Tips Mengamankan Perangkat Cisco

Tulisan kedua saya tentang Cisco akan membagikan beberapa tips untuk keamanan perangkat Cisco untuk mencegah orang yang tidak berhak mengubah dan mengacaukan konfigurasi Router atau Switch.

Adapun tips-tips tersebut sebagai berikut:

a.         Mematikan services yang tidak diperlukan

Hal ini perlu dilakukan karena Cisco secara default mengaktifkan beberapa services yang memberikan informasai kepada orang yang tidak berhak untuk mengambil alih perangkat. Berikut beberapa perintah untuk mematikan services.

Global Command

Cisco(config)# no service tcp-small-servers

Cisco(config)# no service udp-small-servers

Cisco(config)# no service dhcp

Cisco(config)# no ip bootp server

Cisco(config)# no service finger

Cisco(config)# no ip http server

Cisco(config)# no ip http secure-server

Cisco(config)# no snmp-server

Cisco(config)# no cdp run

Cisco(config)# no service config

Cisco(config)# no ip gratuitous-arps

Cisco(config)# no ip source-route

Cisco(config)# ip options drop

Interface Command

Cisco(config-if)# no ip directed-broadcast

Cisco(config-if)# no ip unreachables

Cisco(config-if)# no ip redirects

Cisco(config-if)# no ip mask-reply

Cisco(config-if)# no ip proxy-arp

Cisco(config-if)# shutdown (untuk interface yang tidak terpakai)

b.        Mengaktifkan services yang penting

Hal ini perlu karena secara default Cisco mematikan services tersebut.

Cisco(config)# service tcp-keepalives-in

Cisco(config)# service tcp-keepalives-out

Cisco(config)# service timestamps debug datetime msec show-timezone localtime

Cisco(config)# service timestamps log datetime msec show-timezone localtime

Cisco(config)# service password-encryption (enkripsi password)

c.         Membuat user dan enable secret

Cisco(config)# username admin password admin

Cisco(config)# enable secret admin123

d.        Mengaktifkan ssh

Protokol ssh menjadi pilihan yang lebih aman daripada telnet karena sudah terenkripsi. ssh dapat diaktifkan jika OS mendukung.

Cisco(config)#  ip domain-name cisco.com

Cisco(config)#  crypto key generate rsa

bits -> 1024

Cisco(config)# ip ssh version 2

e.         Membuat access list

Cisco(config)# access-list 10 permit 192.168.1.2

Cisco(config)# access-list 10 permit 192.168.1.3

f.         Mengamankan Console dan Remote Access

Console

Cisco(config)# line console 0

Cisco(config-line)# history size 100

Cisco(config-line)# exec-timeout 5 0

Cisco(config-line)# logging synchronous

Cisco(config-line)# login local

           

       VTY Line

Cisco(config)# line vty 0 4

Cisco(config-line)# login local

Cisco(config-line)# transport input telnet ssh

Cisco(config-line)# access-class 10 in

Cisco(config-line)# history size 100

Cisco(config-line)# exec-timeout 5 0

Cisco(config-line)# logging synchronous

Demikian tips keamanan untuk perangkat Cisco, semoga bisa membantu dan mohon corat-coretnya di bawah jika ada kekurangan...

Cara Mendapatkan Password Mikrotik

Kali ini saya mau share tentang password Mikrotik, pengalaman kemarin ditanyain temen apakah bisa password mikrotik dirubah seseorang? jawabnya tentu saja bisa, banyak tool hacker yang bisa melakukan hal itu. Disini saya mau share salah satu cara untuk mendapatkan password login mikrotik dengan mengambil file konfigurasi winbox (dengan syarat kita bisa akses komputer yang biasa dipergunakan untuk konfigurasi dan administratornya menyimpan password pada winbox).

Baiklah singkat cerita untuk mendapatkan password tersebut kita mencari file "winbox.cfg" yang terdapat di folder "C:\Document and Setting\[Nama User]\Aplication Data\Mikrotik\Winbox" untuk Sistem Operasi Windows XP, untuk Sistem Operasi Windows 7 "C:\Users\[Nama User]\AppData\Roaming\Mikrotik\Winbox". Dari file tersebut kita dapat mengetahui host Mikrotik, User Mikrotik dan password Mikrotik. Simple kan.. heeee...

