Dasar-Dasar Security Pendahuluan Keamanan komputer maupun jaringan komputer, terutama yang terhubung ke internet harus direncanakan dan dikoordinasikan dengan baik agar dapat melindungi sumber daya (resource) dan investasi di dalamnya. Informasi (data) dan service (pelayanan) sudah menjadi sebuah komoditi yang sangat penting. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi suatu organisasi, baik yang berupa organisasi komersial
(perusahaan), perguruan tinggi, lembaga pemerintahan, maupun
individual (pribadi). Aspek-aspek Security Dalam mengamankan jaringan ada beberapa aspek yang harus kita perhatikan dan dijaga, antara lain:
Kestabilan Sistem Sistem yang kita buat harus stabil sejalan dengan waktu, dalam arti bila sewaktu-waktu terjadi perubahan pada perilaku hardware maupun software yang lain dari biasanya. Administrator harus mampu segera mengatasi masalahmasalah tersebut, seperti memperbaiki bug yang ada, melakukan upgrade, dan mengganti device rusak.
Ketersediaan data dan kerahasiaan Harus ada perlindungan terhadap informasi baik berupa data, program, dan segala hal yang dianggap penting agar tidak dihapus atau dirubah oleh orang lain yang tidak berhak. Selain itu harus ada jaminan terhadap informasi agar tidak bisa diakses/diketahui atau diubah oleh orang lain yang tidak berhak
Ketersediaan service
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Servis-servis yang kita sediakan di dalam jaringan harus dijaga agar selalu tersedia tanpa adanya gangguan
Kendali Harus ada sistem pengendalian tertentu, seperti mengatur hak akses di dalam sistem jaringan. Karena perilaku pemakai sulit ditebak maka pengguna harus dibatasi dalam melakukan akses pada daerah dimana ia berwenang, sedangkan bagi pengguna luar harus ditolak.
Monitoring Administrator harus melakukan pemantauan terhadap sistem jaringan yang dibangunnya, siapa yang telah mengakses dan menggunakan servis, aktivitas apa yang telah dilakukan, mencari sela-sela sistem yang belum terlindungi, memantau catatan logging sistem, mendeteksi penyusup yang masuk dll.
Sangat penting di sini untuk mengembangkan budaya memperhatikan aspek keamanan
dalam
menggunakan
setiap
fasilitas
jaringan
kepada
seluruh
user/pengguna. Perlu diperhatikan bagi administrator jaringan agar para pengguna jaringan ikut menjaga keamanan jaringan, misalnya dengan menerapkan disiplin menggunakan login miliknya dan tidak memberikannya kepada siapa pun, mengganti password secara berkala, dan hal-hal lain yang berguna untuk membangun semangat untuk melindungi jaringan secara bersama. Pengaturan Akses dalam Sistem Unix Salah satu cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur akses ke informasi melalui mekanisme “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”. Di sistem Unix, untuk menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses authentication dengan menuliskan “userid” dan “password”. Informasi yang diberikan ini dibandingkan dengan userid dan password yang berada di sistem. Apabila keduanya valid, pemakai yang bersangkutan diperbolehkan menggunakan sistem. Apabila ada yang salah, pemakai tidak dapat
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
menggunakan sistem. Informasi tentang kesalahan ini biasanya dicatat dalam berkas log. Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat. Misalnya, ada yang menuliskan informasi apabila pemakai memasukkan userid dan password yang salah sebanyak tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun baru satu kali salah. Informasi tentang waktu kejadian juga dicatat. Selain itu asal hubungan (connection) juga dicatat sehingga administrator dapat memeriksa keabsahan hubungan. Password di Sistem Unix Akses ke sistem UNIX menggunakan password yang biasanya disimpan di dalam berkas /etc/passwd. Di dalam berkas ini disimpan nama, userid, password, dan informasi-informasi lain yang digunakan oleh bermacam-macam program. Contoh isi berkas password dapat dilihat di bawah ini (dapat dibuka juga dengan perintah ‘vipw’): root:fi3sED95ibqR7:0:1:System Operator:/:/sbin/sh daemon:*:1:1::/tmp: hakim:d98skjhj9l:72:98:Rahmat Hakim:/home/hakim:/bin/bash Field sandhy d98skjhj9l 72 98 Sandhy Hasan /home/sandhy /bin/bash
Isi Nama atau userid pemakai password yang sudah terenkripsi (encrypted pass-word) UID, user identification number GID, group identification number nama lengkap dari pemakai (sering juga disebut GECOS a atau GCOS field) home directory dari pemakai shell dari pemakai.
Pada sistem UNIX lama, biasanya berkas /etc/passwd ini “readable”, yaitu dapat dibaca oleh siapa saja. Meskipun kolom password di dalam berkas itu berisi “encrypted password” (password yang sudah terenkripsi), tetapi ini merupakan potensi sumber lubang keamanan. Ada program tertentu yang dapat digunakan untuk memecah password tersebut. Contoh program ini antara lain: crack (UNIX), viper (perl script), dan cracker jack (DOS). Program “password cracker” ini tidak dapat mencari tahu kata kunci dari kata yang sudah terenkripsi. Akan tetapi, yang dilakukan oleh program ini adalah melakukan coba-coba (brute force attack). Salah
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
satu
caranya
adalah
mengambil
kata
dari
kamus
(dictionary)
kemudian
mengenkripsinya. Apabila hasil enkripsi tersebut sama dengan password yang sudah terenkripsi (encrypted password), maka kunci atau passwordnya ketemu. Selain melakukan “lookup” dengan menggunakan kamus, biasanya program “password cracker”
tersebut
memiliki
beberapa algoritma heuristic
seperti
menambahkan angka di belakangnya, atau membaca dari belakang (terbalik), dan seterusnya. Semakin sederhana password yang digunakan
maka kemungkinan
terpecahnya password tersebut akan semakin tinggi dan semakin cepat selesainya. Shadow Password Salah satu cara untuk mempersulit mendapatkan berkas yang berisi password (meskipun
terenkripsi)
adalah
dengan
menggunakan
“shadow
password”.
