Cara Deteksi dan Blok Serangan Port Scanning di Linux Dengan Portsentry

Cara Mengamankan Linux Server Dari Port Scanning Dengan Portsentry - Portsentry adalah aplikasi yang dirancang untuk mendeteksi port scanning dan merespon secara aktif dengan cara melakukan blocking terhadap IP yang melakukan scanning ke server kita. Portsentry dapat dikategorikan sebagai tool yang berfungsi sebagai intrusion detection, intrusion detection sendiri adalah suatu metode yang digunakan untuk mendeteksi aktivitas mencurigakan yang tidak wajar di dalam sebuah sistem komputer atau jaringan.

Apa itu port scanning?

Port scanning adalah aktivitas yang dilakukan oleh attacker sebagai bagian dari proses footprinting sebelum melakukan tahap penetration testing (percobaan penetrasi) ke dalam sistem komputer yang ditargetkan, dengan teknik port scanning ini maka attacker akan mengetahui layanan (service) apa dan port berapa yang statusnya terbuka pada server atau sistem target.

Jika diketahui ada layanan dan juga port yang statusnya terbuka, misalnya saja layanan SSH Server, maka si attacker akan mencoba melakukan serangkaian eksploitasi ke server kita melalui layanan SSH Server tersebut, contoh yang paling umum yaitu serangan brute force yang bertujuan untuk membobol password dengan metode dictionary attack.

Baca juga : 

Tutorial cara brute force attack dengan hydra

Tutorial cara brute force attack dengan medusa

Oleh karena itu kita perlu memasang software intrusion detection seperti portsentry ini, dengan tool ini kita akan lebih aware jika ada attacker yang mencoba melakukan scanning port pada server kita, selain mampu mendeteksi serangan port scanning, portsentry juga mampu melakukan blocking alamat IP yang mencoba melakukan scanning port ke server kita.

Portsentry mampu mendeteksi port scanning baik melalui protokol TCP maupun UDP, dan juga mampu mendeteksi stealth scan seperti SYN/half-open, FIN, NULL, dan X-MAS scan. Setiap mesin yang menjalankan port scanning akan dideteksi oleh portsentry kemudian alamat IPnya dimasukkan ke file hosts.deny oleh TCPWrapper untuk kemudian akan diblock oleh ipchain/iptables.

Cara Install PortSentry di Linux

PortSentry sendiri sudah tersedia di repositori ubuntu, sehingga untuk menginstallnya kita tinggal menjalankan perintah apt-get install saja melalui konsol terminal.

$ sudo apt-get install portsentry

Ketika proses instalasi berlangsung, akan muncul tampilan seperti gambar di bawah ini yang memberitahukan bahwa portsentry secara default tidak melakukan blocking apapun, tekan enter pada keyboard untuk melanjutkan.

Cara Konfigurasi PortSentry di Linux

Jika sudah selesai, kita harus melakukan beberapa perubahan pada file konfigurasi portsentry agar portsentry dapat melakukan deteksi port scanning dari mesin lain dan juga melakukan blocking terhadap alamat IP tersebut. Buka file portsentry.conf dengan teks editor, contoh disini saya pakai teks editor nano, jika kamu kurang familiar dengan teks editor berbasis CLI, kamu bisa pakai teks editor GUI seperti gedit, mousepad atau leafpad.

$ sudo nano /etc/portsentry/portsentry.conf

Kemudian cari baris berikut.

BLOCK_UDP="0"
BLOCK_TCP="0"

Ganti angka 0 menjadi 1 seperti gambar berikut.

Lalu cari baris berikut.

#KILL_ROUTE="/sbin/iptables -I INPUT -s $TARGET$ -j DROP"

Fungsinya yaitu agar iptables mendrop koneksi yang berasal dari alamat IP yang melakukan scanning port ke server kita, agar perintah tersebut bisa bergungsi maka hilangkan tanda pagar di belakang baris tersebut seperti ini.

Kemudian cari baris.

#KILL_HOSTS_DENY="ALL: $TARGET$ : DENY"

Hilangkan tanda pagar di belakang baris tersebut, tapi secara default tanda pagar di belakang baris tersebut sudah hilang, jadi biarkan saja begitu. Fungsi baris perintah tersebut yaitu agar alamat IP yang melakukan scanning port ke server kita dimasukkan secara otomatis oleh TCPWrapper ke file hosts.deny.