Dari kasus diatas untuk menjaga keamanan password mikrotik kita, kita harus mulai proteksi dengan :
Membuat password login Sistem Operasi ( sehingga tidak semua orang mudah mempergunakan komputer kita)
Tidak menyimpan user dan password kita di winbox ( agar tidak tersimpan di winbox.cfg)
Hal-hal diatas merupakan langkah awal untuk mencegah orang lain mendapatkan password Mikrotik kita, semoga share ini bermanfaat.

Tentang ARP POISONING/SPOOFING

Helooo bloog, kali ini saya mau share tentang salah satu teknik  hacking yaitu ARP Poisoning/Spoofing (sereem ga.. hehehehe). Teknik ini dipergunakan untuk mendapat username dan password seseorang dalam jaringan. Berikut share saya yang didapatkan dari hasil googling..:) mulai dari pengertian ARP, ARP Poisoning/Spoofing dan teknik mencegahnya.

Address Resolution Protocol (ARP)

Address Resolution Protocol (ARP) adalah sebuah protokol dalam TCP/IP Protocol yang digunakan untuk melakukan resolusi alamat IP ke dalam alamat Media Access Control (MAC Address).

Ketika computer kita mencoba untuk mengakses komputer lain dengan menggunakan alamat IP, maka alamat IP yang dimiliki oleh computer yang dituju harus diterjemahkan terlebih dahulu ke dalam MAC Address agar frame-frame data dapat diteruskan ke tujuan dan diletakkan di atas media transmisi, setelah diproses terlebih dahulu oleh Network Interface Card (NIC). Hal ini dikarenakan NIC beroperasi dengan menggunakan alamat fisik daripada menggunakan alamat logis (alamat IP) untuk melakukan komunikasi data dalam jaringan.

Jika memang alamat yang dituju berada di luar jaringan lokal, maka ARP akan mencoba untuk mendapatkan MAC address dari antarmuka router lokal yang menghubungkan jaringan lokal ke luar jaringan (di mana komputer yang dituju berada).

Komputer Anda akan menyimpan ARP broadcast request ini kedalam ARP cache. ARP cache ini akan disimpan di RAM dan besifat sementara. ARP cache ini berisi tabel IP host serta phisical address komputer. ARP cache akan bertambah jika ARP Request mendapat jawaban. Anda dapat melihat ARP cache anda dengan mengetik “arp -a” pada CMD. Anda dapat menghapus ARP cache anda dengan mengetik “arp -d <Ip addr>”. Anda juga dapat mengatur sebuah static ARP dengan menuliskan “arp -s <ip addr> <MAC addr>”.

ARP Poisoning/Spoofing

Ancaman keamanan muncul ketika ada upaya manipulasi terhadap pengalamatan nomor IP dan MAC address. Proses ini biasa disebut dengan istilah ARP spoofing atau ARP poisoning.

Dengan ARP Poisoning Anda dapat memanipulasi lalu lintas data dari klien target agar semua paket-paket data klien target melalui komputer anda terlebih dahulu. Mengapa proses ini bisa terjadi?  proses ini dapat terjadi Karena computer anda akan memberi tahu kepada klien target bahwa MAC address komputer (hardware) anda adalah MAC dari komputer server/gateway. Kemudian komputer anda juga akan memberi tahu kepada komputer server/gateway (computer yang dituju klien taget) bahwa MAC address dari klien target adalah MAC address dari computer anda sendiri (sebagai penyerang). Serangan semacam ini disebut dengan Men-in-the-Middle (MITM).

Dengan tipe serangan semacam ini penyerang dapat menyadap semua paket data yang dikirimkan oleh klien target ke server/gateway. MITM ini dapat digunakan untuk mencuri akun (username dan password) dari klien target (komputer target). Sebenarnya banyak tool/aplikasi yang dapat digunakan untuk melakukan ARP poisoning seperti  ettercap, cain and abel dll.

Mencegah/mendeteksi ARP Poisoning.

Ada beragam cara untuk mendeteksi ARP Poisoning ini. Pertama, dengan mengecek ARP secara manual dengan mengetik ‘arp’ pada cmd di windows.  Untuk memberikan static ARP Anda bisa menuliskan ‘arp -s IP addr. MAC addr.’.  Namun dengan cara ini terasa ribet.

Ada alternative lain untuk mendeteksi ARP Poisoning yaitu dengan menggunakan software, seperti Snort, DecaffeinatID, ARPdetective dll.

MEREKAM PERCAKAPAN YAHOO MESSENGER di WINDOWS

Kemarin saya sempat mengunjumgi warnet teman saya, warnet tersebut meggunakan Smoothwall sebagai server. Sambil iseng melihat konfigurasi Smoothwall ternyata ada fitur IM Proxy yang bisa merekam percakapan/chat yahoo messenger di warnet tersebut.