Mekanisme ini menggunakan berkas /etc/shadow untuk menyimpan encrypted password, sementara kolom password di berkas /etc/passwd berisi karakter “x”. Berkas /etc/shadow tidak dapat dibaca secara langsung oleh pemakai biasa (bersifat hidden), tetapi bisa diakses oleh user root. Beberapa perintah dan fungsi yang berhubungan dengan account dan password : chage (mengeset password expiration) chfn (untuk mengubah finger information) chsh (mengubah default shell) gpasswd (menambah user dalam group tertentu) groupadd (menambah group) groupdel (menghapus group) groupmod (mengubah setting/informasi group) id (menampilkan informasi ID beberapa informasi) login (untuk login) newgrp (mengganti group efektif) passwd (membuat password atau mengubah password) su (substitue user) userdel (menghapus user) usermod (mengubah setting dan informasi user)
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Pemilihan Password Dengan adanya kemungkinan password ditebak, misalnya dengan menggunakan program password cracker, maka memilih password memegang peranan yang sangat penting dan memerlukan perhatian khusus. Berikut ini adalah daftar hal-hal yang sebaiknya tidak digunakan sebagai password : •
Nama orang, dan hewan.
•
Nama komputer, nomor telepon atau plat nomor kendaran.
•
Tanggal lahir, alamat rumah, nama tempat yang terkenal.
•
Kata-kata yang terdapat dalam kamus (misal : bahasa Indonesia, bahasa Inggris).
•
Password dengan karakter yang sama diulang-ulang
•
Password yang mengurutkan penekanan tombol pada keyboard
Sebaiknya jangan menggunakan password yang terdapat dalam kamus, atau katakata yang umum digunakan. Gunakan kombinasi huruf besar dan kecil, dan gunakan angka atau karakter lainnya. Password yang kita gunakan semakin panjang tentu semakin baik. Panjang password minimal secara default biasanya adalah 7 karakter. Kita bisa mengeset sesuai dengan kebutuhan kita (misal = 8 karakter). Untuk itu editlah file /etc/login.defs dengan text editor favorit anda : [root]# vi /etc/login.defs kemudian pada bagian PASS_MIN_LEN 7 (ganti 7 dengan 8). Dasar-dasar Enkripsi Enkripsi adalah proses pengubahan/konversi/penyandian suatu informasi ke bentuk tertentu sehingga tidak dimengerti/tidak dapat dimanfaatkan oleh pihak yang tidak berhak. Enkripsi digunakan untuk melindungi data. Dekripsi adalah kebalikan dari proses enkripsi. Data-data penting yang ada dan yang anda kirimkan bisa diubah sedemikian rupa sehingga tidak mudah disadap. Jenis-jenis metode enkripsi ini banyak sekali, misal : DES (Data Encryption System), PEM (Privacy Enhanced Mail), PGP (Pretty Good Privacy), SSL (Secure Socket Layer), MD5 dll.
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti telnet. Informasi ini dapat dilihat dengan mudah oleh program penyadap (sniffer). Aplikasi-aplikasi yang sering digunakan untuk enkripsi antara lain : •
SSH (Secure Shell), merupakan aplikasi enkripsi digunakan terutama untuk remote akses sebagai pengganti telnet/rlogin.
•
Gpg (Encryption and signing Tool), merupakan aplikasi enkripsi/dekripsi data.
•
Crypt, biasa terdapat pada sistem berbasis Unix.
•
SSL, aplikasi enkripsi data yang berbasis web.
•
PGP, aplikasi enkripsi data yang berbasis email.
Serangan Terhadap Sistem Keamanan Serangan pada keamanan jaringan sangat banyak jenisnya. Bahkan mungkin ditemukan cara-cara baru yang lebih mudah dan efektif serta tidak terlalu membutuhkan kemampuan yang tinggi. Serangan-serangan ini ada yang bersifat mengganggu, merusak, bahkan mengambil alih posisi superuser (root). Serangan yang sering terjadi di internet di antaranya : •
Scanning Scan adalah probe dalam jumlah besar menggunakan tool secara otomatis dengan tujuan tertentu (misal : mendeteksi kelemahan-kelemahan pada host tujuan). Scanner biasanya bekerja dengan men-scan port TCP /IP dan servisservisnya dan mencatat respon dari komputer target. Dari scanner ini dapat diperoleh informasi mengenai port-port mana saja yang terbuka. Kemudian yang dilakukan adalah mencari tahu kelemahan-kelemahan yang mungkin bisa dimanfaatkan berdasar port yang terbuka dan aplikasi serta versi aplikasi yang digunakan.
•
Sniffing Sniffer adalah device (software maupun hardware) yang digunakan untuk mendengar informasi yang melewati jaringan dengan protokol apa saja. Host dengan mode promiscuous mampu mendengar semua trafik di dalam jaringan. Sniffer dapat menyadap password maupun informasi rahasia, dan
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
keberadaannya biasanya cukup sulit untuk dideteksi karena bersifat pasif. Sniffer ini mendengarkan port Ethernet untuk hal-hal seperti "Password", "Login" dan "su" dalam aliran paket dan kemudian mencatat lalu lintas setelahnya. Dengan cara ini, penyerang memperoleh password untuk sistem yang bahkan tidak mereka usahakan untuk dibongkar. Password teks biasa adalah sangat rentan terhadap serangan ini. Untuk mengatasinya, dapat digunakan enkripsi, merancang arsitektur jaringan yang lebih aman dan menggunakan One Time Password (OTP). •
Eksploit Eksploit berarti memanfaatkan kelemahan sistem untuk aktifitas-aktifitas di luar penggunaan normal yang sewajarnya.
•
Spoofing Biasanya IP spoofing dilakukan dengan menyamarkan identitas alamat IP menjadi IP yang tepercaya (misal dengan script tertentu) dan kemudian melakukan koneksi ke dalam jaringan. Bila berhasil akan dilanjutkan dengan serangan berikutnya.
