Saya menjalankan banyak ujicoba penetrasi terhadap berbagai sistem dan jaringan client. Sebagian besar waktu tersebut, pengujian dilakukan secara langsung, sebagaimana halnya dengan administrator jaringan banyak yang tidak memfilter trafik ICMP dan jaringan yang saya scan tidak benar-benar diblok. Saya menyukai jenis ujicoa seperti ini, mudah dan cepat dilakukan.
Apa yang tidak saya sukai, bagaimanapun, adalah saat sadar-keamanan yang tinggi dari administrator tergolong handal untuk mengatasi saya dan sistem target. Dalam situasi ini, suatu pengujian biasanya memakan waktu 2 hari bahkan bisa mencapai 1 minggu yang berharga dari waktu saya! Dengan ini anda dapat membuat pasukan attacker (dan konsultan security) berusaha keras untuk mencoba memetakan jaringan, mengidentifikasi service, aplikasi dan serangan yang efektif dan mematikan.
Artikel ini merupakan rincian dari 10 tip jitu untuk seluruh administrator jaringan, untuk melindungi jaringan anda dari bahaya yang mengancam dan mempersulit para attacker handal untuk mendapatkan segala sesuatunya dengan cepat.
1. Filter Inbound ICMP ping Messages
Saat saya melakukan ujicoba terhadap sstem dan jaringan komputer berbasis internet, saya selalu memulainya dengan ICMP ping-sweep untuk mengidentifikasi secara jelas, kelemahan server yang dilindungi yang saya harus menyelidikinya lebih jauh. Dalam 24 subnet dengan 254 server address yang potensial, selalu baik untuk hal yang mendekati untuk menangani mesin yang dapat diakses secara cepat.
Jika anda memfilter trafik ICMP echo request (type 8, code 0) pada batas router anda, atau firewall, para attacker yang andal menyerang melalui port scanning seluruh IP address dalam subnet anda, yang secara dramatis menambah waktu yang dihabiskan untuk scanning jaringan anda. Kebanyakan attacker yang tangguh juga terhalang oleh perubahan yang cukup sederhana pada jaringan anda.
2. Konfigurasi Firewall untuk menggunakan Proteksi SYN Flood
Jika anda menggunakan nmap atau tool scanning port yang lain dalam kondisi konfigurasi default, mereka mengirim ribuan paket TCP SYN ke berbagai port untuk mendapatkan respon, dan mengidentifikasi service mana dalam jaringan yang bisa diakses. Beberapa saat, bekerja sangat efektif dengan memfilter inbound ICMP Ping message untuk mengonfigurasi firewall anda agar menampilkan proteksi SYN flood (didukung oleh WatchGuard, Check Point, NetScreen dan sebagainya).
Pelindung SYN flood menghentikan paket SYN dari sumber yang dikirim terlampau banyak, secara tradisionil mirip serangan Denial-of-Service. Bagaimanapun, tool port-scanning biasanya mengirimkan ribuan paket SYN berkecepatan tinggi, paket ini seringkali dihentikan oleh mekanisme pelindung SYN-Flood.
Para attacker masih dapat melakuan port-scan dan memetakan jaringan anda berikut service-nya, namun tool seperti nmap dan SuperScan harus dikonfigurasi ulang untuk menambah waktu delay diantara packet SYN yang dikirimkan.
3. Filter Outbound ICMP Type 3 Messages
ICMP type 3 (unreachable) message baisanya digunakan selama scan port UDP untuk mengidentifikasi port UDP tertutup, dan oleh karena itu mengetahui port UDP mana yang terbuka (bukan seperti ICMP pesan "destination port unreachable" yang ditampilkan pada port yang terbuka). Pesan ini juga digunakan oleh tool penguji keamanan, termasuk firewall, untuk memperkirakan kebijakan dan aturan pada batas router dan firewall.
Dengan memfilter outbound ICMP type 3 message, scanning port UDP sangat sulit untuk dilakukan, dan teknik pengujian jaringan peripheral yang juga tergolong sulit.
4. Menempatkan Seluruh Server Internet yang dapat diakses publik dalam suatu DMZ (Zona Demiliterisasi)
Hal ini merupakan aturan yang baik, saya tahu, namun saya masih terkejut saat saya menguji suatu jaringan dan segera setelah itu ternyata server yang dapat diakses publik tidak ditempatkan dalam sebuah konfigurasi DMZ. Untuk mengulangi aturan tersebut, kebanyakan server internet yang diakses publik (seperti mail, FTP, atau web server) seharusnya ditempatkan dalam suatu DMZ, dengan tujuan melindungi kedua sistem DMZ tersebut dari Internet dan Sistem Jaringan Internal.dari DMZ.