Melihat hal tersebut saya tertarik untuk mencari aplikasi yang sama yang bisa berjalan di windows, dan akhirnya saya mendapatkan aplikasi Yahoo Messenger Monitor Sniffer berkat bantuan Mr.Google.

Yahoo Messenger Monitor Sniffer adalah tools jaringan berguna perangkat lunak yang dirancang untuk menangkap dan mengamati percakapan Yahoo Messenger di semua komputer dalam jaringan. Tools ini dapat merekam percakapan secara otomatis secara real time. Dan ekspor semua pesan dicegat berkas HTML tersebut untuk kemudian memproses dan menganalisis. Sangat mudah untuk membuat itu untuk bekerja, dan itu akan memantau semua percakapan di jaringan Area Lokal Anda tanpa menggunakan software client yang diinstal pada komputer remote.

Fitur Utama dari Yahoo Messenger Monitor Sniffer :

Capture dan mengendus Yahoo Messenger percakapan dari remote komputer pada jaringan.
Record atau percakapan chatting Yahoo Messenger (termasuk chat room).
Ekspor semua pesan dicegat file HTML.
Secara otomatis mengirim log chat ke alamat e-mail untuk melihat jarak jauh.
Password dan perlindungan tombol.
Jalankan dalam modus sembunyi-sembunyi.
Mulai menangkap pada program startup.

Buat rekan-rekan yang tertarik dengan aplikasi ini bisa di download disini, jangan sampai salah memanfaatkanya....

APAKAH ITU INTRUSION PREVENTION SYSTEM (IPS) ???

Intrusion Prevention System (IPS) adalah sebuah aplikasi yang bekerja untuk monitoring traffic jaringan, mendeteksi aktivitas yang mencurigakan, dan melakukan pencegahan dini terhadap intrusi atau kejadian yang dapat membuat jaringan menjadi berjalan tidak seperti sebagaimana mestinya. Bisa jadi karena adanya serangan dari luar, dan sebagainya.

Produk IPS sendiri dapat berupa perangkat keras (hardware) atau perangkat lunak (software).Secara umum, ada dua jenis IPS, yaitu Host-based Intrusion Prevention System (HIPS) dan Network-based Intrusion Prevention System (NIPS).

Host-based Intrusion Prevention System (HIPS)

Host-based Intrusion Prevention System (HIPS) adalah sama seperti halnya Host-based Intrusion Detection System (HIDS). Program agent HIPS diinstall secara langsung di sistem yang diproteksi untuk dimonitor aktifitas sistem internalnya. HIPS di binding dengan kernel sistem operasi dan services sistem operasi. Sehingga HIPS bisa memantau dan menghadang system call yang dicurigai dalam rangka mencegah terjadinya intrusi terhadap host. HIPS juga bisa memantau aliran data dan aktivitas pada applikasi tertentu. Sebagai contoh HIPS untuk mencegah intrusion pada webserver misalnya. Dari sisi security mungkin solusi HIPS bisa mencegah datangnya  ancaman  terhadap host. Tetapi dari sisi performance, harus diperhatikan apakah HIPS memberikan dampak negatif terhadap performance host. Karena menginstall dan binding HIPS pada sistem operasi mengakibatkan penggunaan resource komputer host menjadi semakin besar.

Network-based Intrusion Prevention System (NIPS)

Network-based Intrusion Prevention System (NIPS) tidak melakukan pantauan secara khusus di satu host saja. Tetapi melakukan pantauan dan proteksi dalam satu jaringan secara global. NIPS menggabungkan fitur IPS dengan firewall dan kadang disebut sebagai In-Line IDS atau Gateway Intrusion Detection System (GIDS).

Sistem kerja IPS yang populer yaitu pendeteksian berbasis signature, pendeteksian berbasis anomali, dan monitoring berkas-berkas pada sistem operasi host.

Sistematika IPS yang berbasis signature adalah dengan cara mencocokkan lalu lintas jaringan dengan signature database milik IPS yang berisi attacking rule atau cara-cara serangan dan penyusupan yang sering dilakukan oleh penyerang. Sama halnya dengan antivirus, IPS berbasis signature membutuhkan update terhadap signature database untuk metode-metode penyerangan terbaru. IPS berbasis signature juga melakukan pencegahan terhadap ancaman intrusi sesuai dengan signature database yang bersangkutan.