•
DoS (Denial of Service) attack Salah satu sumberdaya jaringan yang berharga adalah servis-servis yang disediakannya. DoS atau malah Distributed DoS (DDoS) attack dapat menyebabkan servis yang seharusnya ada menjadi tidak bisa digunakan. Hal ini tentu akan mendatangkan masalah dan merugikan. Penyebab penolakan servis ini sangat banyak sekali, dapat disebabkan antara lain : 1. Jaringan kebanjiran trafik (misal karena serangan syn flooding, ping flooding, smurfing). 2. Jaringan terpisah karena ada penghubung (router/gateway) yang tidak berfungsi. 3. Ada worm/virus yang menyerang dan menyebar sehingga jaringan menjadi lumpuh bahkan tidak berfungsi, dll
•
Malicious Code Malicious Code adalah program yang dapat menimbulkan efek yang tidak diinginkan jika dieksekusi. Jenisnya antara lain : trojan horse, virus, dan
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
worm. Trojan Horse adalah program yang menyamar dan melakukan aktifitas tertentu secara tersembunyi (biasanya merugikan, misal : game yang mencuri password). Virus adalah program yang bersifat mengganggu bahkan merusak
dan
biasanya
memerlukan
intervensi
manusia
dalam
penyebarannya. Worm adalah program yang dapat menduplikasikan diri dan menyebar dengan cepat tanpa intervensi manusia. Malicious kode dapat menimbulkan beragam tingkat permasalahan. •
Serangan secara fisik Serangan secara fisik misalnya mengakses server/jaringan/piranti secara
ilegal : •
Buffer Ofer Flow Dapat terjadi jika ada fungsi yang dibebani dengan data yang lebih besar dari yang mampu ditangani fungsi tersebut. Buffer adalah penampungan sementara di memori komputer dan biasanya mempunyai ukuran tertentu. Jika hal itu terjadi maka kemungkinan yang dapat terjadi adalah : Program menolak dan memberi peringatan Program
akan
menerima
data,
meletakkannya
pada
memori
dan
mengoverwrite isi memori jika ada data sebelumnya. Cracker dapat membuat data di mana bagian overflownya adalah set instruksi tertentu untuk mendapatkan akses. Jika set instruksi baru menempati tempat suatu instruksi sebelumnya, maka instruksi cracker akan dapat dijalankan. •
Social Engineering Social engineering berarti usaha untuk mendapatkan password dengan jalan 'memintanya' , misalkan dengan menggunakan fakemail.
•
OS Finger Printing Mengetahui operating system (OS) dari target yang akan diserang merupakan salah satu pekerjaan pertama yang dilakukan oleh seorang cracker. Setelah mengetahui OS yang dituju, dia dapat melihat database kelemahan sistem yang dituju. Fingerprinting merupakan istilah yang umum
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
digunakan untuk menganalisa OS sistem yang dituju. Beberapa cara konvensional antara lain : telnet, ftp, netcat, dll. Jika server tersebut kebetulan menyediakan suatu servis, seringkali ada banner yang menunjukkan nama OS beserta versinya. Misalkan dilakukan dengan telnet dengan port tertentu, atau dapat juga menggunakan program tertentu. Cara fingerprinting yang lebih canggih adalah dengan menganalisa respon sistem terhadap permintaan (request) tertentu. Misalnya dengan menganalisa nomor urut packet TCP/IP yang dikeluarkan oleh server tersebut dapat dipersempit ruang jenis dari OS yang digunakan. Ada beberapa tools untuk melakukan deteksi OS ini antara lain: nmap, dan queso •
Crack password Crack password adalah program untuk MENDUGA dan memecahkan password dengan menggunakan sebuah atau beberapa kamus (dictionary)
Dewasa ini tool-tool yang digunakan dalam penyerangan semakin mudah digunakan dan efektif, bahkan banyak yang disertai source kodenya.. Situs-situs Security di internet Sudah menjadi kewajiban administrator tentunya, untuk senantiasa mengikuti perkembangan keamanan jaringan sehingga tetap up to date. Kadang ditemukan bug-bug terbaru yang dapat dieksploit, dan patch lebih sering datang terlambat dan baru dikeluarkan setelah ditemukannya bug yang telah memakan korban. Cukup banyak situs-situs di internet yang berisi informasi, script, maupun program dunia underground ini, dari situs Indonesia sampai situs internasional. Yang cukup terkenal antara lain : http://www.cert.org http://www.cert.or.id http://www.rootshell.com http://www.securityfocus.com http://www.astalavista.box.sk
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
http://www.hackerlink.or.id http://www.antionlione.com Adapula situs yang menawarkan scan secara online otomatis , di antaranya : http://hackerwhacker.com http://grc.com
GENERAL SECURITY (SECURITY SECARA UMUM) Pendahuluan Pengamanan pertama kali yang biasa dilakukan terhadap komputer adalah konfigurasi keamanan lokal. Kita pastikan bahwa komputer kita aman dari gangguan walaupun tidak terkoneksi ke jaringan/internet. Kemudian pada bagian general security ini kita juga akan melakukan pemeriksaan file-file log dan backup. Keamanan Lokal Langkah pertama yang biasa dilakukan untuk mengamanan sistem adalah konfigurasi
dan persiapan kemanan secara lokal. Konfigurasi ini difokuskan
terutama untuk mengamankan sistem walaupun tidak sedang terhubung ke dalam jaringan/internet. Keamanan secara lokal meliputi antara lain : akses ke server secara lokal, akses fisik server/piranti jaringan, dan perlindungan terhadap kerusakan. Perlindungan dengan password lilo Program LILO (linux loader) berguna untuk mengatur proses booting (sebagai boot manager untuk multi sistem operasi) dan mempunyai fungsi khusus untuk memuat (meload) kernel, biasa digunakan untuk mesin Intel-compatible. Password lilo diperlukan terutama untuk mencegah penggantian password melalui linux single
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
mode. Seperti telah kita ketahui bahwa Linux dalam menjalankan operasinya mempunyai 7 buah mode runlevel (0-6). Perhaikan tabel berikut : Run Level 0 1 2 3 4 5 6
Keterangan Halt (komputer mati) Mode User Tunggal (digunakan untuk adminstrasi sistem) Multi user tanpa NFS (Network File System) Mode multi user penuh Tidak digunakan X11, tampilan grafis Reboot