5. Install Microsoft URLScan pada IIS Web Server Anda
URLScan merupakan tool filter gratis yang handal dari Microsoft. Berfungsi untuk mencegah serangan terhadap seluruh web server IIS tertentu ang diakses secara publik terhadap web server anda secara efektif dengan memfilter akses ke fitur yang tidak diperlukan dan ekstensi ISAPI. Bahkan jika server anda tergolong rentan terhadap berbagai masalah di masa depan, filterisasi yang disediakan URLScan akan melindungi anda dan memberi anda waktu untuk mem-patch server tersebut jika mengalami masalah yang serius.
6. Batasi Remote Access ke User Services Hanya melalui Koneksi VPN yang Otentik
Publik yang mengakses ke Microsoft Outlook Web Access, POP3 mail dan user services lainnya hanya menghadirkan masalah pada 3 hal besar:
Apa yang tidak saya sukai, bagaimanapun, adalah saat sadar-keamanan yang tinggi dari administrator tergolong handal untuk mengatasi saya dan sistem target. Dalam situasi ini, suatu pengujian biasanya memakan waktu 2 hari bahkan bisa mencapai 1 minggu yang berharga dari waktu saya! Dengan ini anda dapat membuat pasukan attacker (dan konsultan security) berusaha keras untuk mencoba memetakan jaringan, mengidentifikasi service, aplikasi dan serangan yang efektif dan mematikan.
Artikel ini merupakan rincian dari 10 tip jitu untuk seluruh administrator jaringan, untuk melindungi jaringan anda dari bahaya yang mengancam dan mempersulit para attacker handal untuk mendapatkan segala sesuatunya dengan cepat.
1. Filter Inbound ICMP ping Messages
Saat saya melakukan ujicoba terhadap sstem dan jaringan komputer berbasis internet, saya selalu memulainya dengan ICMP ping-sweep untuk mengidentifikasi secara jelas, kelemahan server yang dilindungi yang saya harus menyelidikinya lebih jauh. Dalam 24 subnet dengan 254 server address yang potensial, selalu baik untuk hal yang mendekati untuk menangani mesin yang dapat diakses secara cepat.
Jika anda memfilter trafik ICMP echo request (type 8, code 0) pada batas router anda, atau firewall, para attacker yang andal menyerang melalui port scanning seluruh IP address dalam subnet anda, yang secara dramatis menambah waktu yang dihabiskan untuk scanning jaringan anda. Kebanyakan attacker yang tangguh juga terhalang oleh perubahan yang cukup sederhana pada jaringan anda.
2. Konfigurasi Firewall untuk menggunakan Proteksi SYN Flood
Jika anda menggunakan nmap atau tool scanning port yang lain dalam kondisi konfigurasi default, mereka mengirim ribuan paket TCP SYN ke berbagai port untuk mendapatkan respon, dan mengidentifikasi service mana dalam jaringan yang bisa diakses. Beberapa saat, bekerja sangat efektif dengan memfilter inbound ICMP Ping message untuk mengonfigurasi firewall anda agar menampilkan proteksi SYN flood (didukung oleh WatchGuard, Check Point, NetScreen dan sebagainya).
Pelindung SYN flood menghentikan paket SYN dari sumber yang dikirim terlampau banyak, secara tradisionil mirip serangan Denial-of-Service. Bagaimanapun, tool port-scanning biasanya mengirimkan ribuan paket SYN berkecepatan tinggi, paket ini seringkali dihentikan oleh mekanisme pelindung SYN-Flood.
Para attacker masih dapat melakuan port-scan dan memetakan jaringan anda berikut service-nya, namun tool seperti nmap dan SuperScan harus dikonfigurasi ulang untuk menambah waktu delay diantara packet SYN yang dikirimkan.
3. Filter Outbound ICMP Type 3 Messages
ICMP type 3 (unreachable) message baisanya digunakan selama scan port UDP untuk mengidentifikasi port UDP tertutup, dan oleh karena itu mengetahui port UDP mana yang terbuka (bukan seperti ICMP pesan "destination port unreachable" yang ditampilkan pada port yang terbuka). Pesan ini juga digunakan oleh tool penguji keamanan, termasuk firewall, untuk memperkirakan kebijakan dan aturan pada batas router dan firewall.