Sistematika IPS yang berbasis anomali adalah dengan cara melibatkan pola-pola lalu lintas jaringan yang pernah terjadi. Umumnya, dilakukan dengan menggunakan teknik statistik. Statistik tersebut mencakup perbandingan antara lalu lintas jaringan yang sedang di monitor dengan lalu lintas jaringan yang biasa terjadi (state normal). Metode ini dapat dikatakan lebih kaya dibandingkan signature-based IPS. Karena anomaly-based IPS dapat mendeteksi gangguan terhadap jaringan yang terbaru yang belum terdapat di database IPS. Tetapi kelemahannya adalah potensi timbulnya false positive, yaitu pesan/log yang belum semestinya dilaporkan. Sehingga tugas Network Administrator menjadi lebih rumit, dengan harus memilah-milah mana yang merupakan serangan yang sebenarnya dari banyaknya laporan false positive yang muncul.

Teknik lain yang digunakan adalah dengan cara melakukan monitoring berkas-berkas sistem operasi pada host. IPS akan melihat apakah ada percobaan untuk mengubah beberapa berkas sistem operasi, utamanya berkas log. Teknik ini diimplementasikan dalam IPS jenis Host-based Intrusion Prevention System (HIPS).

Teknik yang digunakan IPS untuk mencegah serangan ada dua, yaitu sniping dan shunning.

Sniping : memungkinkan IPS untuk menterminasi serangan yang dicurigai melalui penggunaan paket TCP RST atau pesan ICMP Unreachable.

Shunning : memungkinkan IPS mengkonfigurasi secara otomatis firewall untuk drop traffic berdasar apa yang dideteksi oleh IPS. Untuk kemudian melakukan prevention terhadap koneksi tertentu.

Perbedaan mendasar antara Intrusion Detection System (IDS) dan Intrusion Prevention System (IPS) dapat dilihat pada gambar berikut:

Sampai saat ini IPS telah menjadi “the new brand” bagi para vendor, mereka berlomba-lomba untuk membuat solusi IPS, namun sangat disayangkan kebanyakan produk tersebut bersifat “proprietary” dan sangat susah untuk di kombinasikan dengan perangkat yang existing dipakai. Banyak peneliti yang terfokus pada signatures, baik disisi algorithma yang digunakan, permodelan dan pemecahan lainnya.Sebut saja vendor terkenal (cisco.com, bluecoat.com, juniper.net, astaro.com) yang memberikan banyak sekali solusi untuk IPS ini dengan “brand” yang berbeda-beda. Sebagai acuan dalam membeli produk IPS, kita dapat berpedoman pada Gatner Magic Quadrant untuk IPS yang diperlihatkan gambar berikut:

*.. dari berbagai sumber....

Pengelompokan HACKER

Kemaren tidak sengaja membuka buku yang sudah lama saya beli di toko buku langganan saya. Buku tersebut merupakan buku tentang Hacker ( dulu saya beli karena tertarik dengan sampulnya yang bagus).Dari buku tersebut saya pengen menceritakan bahwa Hacker bisa dikelompokkan berdasarkan aktifitas yang mereka lakukan.
Pengelompokan ini menggunakan istilah topi (hat) adapun pengelompokan tersebut adalah sebagai berikut:
Black Hat Hacker
Black Hat Hacker adalah jenis hacker yang menggunakan kemampuan mereka untuk melakukan hal-hal yang dianggap melanggar hukum dan merusak. Ini adalah type hacker yang selalu digambarkan dan mendapatkan berita dari media massa akibat ulah mereka. Kelompok ini juga sering disebut sebagai cracker.
White Hat Hacker
White Hat Hacker adalah jenis hacker yang menggunakan kemampuan mereka untuk menghadapi Black Hat Hacker. Umumnya mereka adalah profesional-profesional yang bekerja pada perusahan keamanan dan umumnya juga disebut sebagai security analys, security consultant, dan istilah lainnya.
Grey Hat Hacker
Grey Hat Hacker adalah jenis hacker yang bergerak di wilayah abu-abu, terkadang mereka adalah White Hat Hacker namun mereka bisa berubah menjadi Black Hat Hacker.
Suicide Hacker
Hacker jenis ini hanya mempunyai tujuan membuat kekacauan yang sebesar-besarnya tanpa rasa takut dengan ancaman penjara 100 tahun sekalipun. Suicide hacker bisa disetarakan dengan tindakan bom bunuh diri yang marak di jaman modern ini atau berbagai tindakan terror dari teroris.
Dari pengelompokan tersebut anda tinggal memilih mana kategori hacker yang akan anda jalani, jika anda sangat berminat sebagai seorang Hacker….