|
|
Beberapa hari ini saya sangat tertarik dengan masalah Sniffing sejak saya mendownload suatu program yang bernama Winsniff. Program ini dikatakan mampu melakukan Sniffing terhadap password FTP/TELNET/POP3 pada suatu jaringan Ethernet. Program ini dijalankan pada lingkungan Windows 95. Setelah saya coba program ini ternyata benar.
Menyadari akan akibat pemakaian tools sejenis ini terhadap keamanan jaringan ethernet anda, sehingga hal ini perlu diketahui oleh setiap pemakai komputer dan administrator jaringan agar terhindar oleh pemakaian oleh orang-orang yang tidak bertanggung jawab.
Tulisan ini tidak ditujukan untuk mengajari anda bagaimana menggunakan suatu Sniffer untuk menggambil password secara tidak sah, tetapi memberikan pengetahuan tentang keberadaan software tersebut.
Salam
Hendra & Susan Dewichan.
Sniffer FAQ
Christopher Klaus / Internet Security Systems, Inc. courtesy.
Sniffer FAQ
Version: 1.7
------------------------------------------------------------------------
Security FAQ ini adalah bersumber dari:
Internet Security Systems, Inc.
2000 Miller Court West Tel: (770) 441-2531
Norcross, Georgia 30071 Fax: (770) 441-2431
------------------------------------------------------------------------
Sniffer FAQ ini akan memberikan pengertian yang lebih baik kepada para
administrator tentang masalah sniffing dan memberikan solusi yang mungkin untuk
menangani sniffer yang mana merupakan penyebab utama masalah Internet pada
dewasa ini.
FAQ ini akan bagi kedalam beberapa bagian:
Apa yang dimaksud dengan sniffer dan bagaimana cara
kerjanya
Dalam berkomunikasi dalam suatu jaringan, komputer menggunakan saluran yangs
sama untuk melakukan komunikasi satu sama dengan yang lain, dengan pemakaian
bersama ini berarti bahwa komputer dapat menangkap informasi yang seharusnya
ditujukan untuk komputer lain. Kegiatan untuk mengambil informasi yang melalui
suatu jaringan disebut dengan sniffing.
Salah protokol komunikasi jaringan komputer yang paling populer adalah ethernet.
Protokol ethernet bekerja dengan cara mengirim paket informasi ke seluruh host
pada jaringan yang sama. Header dari masing-masing paket mengandung alamat
komputer tujuan. Hanya mesin dengan alamat tersebut yang akan menerima paket
tersebut. Tetapi suatu mesin yang menggunakan modus promiscuous dapat menerima
semua paket tanpa memperhatikan alamat tersebut.
Pada aplikasi seperti FTP,Telnet, dan POP3, password dilewatkan melalui jaringan
secara clear-text (tanpa enkripsi), sehingga menjadi sasaran empuk bagi pemakai
sniffer untuk mendapatkan UserId dan Password.
Dimana program sniffing dapat diperoleh
Sniffing adalah salah satu metode yang paling banyak digunakan para hacker untuk
melakukan penyerangan dengan mencuri UserId dan password pada suatu
jaringan.Suatu program sniffer berukuran kecil dengan nama Esniff.c dirancang
untuk Sunos, akan mencatat 300 byte pertama dari semua session telnet, ftp dan
rlogin. Program ini disebarkan di Phrack, yaitu salah satu majalah underground
tentang hacking yang paling banyak dibaca.
Sebenarnya program sniffer juga digunakan untuk mendiagnosa masalah pada
jaringan. Network General memproduksi sejumlah produk. Salah satu yang paling
penting adalah Expert Sniffer, yang mana tidak hanya melakukan sniffing, tetapi
juga memiliki sistem pakar yang berkemampuan tinggi, serta mendiagnosa masalah
pada jaringan anda.
Dewasa ini telah program-program sniffing yang berjalan diatas sistem operasi Windows, anda dapat mencarinya di http://neworder.box.sk
Bagaimana mendeteksi suatu sniffer sedang berjalan.
Untuk mendeteksi suatu peralatan sniffing membutuhkan pemeriksaan secara fisik
pada seluruh koneksi ethernet anda dengan cara berjalan berkeliling dan
memeriksa koneksi ethernet tersebut satu per-satu.
Untuk SunOs, NetBSD, dan kemungkinan turunan dari sistem BSD Unix , ada
suatu perintah
"ifconfig -a"
yang akan memberitahukan anda tentang semua interface yang mana diantaranya
berada dalam modus promiscuous. DEC OSF/1 dan IRIX dan mungkin OS lainnya
membutuhkan peralatan tambahan. Suatu cara untuk mendapatkan interface apa saja
berada dalam sistem, anda dapat menjalankan:
# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Interface
default iss.net UG 1 24949 le0
localhost localhost UH 2 83 lo0
Kemudian anda dapat mencoba setiap interface dengan melakukan perintah berikut:
#ifconfig le0
le0: flags=8863
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
Ada suatu program yang disebut dengan cpm yang terdapat pada ftp.cert.org:/pub/tools/cpm
yang mana hanya bekerja pada Sunos dan dapat memeriksa interface berada pada flag
promiscuous.
