SSH Honeypot

Catatan kesekian, 3 minggu sebelum ujikom (project work) pukul 10.56PM waktu komputer saya. Saya menambahkan fitur ssh honeypot menggunakan kippo di server debian, dalam judul tugas akhir (project work) Keamanan Jaringan.

Sebelum itu, sedikit penjelasan mengenai honeypot: In computer terminology, a honeypot is a computer security mechanism set to detect, deflect, or, in some manner, counteract attempts at unauthorized use of information systems. Generally, a honeypot consists of data (for example, in a network site) that appears to be a legitimate part of the site but is actually isolated and monitored, and that seems to contain information or a resource of value to attackers, which are then blocked. This is similar to the police baiting a criminal and then conducting undercover surveillance, and finally punishing the criminal. Wikipedia

Contoh hasil setup ssh Honeypot di server saya (debian) menggunakan Kippo

kippo
Instalasi dan Konfigurasi Kippo

Pertama, install python twisted.

apt-get install python-twisted

kedua, edit port ssh (bebas) contoh saya ubah ke port 69

nano /etc/ssh/sshd_config

cari kalo pake nano ctrl+w port dan ubah portnya

[...]
Port 69
[...]

Restart service ssh

Ketiga, tambah user baru (terserah) contoh uwa

adduser uwa

Logout, dan login kembali menggunakan user uwa.
Kemudian download Kippo.

$ wget http://kippo.googlecode.com/files/kippo-0.8.tar.gz

Extract dengan perintah

$ tar xzf kippo-0.8.tar.gz

Masuk ke folder kippo, dan lihat isinya… ada:

data  dl  doc  fs.pickle  honeyfs  kippo  kippo.cfg  kippo.tac    log  start.sh  txtcmds    utils

oh iya, tambah rule iptables untuk redirect port 22 ke 2222 (default port Kippo)

# iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222

Terakhir start service kippo dengan perintah (didalam folder kippo) dan jangan pake user root pake uwa (contoh) atau apapun terserah.

$ ./start.sh

Untuk log nya, lihat di folder log.

Project Work Progress

Sepertinya ipfire saya sudah siap, semua service sudah berjalan dengan baik Kecuali dengan IDS, saya kurang tahu tentang itu. Kemarin ada sedikit masalah dengan openvpn namun bisa saya atasi. Tinggal saya test satu persatu.

services

apakah saya harus menambahkan router (Mikrotik) kedalam skema jaringan yang akan saya buat? karena saya pikir untuk fungsi routing saya bisa menggunakan ipfire

ada ide?

 

Issue #1

In yesterday proxy configuration setup hotspot fitting integrated with the user manager and also radius error that I’ve found quite frustrating. I’ve repeatedly check to make sure that what I’m doing right, but to no avail.

Error Invalid login fitting Mikrotik hotspot, but has to make user and password, and I guarantee it exactly.

Capture

I use a Mikrotik RB750 with RouterOS v.5.20

After searching in google, to page 6 and still can not. I remembered the group to join Mikrotik Indonesia, I search there may be experiencing the same thing and finally found it.

Indications of problems

  1. RouterOS version already old school, but honestly, I do not expert in this.
  2. Maybe this is user manager problematic, I’ve several times to install and uninstall this package, still error.
  3. Overlapping configuration, this router I’ve reset several times. because using that for some groups for training

What I do

After reading the posts in Group Mikrotik Indonesia, postman downgrade version, but I think it would downgrade v.5.20 how? I wrote fraudulent Upgrade to v.6.33 and it worked, has not appeared again in the error message Invalid Password login Mikrotik Hotspot.