Ketika booting Linux akan menjalankan program init yang terletak pada /sbin/init dan secara default akan menjalankan run level 3 (Full Multi User Mode). Tanpa password lilo siapa saja yang mereboot sistem kita dapat masuk ke mode single user (run level 1) yang berarti masuk menjadi root tanpa harus mengetahui passwordnya sama sekali. Hal ini dapat dilakukan dengan mengaktifkan mode single pada saat muncul prompt lilo waktu booting. Lilo
:
Lalu diisi dengan linux –s, atau linux single Dengan begitu kita akan masuk ke single mode dengan satu console saja dan menjadi user root. Untuk mencegahnya, kita akan mengkonfigurasikan agar sistem kita hanya dapat masuk ke mode single user, tetapi setelah melewati password lilo yang telah kita konfigurasikan. Prakteknya akan kita bahas pada bagian Job Sheet di halaman selanjutnya. Dengan mengeset password lilo saja sebenarnya sistem juga masih kurang aman karena orang lain dapat saja melakukan booting dengan melalui media lain misalkan floppy dengan disket booting linux. Asalkan dia tahu letak file / (root) atau mencoba-coba dan akhirnya berhasil melakukan booting, dia bisa saja masuk single user tanpa password. Untuk menghindari hal itu dapat dilakukan pencegahan diantaranya dengan pembatasan akses fisik ke media floopy dan cdrom atau pembatasan akses BIOS (Basic Input Output System) dengan memberi password pada BIOS. Pastikan dulu bahwa boot sequence sudah benar yaitu dari harddisk atau C saja dan pilih option password untuk setup. Tetapi hal ini juga masih bisa
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
menjadi masalah jika BIOS kita mempunyai password default, atau malah dilakukan peresetan BIOS dengan cara setting jumper/pembongkaran batere BIOS. Keamanan secara Fisik Yang juga patut menjadi perhatian juga adalah keamanan secara fisik. Hal ini meliputi akses terhadap server dan piranti-piranti vital lainnya. Yang perlu direncanakan adalah letak strategis server agar bisa terjaga dan tidak sembarangan bisa dijangkau/diakses oleh orang yang tidak bertanggung-jawab. Selain itu juga perlu diperhatikan agar komputer terjaga dengan melengkapi pengaman yang baik (misalkan : kunci, gembok, dll). Keamanan terhadap Kerusakan Sistem kita tentu harus tahan terhadap kemungkinan- kemungkinan kerusakan yang bisa terjadi, di antaranya adalah : 1. Petir Untuk menghindari kerusakan adanya kerusakan yang diakibatkan oleh petir dapat dicegah dengan pemasangan anti petir dan semacamnya. 2. Hewan Dapat juga sistem kita mengalami gangguan/kerusakan karena hewan, misalkan : tikus, serangga, dll. Untuk itu dapat dilakukan pencegahan seperlunya. 3. Bencana Bencana ini meliputi : air/hujan, kebakaran, gempa dll 4. Listrik Padam Untuk menghindari mati/terhentinya service atau kerusakan yang ditimbulkan karena
matinya
listrik
dapat
dicegah
dengan
pemasangan
UPS
(Uninterruptable Power Supply).
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Audit Log Hampir semua kegiatan penggunaan sistem dicatat dalam berkas yang biasanya disebut logfile atau log saja. Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi. Kegagalan untuk masuk ke sistem (login), misalnya, tersimpan di dalam berkas log. Untuk itu para administrator seharusnya rajin memelihara dan menganalisa berkas log yang dimilikinya. Letak dan isi dari berkas log bergantung kepada operating system yang digunakan. Di sistem berbasis UNIX, biasanya berkas ini berada di direktori /var/adm atau /var/log. Jangan sampai file log menjadi kurang berguna karena tak pernah dibaca. Lihatlah log file anda sewaktuwaktu. Hal ini dapat membantu mengenali hal-hal yang tidak biasa. Contoh entry log : Apr 5 17:20:10 kaizer wu-ftpd[12037]: failed login from hackeredan.com [64.55.12.34], m1 Apr 9 18:41:47 kaizer login[12861]: invalid password for `moel' on `ttyp0' from `hackeredan.com' Baris di atas menunjukkan kegagalan untuk masuk ke sistem melalui fasilitas FTP (baris pertama) dan telnet (baris kedua). Pada baris kedua terlihat bahwa user “moel” (atau yang mengaku sebagai user “moel”) mencoba masuk melalui login dan gagal memberikan password yang valid. Hal ini bisa terjadi karena ketidak sengajaan, salah memasukkan password, atau bisa juga karena sengaja ingin mencoba-coba masuk dengan userid “moel” dengan password coba-coba. Cara coba-coba ini sering dilakukan dengan mengamati nama user yang berada di sistem tersebut (misalnya dengan menggunakan program finger untuk mengetahui keberadaan sebuah user). Beberapa perintah-perintah file log, diantaranya : [root]# lastlog digunakan untuk menampilkan rekaman kapan user terakhir login (login, port, host, dan waktu) [root]# last menampilkan rekaman user yang pernah login pada file /usr/log/wtmp Beberapa file log yang penting, diantaranya : 1. /var/log/xferlog , mencatat rekaman login pada ftp daemon
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
2. /var/log/messages, mencatat rekaman kejadian sistem dan kernel. Daemon yang digunakan yaitu oleh file ini antara lain : •
syslogd (the system logging daemon), berfungsi merekam hampir semua program yang dijalankan. Selain aktifitas dari internet daemon, syslog juga mencatat kejadian-kejadian unusual atau kejadian yang seharusnya tidak terjadi, misalnya kegagalan sebuah daemon dalam melakukan tugasnya, dll. Dapat dikonfigurasi melalui file /etc/syslogd.conf
•
klogd, berfungsi merekam pesan kernel
3. /var/log/maillog, mencatat kejadian/aktifitas transaksi mail Untuk melihat satu-persatu file-file log tentu akan sangat melelahkan, menghabiskan waktu yang banyak dan sangat kurang terjamin ketelitiannya. Ada program (misalkan : logcheck) yang dapat mengatasi masalah tersebut. Logcheck bekerja dengan mencari pattern pencarian tertentu setiap jangka waktu tertentu.
Backup Menyeluruh Secara Rutin Seringkali penyusup masuk ke dalam sistem dan merusak dengan menghapus berkas/data yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai super user (administrator), maka ada kemungkinan dia dapat menghapus seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin merupakan sebuah hal yang esensial. Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup yang letaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari hilangnya data akibat bencana seperti kebakaran, banjir, gempa dan lain lain. Apabila data-data dibackup akan tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang bersangkutan mengalami bencana.