Dengan memfilter outbound ICMP type 3 message, scanning port UDP sangat sulit untuk dilakukan, dan teknik pengujian jaringan peripheral yang juga tergolong sulit.
4. Menempatkan Seluruh Server Internet yang dapat diakses publik dalam suatu DMZ (Zona Demiliterisasi)
Hal ini merupakan aturan yang baik, saya tahu, namun saya masih terkejut saat saya menguji suatu jaringan dan segera setelah itu ternyata server yang dapat diakses publik tidak ditempatkan dalam sebuah konfigurasi DMZ. Untuk mengulangi aturan tersebut, kebanyakan server internet yang diakses publik (seperti mail, FTP, atau web server) seharusnya ditempatkan dalam suatu DMZ, dengan tujuan melindungi kedua sistem DMZ tersebut dari Internet dan Sistem Jaringan Internal.dari DMZ.
5. Install Microsoft URLScan pada IIS Web Server Anda
URLScan merupakan tool filter gratis yang handal dari Microsoft. Berfungsi untuk mencegah serangan terhadap seluruh web server IIS tertentu ang diakses secara publik terhadap web server anda secara efektif dengan memfilter akses ke fitur yang tidak diperlukan dan ekstensi ISAPI. Bahkan jika server anda tergolong rentan terhadap berbagai masalah di masa depan, filterisasi yang disediakan URLScan akan melindungi anda dan memberi anda waktu untuk mem-patch server tersebut jika mengalami masalah yang serius.
6. Batasi Remote Access ke User Services Hanya melalui Koneksi VPN yang Otentik
Publik yang mengakses ke Microsoft Outlook Web Access, POP3 mail dan user services lainnya hanya menghadirkan masalah pada 3 hal besar:
- Celah keamanan (overflow, bug otentikasi) teridentifikasi dalam service tersebut.
- Tidak adanya pelindung dari network sniffing, untuk melumpuhkan data otentikasi
- Tidak adanya auditing and lock-out yang menggunakan service ini, mengancam terjadinya serangan brute-force.
Dalam lingkungan jaringan dimana keamanan sangat penting, akses ke user service seharusnya dijamin melalui koneksi VPN terotentikasi.
7. Periksa Server yang dapat Diakses terhadap Open Proxy atau Mail Relay
Kebalikan proxy yang digunakan dalam lingkungan web enterprise, web server, mail server dan proxy server sering mengalami cacat konfigurasi, mengijinkan mail, web atau trafik lain dikirimkan ke kewenangan internal atau layanan berbasis internet.
Tool yang bermanfaat untuk menguji proxy terbuka:
8. Pastikan Bahwa Remote User selalu Waspada
Kecermatan para attacker untuk mengidentifikasi dan mengeksploitasi kelemahan link dalam berbagai cara. pada lingkungan jaringan komputer yang besar, tempat umum bagi home user untuk mendapatkan akses melalui VPN atau koneksi lain, untuk data dan sistem internal yang sensitif. Hal terpenting adalah Personal Firewall dan Sistem Antivirus dikonfigurasi dengan sesuai dan up-to-date, namun hal terpenting adalah kewaspadaan remote user, dan tidak men-double clik lampiran e-mail yang bisa saja berisi kode Trojan.
9. Gunakan Mekanisme Strong Authentication untuk Administrative User.
Cara efektif untuk melindungi administrator password anda dilumpuhkan oleh attacker, yang kemudian digunakan untuk melengkapi kendali Internal Window Domain atau direktori aktif. Untuk mewaspadai hal ini gunakan two-factor authentication pada administrative user, seperti RSA SecurID atau Secure Computing SafeWord. Dengan menggunakan two-factor authentication, efektif terhadap dua jenis serangan seperti brute force dan authentication sniffing dan replay (seperti SMBRelay dan sebagainya).
10. Periksa Situs Security Beberapa hari sekali
tetaplah mengupdate dengan ancaman terkini dan tool yang harus digunakan. Saya secara pribadi seringkali mengikuti jalur utama website security beberapa hari sekali, browsing melalui mailing list, forum dan artikel. Situs tersebut antara lain:
- SecurityFocus
- Packet Storm
- Secunia
Demikian disampaikan, salam hangat dari saya.
oleh Chris McNab,
Penulis buku Network Security Assessment
03/25/2004
Penulis buku Network Security Assessment
03/25/2004