Keamanan Jaringan

Untuk keamanan jaringan saya akan menggunakan Ipfire, adalah distribusi Linux yang fokus pada kemudahan setup, penanganan yang baik dan level atas untuk keamanan jaringan. Ia dapat diatur melalu antarmuka web secara intuitif dan menawarkan banyak opsi pada konfigurasi sistem, baik untuk sysadmin pemula maupun pakar. gudanglinux.com/glossary/ipfire/

Untuk download iso nya bisa disini http://www.ipfire.org/download

Dokumentasi Bahasa Indonesia http://www.ipfire.web.id/tutorial-konfigurasi-dasar-ipfire/ Official http://wiki.ipfire.org/

Rencananya saya akan membuat skema jaringan seperti ini

ipfire
Keterangan

Merah = Jaringan yg terhubung ke internet
Oren = Demilitarized zone semua server yg dapat diakses melalui internet
Hijau = Jaringan Lokal
Biru = Jaringan Wireless

Install IPFIRE di Virtualbox https://insanelyilham.wordpress.com/2016/01/12/instalasi-ipfire-di-vbox/

Keamanan Jaringan WiFi

Beberapa cara untuk mengamankan jaringan wifi

1. SSID
SSID merupakan sistem identifikasi yang dibuat untuk disebarkan oleh akses point kepada klien sebagai tanda pengenal Access point tersebut.

Tujuan penggunaan SSID ini adalah agar semua wireless klien yang menagkap sinyal-nya dapat mengenali access point tersebut secara otomatis. Koneksi kedua bisa terjadi setelah identitas dari access point dapat dikenali oleh wireless klien.

SSID disebarkan secara broadcast, itu artinya setiap wireless klien yang dapat menangkap sinyal radio access point, maka klien tersebut juga dapat mengenali SSID access point.


SSID tidak selalu disebar secara broadcast, dengan kata lain Adminstrator dapat menonaktifkan mode broadcast. Pada kondisi ini, cara manual adalah satu-satunya cara agar wireless klien dapat terhubung dengan access point.

Pada  mode broadcasat yang disable ini, SSID access point tidak akan bisa dikenali oleh wireless klien meskipun klien tersebut dapat menangkap sinyal radio frekuensi dari access point. Menonaktifkan mode broadcast SSID ini adalah salah satu upaya pengamanan jaringan wireless.

Jadi tidak sembarang pengguna dapat terhubung ke dalam jaringan wireless. Hanya pengguna yang mendapatkan izin dari sang admin yang dapat tergabung ke dalam jaringan, karena mereka pasti diberitahu SSID access point tersebut.

2 Mac Address Filtering
Mac address pasti dimiliki oleh setiap Network adapter baik adapter via kabel maupun tanpa kabel. Ketika wireless klien terhubung dengan access point, maka mac address akan terdaftar secara otomatis pada Access point tersebut.

Pada access point inilah sang admin bisa memblok mac address yang bukan merupakan anggota pada jaringannya. Memblok Mac Address juga merupakan bagian dari pengoptimalan dari sistem keamanan jaringan.

3. WEP dan WPA
WEP yang merupakan kependekan dari Wired Equivalency Privacy adalah sistem keamanan dengan metode autentifikasi wireless klien terhadap AP. Untuk terhubung dengan access point, wireless klien haraus memasukan password yang terkonfigurasi pada access point. Jika password yang dimasukan cocok, maka wireless klien akan diberikan izin koneksi. Jika tidak cocok, izin tidak akan didapat dan tidak akan terjadi sambungan.

Karena mudah ditembus, kini WEP dianggap sudah tidak aman lagi untuk jaringan wireless. Hal ini adalah salah satu faktor dikembangkannya fitu WPA atau Wi-fi Protected Access. WPA terbagi atas WPA dan WPA2 yang merupakan penyempurnaan dari WEP. WEP dan WPA ini murni merupakan sistem pangamanan pada jaringan wifi.

Maka dari itu, menerapkan fitur WPA dan WPA2 untuk keamanan jaringan sangat direkomendasikan agar terhindar dari pengguna asing.