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
KEAMANAN JARINGAN (NETWORK SECURITY) Pendahuluan Terhubungnya LAN atau komputer ke Internet membuka potensi adanya lubang keamanan lain (security hole) yang tadinya telah teratasi dengan mekanisme keamanan secara fisik dan lokal. Jaringan, terutama internet, merupakan sebuah jaringan komputer yang sangat terbuka di dunia. Konsekuensi yang harus di tanggung adalah tidak ada jaminan keamanan bagi jaringan yang terkait ke internet. Artinya jika operator jaringan tidak hati-hati dalam men-set up sistem dan menerapkan policy-nya, maka kemungkinan besar jaringan yang terkait ke Internet akan dengan mudah dimasuki orang yang tidak di undang dari luar. Merupakan tugas dari administrator jaringan yang bersangkutan, untuk menekan resiko tersebut seminimal mungkin. Pemilihan strategi dan kecakapan administrator jaringan ini, akan sangat membedakan dan menentukan apakah suatu jaringan mudah ditembus atau tidak. Yang perlu untuk diketahui adalah bahwa kemudahan (kenyamanan) mengakses informasi berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses informasi. Sebelum memulai segalanya, ada baiknya menentukan terlebih dahulu tingkat ancaman yang harus diatasi dan resiko yang harus diambil maupun resiko yang harus dihindari, sehingga dapat dicapai keseimbangan yamg optimal antara keamanan dan kenyamanan. Pengenalan Keamanan Jaringan Keamananan komputer yang tidak terhubung (stand alone), hanya terhubung ke jaringan/LAN dan terhubung ke internet tentu mempunyai perbedaan. Dengan menghubungkan suatu jaringan ke internet, resiko keamanan yang akan dihadapi akan semakin banyak. Serangan bisa terjadi kapan saja, dari mana saja dan oleh siapa saja. Ingat, internet adalah jaringan yang bersifat global. Untuk itu, pengamanan harus dilakukan dengan hati-hati. Walaupun demikian, kemungkinan terjadinya masalah sekuriti di kemudian hari masih akan tetap ada. Tidak ada
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
jaminan bahwa sistem yang kita konfigurasi akan benar-benar aman. Yang bisa kita lakukan hanyalah menekan seminimal mungkin kemungkinan terjadinya masalah sekuriti. Untuk itu, ada beberapa cara yang dapat dilakukan, antara lain menutup portport yang tidak dipakai, meletakkan firewall, menggunakan aplikasi yang reliable (misalkan webserver dengan apache), melakukan konfigurasi program-program aplikasi internet (misalkan melakukan konfigurasi keamanan pada apache dan mengintegrasikannya dengan SSL), menggunakan program-program sekuriti (misalkan scan listener dengan menggunakan portsentry), dan lain-lain. Pada bab ini kita akan membahas mengenai internet daemon (inetd) yang digunakan untuk mengelola beberapa aplikasi internet (misal : telnet, ftp, ssh, dll). Untuk versi Linux SuSE yang terbaru, inetd ini sudah digantikan posisinya oleh xinetd. Perbedaannya antara lain adalah sintaks-sintaks yang digunakan dan juga xinetd menggunakan satu buah file untuk satu servis sedangkan inetd menggunakan satu buah file untuk semua servis (file /etc/inetd.conf). Selain inetd, pada bab ini kita juga akan membahas TCP Wrappers yang akan kita pakai untuk `membungkus` inetd (internet daemon) agar lebih aman. Penasaran ? Mari kita pelajari bagian berikutnya. Service inetd (internet daemon) Secara default sistem kita akan menjalankan beberapa servis internet yang mungkin sebagian di antaranya tidak kita gunakan/perlukan. Untuk meningkatkan keamanan, lebih baik servis-servis (misalkan finger, telnet, dll) yang tidak terlalu kita butuhkan dimatikan/ditutup saja. Sudah banyak kasus yang menunjukkan kesalahan penggunaan (abuse) dari servis tersebut, atau ada kemungkinan lubang keamanan dalam servis tersebut akan tetapi sang administrator tidak menyadari bahwa servis tersebut dijalankan di komputernya. Kebanyakan servis yang berhubungan dengan internet (misalkan : ftp, telnet , ssh, dll) akan dijalankan melalui inetd (internet daemon). Dengan melakukan pengeditan pada /etc/inetd.conf (konfigurasi utama internet daemon : superserver) maka kita dapat melakukan modifikasi-modifikasi yang
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
diperlukan misalkan saja mematikan servis- servis yang tidak digunakan (dengan menambahkan tanda komentar (#) pada awal baris). Agar lebih jelas mari kita pelajari sintaks pada file /etc/inetd.conf : Sintaks service tipe_socket protocol flag user server_path argumen KETERANGAN service Menjelaskan nama servis yang ditranslasikan ke nomor port dengan melihat file /etc/services tipe_socket Berisi jenis/tipe socket yaitu (ada dua) : stream (bersifat connection oriented digunakan untuk TCP) dan dgram (digunakan untuk UDP) protocol Berisi jenis protokol yang digunakan flag Di isi dengan wait atau nowait. Jika berisi wait maka inetd hanya menjalankan satu server pada port yang telah ditentukan. Sebaliknya dengan option nowait maka server dapat dijalankan lebih dari satu tanpa perlu menunggu selesainya eksekusi sebelumnya. Jika kita menggunakan option stream maka flag nowait harus digunakan. user Berisi login ID dari user yang akan memiliki proses dari perintah yang dijalankan. Kebanyakan menggunakan user root. Tetapi ada beberapa proses yang tidak menggunakan root tetapi memakai user lain (misal : nobody, news, dll) dengan alasan security. server_path Berisi full path dari program server yang akan dijalankan. argumen Berisi perintah yang akan dijalankan serta beberapa argumen yang diperlukan. Akan bernilai kosong/tidak diisi jika kita menggunan option internal (menggunakan servis internal) pada bagian server. Contoh file /etc/inetd.conf :
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
# inetd.conf This file describes the services that will be available # through the INETD TCP/IP super server. To re-configure # the running INETD process, edit this file, then send the # INETD process a SIGHUP signal. # Version: @(#)/etc/inetd.conf 3.10 05/27/93 # Authors: Original taken from BSD UNIX 4.3/TAHOE. # Fred N. van Kempen, <
[email protected]> # Modified for Debian Linux by Ian A. Murdock