Kita cukup melakukan perubahan konfigurasi 3 itu saja pada file portsentry.conf, jika sudah, kita restart service portsentry dengan menjalankan perintah berikut.

$ sudo service portsentry restart

Untuk melihat status dari portsentry, kamu bisa jalankan perintah.

$ sudo service portsentry restart

Kemudian untuk memantau aktivitas port scanning ke server kita, jalankan perintah berikut.

$ tail -f /var/log/syslog

Jika ada aktivitas port scanning ke server kita, maka portsentry akan mendeteksinya yang bisa kita pantau melalui syslog. Contohnya seperti gambar di bawah ini, dimana terdapat aktivitas scanning port dari alamat IP 192.168.12.76 dan berhasil diblock oleh portsentry.

Setiap alamat IP yang melakukan scanning port akan dimasukkan oleh TCPWrapper secara otomatis ke file hosts.deny, kamu bisa mengeceknya dengan perintah berikut.

$ cat /etc/hosts.deny

Selain itu, portsentry juga memiliki kemampuan untuk mengingat alamat IP mana yang sering melakukan scanning port, ini karena setiap alamat IP yang melakukan scanning port akan dimasukkan juga ke dalam file portsentry.history, kamu bisa mengeceknya dengan perintah.

$ sudo cat /var/lib/portsentry/portsentry.history

Berikut adalah hasil scanning dari komputer lain menggunakan aplikasi nmap ke server yang menjalankan portsentry.

Dari gambar di atas bisa dilihat bahwa semua port pada server statusnya filtered, hal ini karena aktivitas scanning port terdeteksi oleh portsentry kemudian alamat IPnya dimasukkan ke file hosts.deny oleh TCPWrapper dan berdasarkan file hosts.deny tersebut iptables melakukan blocking koneksi agar komputer penyerang tidak dapat berkomunikasi dengan server kita.

Baca juga : Cara mengubah port SSH di server debian dan ubuntu

Demikianlah langkah-langkah instalasi dan konfigurasi portsentry untuk memproteksi server dari serangan port scanning. Semoga bermanfaat dan terimakasih.

Read More

Cara Mengubah Port SSH di Debian dan Ubuntu Server

Cara Mengubah Port SSH di Debian dan Ubuntu Server - SSH (Secure Shell) merupakan protokol jaringan berbasis kriptografi yang digunakan untuk remote shell dan juga komunikasi data secara aman pada jaringan komputer. SSH memiliki kemampuan melakukan enkripsi dan dekripsi data yang dipertukarkan antara host client dan server.

Protokol SSH berjalan pada TCP 22, protokol ini dirancang guna menggantikan protokol serupa yaitu telnet, yang mana protokol telnet tidak memiliki kemampuan enkripsi data sehingga proses pertukaran data yang terjadi dapat disniffing karena mengirimkan seluruh informasi dalam bentuk plain teks yang dapat dibaca dengan mudah.

Selain dipakai untuk remote shell layaknya telnet, SSH juga bisa digunakan untuk proses pertukaran data antara server dengan client menggunakan SFTP (Secure File Transfer Protocol). SFTP merupakan protokol pengganti FTP yang kurang aman dan tidak terenkripsi.

Cara Mengubah Port SSH di Linux

Service SSH merupakan salah satu service yang sangat penting, karena melalui service ini kita bisa melakukan remote shell yang ada di server dengan mudah melalui antar muka teks (CLI).

Semua konfigurasi pada server bisa dilakukan melalui koneksi SSH, misalnya saja kamu manage VPS untuk website atau mail server kamu. Namun ternyata, service SSH yang terbuka pada server juga bisa dimanfaatkan oleh hacker untuk mencoba serangkaian teknik hacking guna mendapatkan unauthorized access ke server, teknik yang paling umum dipakai biasanya yaitu serangan brute force.

Baca juga :
Cracking password dengan hydra
Cracking password dengan medusa

Salah satu cara untuk mengamankannya yaitu dengan mengubah default port SSH dari port 22 menjadi port lain yang tidak umum, misalnya saja kita ubah ke port 2288.

 

Untuk mengubah port SSH kita harus mengedit file SSH daemon dengan teks editor, jalankan perintah berikut untuk membuka filenya.

$ sudo nano /etc/ssh/sshd_config

Kemudian cari ini.

