev libpq-dev libsvn-dev firebird-dev libmemcached-dev libgpg-error-dev libgcrypt11-dev libgcrypt20-dev

Download source code hydra dari github dengan git clone.

$ git clone https://github.com/vanhauser-thc/thc-hydra.git

Tunggu sampai selesai, jika sudah, masuk ke direktori hydra.

$ cd thc-hydra/

Install hydra dengan menjalankan perintah berikut satu-persatu.

$ ./configure
$ make
$ make install

Untuk menjalankannya kamu tinggal ketik perintah berikut.

$ ./hydra

Kalau lebih suka hydra versi GUI, kamu juga bisa menginstall hydra-gtk, silahkan jalankan perintah ini.

$ cd hydra-gtk && sh ./make_xhydra.sh

$ cd -

Kemudian jalankan hydra versi GUI dengan mengeksekusi file xhydra.

$ ./xhydra

Cara install hydra melalui source code

Selain compile langsung melalui source code yang didownload dari github, kamu juga bisa menginstall hydra dengan apt-get, kebetulan tool hydra ini sudah tersedia di repositori ubuntu, jadi tinggal jalankan perintah ini aja.

$ sudo apt-get install hydra hydra-gtk

Nah begitulah langkah-langkah cara install hydra di ubuntu, di tutorial selanjutnya saya akan bahas bagaimana melakukan cracking password (brute force) dengan tool hydra. Semoga bermanfaat dan terimakasih.

Baca juga :
Cara cracking password router dengan hydra

Read More

Cara Melihat Password WiFi Yang Tersimpan di Linux Melalui Terminal

Cara Melihat Password Yang Tersimpan di Linux Melalui Terminal - WiFi adalah teknologi komunikasi yang memanfaatkan peralatan elektronik untuk bertukar data menggunakan media wireless (nirkabel/tanpa kabel) pada sebuah jaringan komputer, wifi umumnya dipakai untuk mengakomodir kebutuhan akses internet client yang memiliki mobilitas tinggi (berpindah-pindah).

Di era digital seperti sekarang ini, wifi sudah banyak digunakan dan sangat mudah dijumpai, misalnya saja di kafe, restaurant, sekolah, kampus maupun area perkantoran. Hal ini tak lain karena teknologi wifi memberikan kemudahan kepada client untuk terhubung ke jaringan internet secara mobile dan tidak terpaku oleh kabel.

Agar bisa terhubung ke jaringan via wifi, maka kita memerlukan password WPA/WPA2 PSK untuk proses otentikasi yang sebelumnya sudah diset ketika pertama kali menginstal jaringan wifi. Jika laptop sudah berhasil terkoneksi, maka selanjutnya profile wifi akan disimpan pada system komputer sehingga ketika kita ingin terkoneksi kembali ke jaringan wifi, kita tidak perlu repot-repot menginput ulang password wifi.

Baca juga : Cara mengetahui password wifi yang tersimpan di windows

Sebagai pengguna, tentunya kita akan dimudahkan karena cukup menginput password wifi sekali saja kita bisa terhubung kapan saja tanpa harus menginput passwordnya berulang kali. Namun masalahnya terkadang kita suka lupa password wifi kita sendiri sehingga tidak bisa mengkoneksikan device baru.

Me-reset konfigurasi router wifi tentunya bukan pilihan tepat, terlebih jika alasannya hanya karena lupa password, solusinya kita bisa mengecek password wifi pada komputer / laptop yang sebelumnya pernah terkoneksi.

Cara Mengetahui Password WiFi di Linux Melalui Terminal

Pada operating system berbasis GNU/Linux kita bisa melihat password wifi yang sudah tersimpan dengan mudah, yaitu melalui konsol terminal menggunakan antar muka baris perintah (CLI).

Caranya buka konsol terminal, kemudian kita pindah ke direktori /etc/NetworkManager/system-connections dengan mengetikkan perinah berikut.

Baca juga : Cara pindah antar direktori melalui terminal linux

cd /etc/NetworkManager/system-connections

Pada sub direktori ../system-connections inilah semua profile wifi yang pernah kita pakai akan tersimpan, kamu bisa menampilkannya dengan perintah ls.

Baca juga : Cara menampilkan isi folder di linux melalui terminal

Selain profile wifi, di dalam sub direktori ../system-connections juga menyimpan file konfigurasi untuk interface VPN dan Wired connection (interface ethernet).

Sekarang kita akan coba menampilkan password wifi yang tersimpan pada SSID tutorialjaringan.com, kita bisa menampilkannya dengan perintah cat.

sudo cat tutorialjaringan.com

Dari output perintah cat di atas, kita bisa menemukan password wifinya pada kolom psk seperti yang saya tandai dengan tanda panah berwarna merah.

Mudah bukan ? dengan begitu kamu gak perlu lagi panik kalau lupa password wifi karena kamu bisa mengeceknya melalui profile wifi yang sudah tersimpan di system linux.

Demikian tutorial cara mengetahui password wifi pada linux, semoga bermanfaat dan terima kasih.

Sumber referensi :

• How to find the wifi password stored on linux

Read More