# Modified for RHS Linux by Marc Ewing <[email protected]> # <service_name> <sock_type> <proto> <user> <server_path> <args> # # Echo, discard, daytime, and chargen are used primarily for testing. # To re-read this file after changes, just do a 'killall -HUP inetd' #echo stream tcp nowait root internal #echo dgram udp wait root internal #discard stream tcp nowait root internal #discard dgram udp wait root internal #daytime stream tcp nowait root internal #daytime dgram udp wait root internal #chargen stream tcp nowait root internal #chargen dgram udp wait root internal #time stream tcp nowait root internal #time dgram udp wait root internal # # These are standard services. # ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd # # Shell, login, exec, comsat and talk are BSD protocols. # #shell stream tcp nowait root /usr/sbin/tcpd in.rshd #login stream tcp nowait root /usr/sbin/tcpd in.rlogind #exec stream tcp nowait root /usr/sbin/tcpd in.rexecd #comsat dgram udp wait root /usr/sbin/tcpd in.comsat talk dgram udp wait nobody.tty /usr/sbin/tcpd in.talkd ntalk dgram udp wait nobody.tty /usr/sbin/tcpd in.ntalkd #dtalk stream tcp wait nobody.tty /usr/sbin/tcpd in.dtalkd # # Pop and imap mail services et al # #pop-2 stream tcp nowait root /usr/sbin/tcpd ipop2d #pop-3 stream tcp nowait root /usr/sbin/tcpd ipop3d #imap stream tcp nowait root /usr/sbin/tcpd imapd #
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
# The Internet UUCP service. # #uucp stream tcp nowait uucp /usr/sbin/tcpd /usr/lib/uucp/uucico -l # # Tftp service is provided primarily for booting. Most sites # run this only on machines acting as "boot servers." Do not uncomment # this unless you *need* it. # #tftp dgram udp wait root /usr/sbin/tcpd in.tftpd #bootps dgram udp wait root /usr/sbin/tcpd bootpd # # Finger, systat and netstat give out user information which may be # valuable to potential "system crackers." Many sites choose to disable # some or all of these services to improve security. # #finger stream tcp nowait nobody /usr/sbin/tcpd in.fingerd #cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd #systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx #netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet # # Authentication # # identd is run standalone now # #auth stream tcp wait root /usr/sbin/in.identd in.identd -e -o # # End of inetd.conf smtp stream tcp nowait qmaild /var/qmail/bin/tcp-env tcp-env /var/qmail/bin/qmailsmtpd #linuxconf stream tcp wait root /bin/linuxconf linuxconf --http Terlihat pada file /etc/inetd.conf di atas ada beberapa servis yang didisable untuk menghindari hal-hal yang tidak diinginkan. Di antaranya adalah linuxconf, finger, rlogin, dll. Pengenalan Firewall Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal. Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan.
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan. Firewall merupakan alat untuk mengimplementasikan kebijakan security (security policy). Sedangkan kebijakan security, dibuat berdasarkan perimbangan antara fasilitas yang disediakan dengan implikasi security-nya. Semakin ketat kebijakan security, semakin kompleks konfigurasi layanan informasi atau semakin sedikit fasilitas yang tersedia di jaringan. Sebaliknya, dengan semakin banyak fasilitas yang tersedia atau sedemikian sederhananya konfigurasi yang diterapkan, maka semakin mudah orang orang ‘usil‘ dari luar masuk kedalam sistem (akibat langsung dari lemahnya kebijakan security). Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada masing-masing firewall. Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan perangkat lunak tertentu, sehingga pemakai (administrator) tinggal melakukan konfigurasi dari firewall tersebut. Firewall juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server (baik UNIX maupun Windows NT), yang dikonfigurasi menjadi firewall. Firewall pada dasarnya dapat dikategorikan menjadi 2 berdasarkan cara fungsi kerjanya (keduanya dapat dilakukan pada sebuah perangkat komputer (device) atau dilakukan secara terpisah), yaitu : 1. Fungsi filtering Firewall bekerja pada level jaringan (network-level firewall) biasa disebut packet filter. Firewall tipe ini biasanya berupa router yang melakukan fungsi packet filtering berdasarkan parameter-parameter tertentu : alamat sumber, protokol, nomor port dan isi. Dari membandingkan informasi yang diperoleh pada paket-paket trafik dengan kebijaksanaan yang ada pada tabel akses, maka tindakan yang diberlakukan adalah : •
Melewatkan paket data ke tujuannya (client atau server)
•
Memblok paket data
2. Fungsi proxy
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Firewall pada level aplikasi (application level gateway) ini berfungsi sebagai penghubung antara komputer client dengan jaringan luar. Pada koneksinya, paket-paket IP tidak pernah diteruskan secara langsung, namun ditranslasi dan diwakilkan oleh gateway aplikasi tersebut yang berfungsi sebagai saluran dan penterjemah dan menggantikan fungsi client. Proxy akan merelai semua request dari client kepada server yang sesungguhnya, kemudian merelai balik semua hasil response real server kepada client kembali. Ditengah proses di atas, maka proxy server berkesempatan untuk melakukan pembatasan “relai” berdasarkan tabel akses yang sudah dibuat. Fungsi proxy dapat dilakukan oleh berbagai software tergantung kepada jenis proxy yang dibutuhkan, misalnya web proxy, rlogin proxy, ftp proxy dan seterusnya. Di sisi client sering kali dibutuhkan software tertentu agar dapat menggunakan proxy server ini, seperti misalnya dengan menggunakan SOCKS. Beberapa perangkat lunak berbasis UNIX untuk proxy antara lain: Socks (proxy server oleh NEC Network Systems Labs), Squid (web proxy server). Packet Filterring TCP Wrappers Secara default linux suse akan mengizinkan servis-servis tertentu (misal : telnet) dengan tanpa pembatasan. Untuk itu diperlukan pembatasan-pembatasan (proteksi) tertentu sehingga dapat mengurangi kerawanan keamanan jaringan. Salah satu aplikasi pada sistem UNIX yang digunakan untuk melakukan packet filtering adalah TCP Wrappers. TCP Wrappers biasanya sudah terinstal secara default waktu penginstalan Linux. Program ini bekerja dengan cara membungkus inetd (internet daemon : aplikasi yang menjalankan servis-servis internat) agar lebih aman. Sebagai contoh ada permintaan koneksi telnet dari internet, jika sistem kita tidak mempunyai tcp wrappers maka inetd akan memanggil telnetd dan session telnet akan terbentuk tanpa melakukan pembatasan apapun. Hal ini berbeda dengan TCP Wrappers yang telah terinstal, sebelum memanggil telnetd, TCP Wrapper akan memeriksa dulu