 

#Port 22

Kemudian ganti angka 22 menjadi angka 2288 (atau port number lain yang kamu inginkan), hilangkan juga tanda pagar di belakangnya agar baris tersebut dapat dieksekusi oleh sistem.

Lalu simpan file sshd_config yang baru saja kita edit dengan menekan tombol kombinasi CTRL + X, lalu ketik Y pada keyboard dan tekan tombol enter.

Terakhir silahkan service SSHnya dengan menjalankan perintah berikut.

$ sudo service ssh restart

Untuk melihat apakah port 2288 sudah open atau belum, kamu bisa mengeceknya dengan nmap, perintahnya seperti ini.

$ nmap localhost

Atau ..

$ nmap localhost -p2288 

Nah ternyata port 2288 statusnya sudah open, kemudian sekarang kita coba remote SSH dari komputer client melalui port 2288, bisa pakai putty atau dari konsol terminal langsung seperti ini.

Hasilnya kita berhasil login SSH ke server melalui port 2288 yang sebelumnya sudah kita setting. Dengan begitu maka server kita akan lebih aman dari serangan brute force yang dilakukan oleh orang-orang yang tidak bertanggung jawab yang ingin mengambil alih server kita.

Selain mengganti default port, kita juga bisa mengamankan login SSH dengan memproteksinya menggunakan Fail2ban, tutorialnya insyaallah akan saya posting secepatnya kalau tidak ada halangan.

 Demikian tutorial kali ini, semoga bermanfaat dan terimakasih.

Read More

Cara Setting DNS / Name Server Secara Permanen di Ubuntu Server

Cara Mengatasi Resolv.conf Selalu Berubah Setelah Restart Server - DNS (Domain Name System) adalah server yang berfungsi untuk melakukan translasi alamat IP menjadi nama domain agar mudah dipahami oleh manusia. Bayangkan jika tidak ada DNS, ketika kita hendak mengunjungi mesin telusur Google maka kita harus mengetikkan alamat IP berupa deretan angka-angka desmial, repot kan?

DNS sendiri dibagi menjadi 2, yaitu DNS Server yang bertugas melakukan kueri dan juga DNS resolver yang akan melakukan request ke DNS Server. Nah, DNS resolver inilah yang biasanya kita konfigurasikan di komputer agar komputer client bisa internetan.

Selain komputer client, komputer yang ditugaskan sebagai server juga perlu kita konfigurasikan DNS resolver agar dapat terhubung ke jaringan internet. Jika kita menggunakan sistem operasi debian-based seperti ubuntu untuk servernya, kita bisa menambahkan entri DNS resolver pada file /etc/resolv.conf.

Namun masalahnya adalah, jika PC server tersebut direstart, maka entri DNS yang sudah kita konfigurasi pada file /etc/resolv.conf, akan hilang secara otomatis, sehingga PC server tidak bisa konek ke internet.

Mengatasi Resolv.conf Selalu Berubah Setelah Restart Server

Untuk mengatasinya ternyata cukup mudah, solusinya yaitu jangan menambahkan entri DNS resolver pada file /etc/resolv.conf karena jika PC servernya direstart file tersebut akan kosong seperti sebelumnya.

Cara mengatasinya sama seperti ketika kamu mengkonfigurasi alamat IP, yaitu dengan mengubah file /etc/network/interfaces, jadi cukup edit file tersebut pakai teks editor, misalnya pakai teks editor nano.

$ sudo nano /etc/network/interfaces

Berikut adalah contoh sebelum ditambahkan entri DNS.

Kemudian tambahkan entri DNS pada baris paling bawah dengan format.

dns-nameserver [dns1] [dns2]

Contohnya seperti ini.

Jika sudah, silahkan simpan kembali file tersebut agar penambahan konfigurasi yang baru saja dilakukan tidak hilang.

Dengan begitu kita tidak perlu lagi menambahkan DNS / nameserver pada file /etc/resolv.conf karena file tersebut akan terisi secara otomatis seperti ini.

Setelah itu, silahkan cek dengan perintah ping untuk membuktikan apakah konfigurasi sudah berjalan dengan baik atau belum.

Baca juga : Langkah-langkah mengecek koneksi dengan ping

Sekarang meskipun PC server kamu restart, konfigurasi DNS pada file /etc/resolv.conf tidak akan hilang, demikian tutorial singkat kali semoga bermanfaat dan terimakasih.

Read More