Sumber:

http://www.pintarkomputer.com/2014/07/peran-ssid-mac-address-filtering-wep-dan-wpa-untuk-memaksimalkan-keamanan-wifi.html

Troubleshooting Jaringan

Memahami dan memanfaatkan tools-tools jaringan

1. ipconfig
ipconfig merupakan tools untuk menampilkan setting jaringan yang
digunakan oleh sebuah komputer. Administrator atau pengguna sebelum menggunakan tools lainnya, sebaiknya memeriksa hasil tools ini terlebih dahulu, memastikan bahwa konfigurasi yang di entri (secara manual) atau yang didapatkan dari server DHCP sudah valid.
Opsi yang dipraktekkan : ipconfig, ipconfig/all, ipconfig/release,
ipconfig/renew
2. ping
Digunakan untuk test atau checking koneksi dengan menggunakan
protokol ICMP. Pada jaringan umumnya administrator memanfaatkan
tools ini untuk mempermudah penyelesaikan troubleshooting jaringan. Opsi yang dipraktekkan :

ping ipgateway, ping ipdnsserver, ping -t ipserver

Beberapa pesan yang mungkin muncul jika pinging tidak berhasil antara lain :

  • TTL Expired in Transit : artinya jumlah hop (router) yang dilalui untuk berkomunikasi
    dengan server tersebut telah melebihi TTL (Time To Live), gunakan ping –i untuk
    mendefinisikan TTL pada saat melakukan ping
  • Destination Host Unreachable : artinya packet yang dikirimkan tidak mampu sampai ke
    tujuan, biasanya disebabkan oleh table routing yang tidak tepat di mesin default gateway,
    atau router/hop diatasnya.
  • Request Timed Out : artinya pesan echo replay tidak dapat diterima kembali dalam waktu
    yang sudah ditentukan. Biasanya pesan ini muncul karena blockade yang mungkin
    dilakukan oleh firewall (baik disisi router maupun di sisi target).
    Ping request could not find host : artinya resolving domain server tersebut pada pc kita
    tidak dapat menerjemah ke IP address. Hal ini biasanya karena setting DNS client masih
    keliru atau komunikasi kita dengan DNS server terganggu/terputus.

3. nslookup
nslookup digunakan untuk mendiagnosa layanan DNS server, melakukan
query untuk memetakan suatu domain menjadi IP address atau sebaliknya.
Tools nslookup juga dapat digunakan untuk mengetahui mx (mail server)
atau ns (nameserver) yang bertanggung jawab terhadap suatu domain.
Opsi yang dipraktekkan : nslookup ugm.ac.id, nslookup (enter) lalu set query=mx atau set query=ns
4. tracert
tracert singkatan dari traceroute, yakni tool untuk menampilkan jalur atau
routing perjalanan packet komunikasi antara komputer kita dengan
komputer (server) lain. Tool ini akan menampilkan jumlah hop (router)
yang dilalui ketika menuju server target.
Opsi yang digunakan : tracert ipserver/domain, tracert -d
ipserver/domain
5. pathping
merupakan tools pada windows yang digunakan untuk mengukur network
latency dan network loss (dalam persentase) pada hop tertentu diantara
alamat asal dan alamat tujuan.
Opsi yang digunakan : pathping -n ipserver/domain
6. Netstat
Netstat singkatan dari network status, digunakan untuk berbagai
keperluan, antara lain menampilkan tabel routing, menampilkan services
yang berjalan pada Windows, menampilkan port protokol komunikasi
yang sedang terjadi.
Opsi yang dipraktekkan: netstat -rn, netstat –an

Troubleshooting Jaringan yang paling sering terjadi pada Windows

Step 1: Cek nyala lampu pada Ethernet dan kabel Ethernet
– Jika tidak ada tanda koneksi, check kabelnya – Cek juga lampu pada hub/switch termasuk powernya.

Step 2: Pastikan, setting ip,dns dan default gatway sudah dikonfigurasi dengan tepat. – gunakan ipconfig, ipconfig/all untuk memeriksa. – gunakan ipconfig/release, ipconfig/renew untuk jaringan yang menggunakan dhcp.

Step 3: Ping Default Gateway – ip default gateway dapat dilihat melalui perintah ipconfig

Step 4: Ping DNS dan proxy server (jika jaringan menggunakan proxy)

Step 5: Jika semuanya berhasil, ping dan tracert ke ipserverdns dan ipserverproxy

Step 6: Jika semuanya berhasil, coba ping dan tracert ke situs luar seperti www.google.com

Sumber