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
berdasarkan pembatasan-pembatasan yang telah disetting kemudian memutuskan apakah koneksi tersebut akan diizinkan atau tidak. Konfigurasi TCP Wrappers File-file yang perlu diperhatikan dalam penyetingan TCP Wrappers antara lain : 1. /etc/inetd.conf (konfigurasi internet daemon) 2. /etc/hosts.allow (konfigurasi host-host yang diizinkan) 3. /etc/hosts.deny (konfigurasi host-host yang ditolak) Pastikan dahulu bahwa TCP Wrappers sudah terinstal pada sistem kita. Untuk mengeceknya
dapat dilihat pada file /etc/inetd.conf. Dalam inetd.conf,
layanan tanpa TCP Wrapper akan dituliskan dalam bentuk sebagai berikut, misal : telnet stream tcp nowait nobody /usr/etc/telnetd in.telnetd –b /etc/issue Jika internet daemon sudah dikonfigurasi dengan TCP Wrapper maka akan terbaca seperti ini : telnet stream tcp nowait nobody /usr/local/bin/tcpd Biasanya tcpwrappers dirakit menjadi “tcpd”. Apabila servis di server anda (misalnya telnet atau ftp) dijalankan melalui tcpd, maka server anda menggunakan tcpwrappers. TCP Wrappers mengkonfigurasikan Network Access Control pada file /etc/hosts.allow dan /etc/hosts.deny. File /etc/hosts.deny ini berisi mengenai servis dari user/host/network mana saja yang akan ditolak sedangkan file /etc/hosts.allow berisi mengenai servis dari user/host/network mana saja yang akan diterima. Secara garis besar kedua file tersebut mempunya sintaks sbb : Daemon_list : client_host_list Daemon List merupakan daftar daemon seperti telnetd, fingerd, ftpd, ssh, dll. Client Host List merupakan daftar user/host/network dan mempuyai bentuk sbb : ALL
: semua host
KNOWN
: host yang terdaftar pada DNS server
LOCAL
: host yang tidak dipisahkan oleh . (dot)
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
PARANOID
: mempunyai nama dan IP address yang tidak sesuai jika dilacak dan dibandingkan antara pelacakan dari nama dengan dari nomor IP
UNKNOWN
: host yang hanya mempunyai nomor IP tanpa nama internet
.linux.net
: host dengan domain linux.net
167.205.206.107
: host dengan IP adress tertentu
Agar lebih jelas dapat dibaca manualnya : [user]$ man hosts_options IPfwadm, IPchains, NetFilter dan IP Tables Selain dengan aplikasi TCP Wrappers kita dapat juga menggunakan ipfwadm (berbasis kernel 2.0), ipchains (berbasis kernel 2.2), dan Netfilter dengan IP Tables (berbasis kernel 2.4) untuk melakukan packet filtering. Baik ipfwadm, ipchains, maupun netfilter dan ip tables bersifat saling menggantikan, dan kita cukup menggunakan salah satu saja. Ipchains (berbasis kernel 2.2.16) sudah dibahas pada bab koneksi internet.
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
MONITORING LOG DAN INTEGRITAS SISTEM Pendahuluan Ada banyak program yang berhubungan dengan keamanan dan biasanya dapat
didownload
gratis
di
internet.
Program
tersebut
meliputi
program
enkripsi/dekripsi, probe/scan listener, pemantau (monitoring), dan firewall. Juga program seperti probe dan scanner, cracker, bomber dan flooder, sniffer, malicious code (virus, trojan dan worm), eksploit bug, backdoor, spoof dll. Dewasa ini tool-tool security yang ada semakin banyak jenisnya, mudah digunakan, dan semakin efektif. Pada bab ini kita akan memfokuskan pada pembahasan pemantauan integritas sistem dan pemeriksaan file-file log secara otomatis. Pemantau integritas sistem adalah apilkasi yang digunakan untuk melakukan pengujian terhadap integratitas sistem, software yang digunakan misalkan tripwire dan sxid. Tripwire digunakan untuk memantau perubahan-perubahan (direktori dan file) yang terjadi pada sistem. Digunakan terutama untuk mencegah adanya backdoor, memantau pengubahan file oleh orang yang tidak berhak, dll. Logcheck digunakan untuk membantu memeriksa file-file log sehingga tidak membosankan, lebih efektif dan praktis. Program ini bekerja dengan cara mencari pattern/bentuk tertentu (dapat dikonfigurasi) dalam file log lalu mengirimkan laporannya kepada admin, misalnya melalui email. Trip Wire Salah satu contoh program yang sering digunakan untuk memantau integritas sistem Linux adalah program Tripwire. Program Tripwire dapat digunakan untuk memantau adanya perubahan pada berkas/file atau direktori. Cara Kerja Tripwire. Pada waktu pertama kali digunakan, tripwire harus digunakan untuk membuat database mengenai berkas-berkas atau direktori yang ingin kita amati beserta “signature” dari berkas tersebut. Signature berisi informasi mengenai besarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum atau hash (misalnya dengan menggunakan program MD5), dan sebagainya. Apabila ada perubahan pada berkas
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
tersebut, maka keluaran dari hash function akan berbeda dengan yang ada di database sehingga ketahuan adanya perubahan. Selain Tripwire, tool yang yang digunakan utuk melakukan pengecekan integritas sistem antara lain: TAMU (Texas A&M University), ATP (The Anti-Tampering Program), dan sXid (men-tracks file-file suid dan sgid, bisa mendeteksi jika ada kit root yang terinstal). Tripwire yang merupakan salah satu pilhan utilitas yang dapat digunakan oleh user dan administrator untuk memeriksa perubahan yang terjadi pada file atau direktori. Hal itu untuk menghindari adanya backdoor (pintu belakang untuk mendapatkan akses illegal lagi), penyusupan karena adanya bug pada perangkat lunak, adanya malicious code dan perubahan terhadap sistem oleh oramg lain yang sebenarnya tidak mempunyai hak untuk itu. Dalam pemeriksaan keutuhan dan keaslian file ini, tripwire perlu mengetahui file mana saja yang akan diperiksa baru setelah itu membandingkan file yang akan diperiksa tersebut dengan informasi (database) yang telah disimpan sebelumnya. Dan jika terjadi perubahan atau penambahan file baru Tripwire akan melaporkannya sehingga administrator dapat segera memeriksa apakah pengubahan atau penambahan file baru tersebut legal atau tidak. Daftar file atau direktori yang akan diperiksa Tripwire terdapat dalam file konfigurasi Tripwire yang default-nya bernama tw.config. Sedangkan keadaan asli file tersebut terdapat di dalam file database Tripwire yang default-nya bernama tw.db_@. Karakter @ diganti dengan hostname komputer yang diinstal Tripwire. Yang menjadi file inti dalam program Tripwire ini sebenarnya adalah kedua file tersebut yaitu file konfigurasi tw.config dan file database tw.db_@.
Karena itu
sangat disarankan pada saat menginstalasi program Tripwire agar kedua file ini diletakkan pada tempat yang hanya di-mount read-only atau di media eksternal (seperti disket atau NFS) sehingga tidak ada intruder yang dapat mengubahnya. Sebab jika hal ini tidak dilakukan akan sangat mungkin menyebabkan kita tidak dapat mengetahui seorang intruder yang telah berhasil masuk ke dalam sistem dan telah menyiapkan backdoor. Hal ini dikarenakan pada saat intruder itu telah membuat file baru atau mengubah suatu file untuk digunakan sebagai backdoor, ia sekaligus dapat mengubah file database Tripwire sehingga jejaknya tidak akan terdeteksi oleh Tripwire. Jika hal seperti ini terjadi, berarti program Tripwire yang telah diinstalasi sama sekali tidak berguna. Contoh file yang membahayakan
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
keamanan sistem jika diubah : password user, group user, pengubahan UID/GID sebuah file atau penambahan file yang memiliki setuid root, inetd, service, dll. Instalasi dan penggunaan Tripwire, silakan dilihat di bagian Jobsheet. Logcheck Serangan terhadap sistem bisa terjadi kapan saja, dan tidak setiap saat administrator berada ditempat kejadian. Mungkin ada administrator yang tidak pernah (jarang) membaca file log karena memang menghabiskan waktu, membosankan dan tidak terjamin ketelitiannya. Padahal justru dari logginglah sebuah kejadian bisa ditrace dengan benar. Karena itu, dapat digunakan suatu program yang berfungsi untuk membantu dalam memeriksa file-file log sehingga lebih mudah dan praktis, misalnya logcheck. Logcheck adalah program yang berfungsi mencari pattern/bentuk tertentu (menyaring informasi penting) yang kita inginkan dalam file-file logging lalu mengirimkan laporannya kepada admin, misalnya melalui email. Logcheck bisa dikonfigurasi untuk melakukan checking sesering yang kita butuhkan, misal 5 menit/1 jam sekali, dengan menggunakan cron. Pattern yang akan dicari oleh logcheck pun bisa di atur sesuai dengan perkembangan informasi buggy yang bertebaran di internet.
TELNET DAN SSH Pendahuluan Penggunaan
telnet
untuk
melakukan
login
jarak
jauh
(remote
login)
memungkinkan terjadinya pelanggaran privacy dan pencurian password. Hal ini dimungkinkan karena telnet tidak menggunakan enkripsi. Penyadapan dapat dilakukan dengan menggunakan aplikasi sniffer (misalnya snifit) dengan cara mendengar informasi-informasi yang lewat. SSH dapat dipakai untuk mengatasi hal ini karena SSH menggunakan enkripsi. Telnet
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
Telnet digunakan untuk melakukan login secara remote dari tempat/komputer lain melalui jaringan (dengan hubungan TCP/IP menggunakan port 23). Dengan menggunakan telnet maka kita seolah-olah berada di depan komputer yang kita inginkan/kita tuju. Kita akan melakukan prosedur sama seperti jika melakukan login secara lokal yaitu mengisi nama login dan password. Syarat yang harus dipenuhi cukup sederhana yaitu komputer clien harus sudah terinstal aplikasi telnet dan komputer server harus terinstal aplikasi telnet dan telnet server. Salah satu yang menjadi permasalahan penggunaan applikasi telnet adalah kurang terjaminnya keamanan karena informasi tentang userid dan password ini dikirimkan melalui jaringan komputer secara terbuka/plain text tanpa enkripsi. Akibatnya ada kemungkinan seorang yang nakal melakukan sniffing dengan software sniffer dan mengumpulkan informasi tentang pasangan userid dan password ini. Meskipun cara ini biasanya membutuhkan akses “root” ada baiknya kita menghindari hal tersebut, dengan mendisable fasilitas telnet misalnya. Sniffit Sniffit adalah salah satu program aplikasi yang digunakan untuk melakukan aktivitas sniffing. Sniffit bisa mendeteksi login, password, dan perintah-perintah yang kita ketikkan pada console jika kita melakukan aktivitas tertentu, misalkan telnet. Lihatlah bagian Jobsheet untuk instalasi dan menggunakan sniffit. Secure Shell (SSH) Enkripsi dapat digunakan untuk melindungi adanya sniffing. Salah satu aplikasi yang digunakan untuk remote login dengan enkripsi adalah SSH. Paket yang dikirimkan dengan SSH akan dienkripsi dengan RSA atau IDEA sehingga tidak dapat dibaca/dimengerti isinya oleh orang lain ng yang tidak berhak. Beberapa implementasi SSH ini, antara lain : ssh untuk UNIX (dalam bentuk source code, gratis),
putty,
SSH
untuk
Windows
dari
Data
Fellows
(komersial)
http://www.datafellows.com/, TTSSH (skrip yang dibuat untuk Tera Term Pro (gratis, untuk Windows)), SecureCRT untuk Windows (shareware/komersial).
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1
PUBLIC KEY CRYPTOGRAPHY (KRIPTOGRAPHI KUNCI PUBLIK) SSH dalam enkripsinya menggunakan metode public key cryptography. Dengan metode ini, kita akan memerlukan 2 buah kunci berbeda yang digunakan baik untuk melakukan enkripsi dan dekripsi. Dua buah kunci tersebut masing-masing disebut public key (dipublikasikan ke publik/orang lain) dan private key (dirahasiakan/hanya pemiliknya yang tahu). Masing-masing kunci di atas dapat digunakan untuk melakukan enkripsi dan dekripsi. Perhatikan ilustrasi kasar enkripsi dengan public key cryptography berikut ini : Misalkan terjadi komunikasi antara dua person, yaitu Lia mengirimkan data ke Hakim. Maka proses yang terjadi adalah :
Public Key
network
Hakim
Lia Gambar 1. Lia mengambil public key milik Hakim
Lia network
Public Key Hakim + Private Key Lia + Data Data terenkripsi
Gambar logika Lia menggunakan private key miliknya untuk melakukan enkripsi terhadap data.
Panduan Lengkap Membangun Server Menggunakan Linux SuSE 9.1