Pada Ultrix dapat mendeteksi seseorang yang menjalankan suatu sniffer dengan
perintah pfstat dan pfconfig.
pfconfig memungkinkan anda untuk menentukan siapa saja yang dapat menjalankan
suatu sniffer
pfstat menampilkan pada anda jika interface tertentu berada dalam promiscuous
mode.
Perintah ini hanya bekerja jika sniffing diaktifkan dengan kaitannya pada
kernel, secara default sniffer tidak terkait dalam kernel. Pada banyak sistem
seperti Irix, Solaris, SCO, dll, tidak memiliki flag indikasi yang mana
menunjukkan apakah mereka berada dalam modus promiscuous atau tidak, sehingga
seorang penyusup dapat melakukan sniffing terhadap keseluruhan jaringan anda dan
tidak ada cara untuk mendeteksinya.
Mengakhiri serangan oleh sniffing
Menggunakan active hubs yang hanya akan mengirim paket ke sistem dimana paket tersebut dituju, mengakibatkan sniffing menjadi tidak berguna.
1. Enkripsi
Melakukan enkripsi antar koneksi sehingga penyusup mendapatkan informasi dalam
keadaan terenkripsi.
2. Kerberos
Kerberos adalah paket yang dapat melakukan enkripsi terhadap informasi
account yang keluar ke jaringan. Masalahnya adalah semua informasi account
ditangani pada suatu host dan jika mesin tersebut down, maka seluruh jaringan
akan terpengaruh. Kerberos datang dengan suatu stream-encrypting rlogind, dan
stream-encrypting telnetd yang dapat diperoleh. Hal ini berfungsi mencegah
penyusup untuk mencatat apa yang anda lakukan setelah login.
Tentang Kerberos FAQ berada pada ftp di rtfm.mit.edu in
/pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11
3. Teknologi One time password
S/key dan teknologi one time password membuat kegiatan sniffing terhadap
informasi account menjadi tidak berguna. Pada konsepnya S/key sistem remote
menyimpan password yang tidak pernah dikirim melalui saluran dan ketika anda
melakukan koneksi, anda akan mendapatkan suatu challenge. Anda mengambil
informasi challenge tersebut, dan dengan menggunakan suatu algoritma
password beserta challenge diproses menjadi suatu respon, respon yang dihasilkan
harus sama dengan respon yang berada pada sistem remote. Dengan metode ini
password tidak pernah dikirim melalui jaringan, dan tidak ada challenge yang
akan digunakan untuk kedua kalinya. Tidak seperti SecureID ataupun SNK, dengan
S/key anda tidak berbagi rahasia dengan host tersebut. S/key tersedia pada
ftp:thumper.bellcore.com:/pub/nmh/skey
Teknologi one time password lainnya adalah sistem kartu yang mana setiap pemakai
mendapatkan suatu kartu yang mana menghasilkan nomor yang memperbolehkan akses
ke account mereka. Tanpa kartu tersebut, adalah tidak mungkin menebak nomor
tersebut.
OneTime Pass (OTP):
Program ini menyediakan kode one-time pass yang tak terbatas pada seorang
pemakai dengan basis pemakaian yang tidak membutuhkan protokol cryptographic
ataupun peralatan hardware. Pemakai mendapatkan suatu daftar dari kode pass yang
dapat digunakan, dan akan dihapus satu setiap satu dipakai. System mencatat
pemakaian, menghapus setiap passcode dari daftar yang ada ketika telah dipakai.
Datang dengan ukuran sangat kecil dan pemeriksa password yang cepat dan password
dan sistem pass phrase generation.
ArKey:
Ini adalah sistem Argued Key yang sebenarnya yang mana secara mutual
melakukan autentikasi pemakai dan sistem satu sama lainnya dengan pengetahuan
umum mereka. Tidak membutuhkan hardware khusus. Datang dengan ukuran sangat
kecil dan pemeriksa password yang cepat dan password dan sistem pass
phrase generation.
4. Interface Non-promiscuous
Anda dapat meyakinkan bahwa kebanyakan produk mesin IBM DOS compatible memiliki
interface yang mana tidak akan memperbolehkan sniffing. Berikut ini adalah
daftar dari kartu yang tidak mendukung modus promiscuous:
Mencoba interface dari modus promiscuous dengan menggunakan Gobbler. Jika
anda menemukan suatu interface dapat melakukan modus promiscuous dan terdaftar
dibawah ini, silahkan e-mail ke
cklaus@iss.net dan akan menghapusnya secepat mungkin.
IBM Token-Ring Network PC Adapter
IBM Token-Ring Network PC Adapter II (short card)
IBM Token-Ring Network PC Adapter II (long card)
IBM Token-Ring Network 16/4 Adapter
IBM Token-Ring Network PC Adapter/A
IBM Token-Ring Network 16/4 Adapter/A
IBM Token-Ring Network 16/4 Busmaster Server Adapter/A
Kartu berikut di rumor kan tidak dapat masuk ke modus promiscuous, tetapi
kebenaran dari rumor tersebut diragukan.
Microdyne (Excelan) EXOS 205
Microdyne (Excelan) EXOS 205T
Microdyne (Excelan) EXOS 205T/16
Hewlett-Packard 27250A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27245A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27247A EtherTwist PC LAN Adapter Card/16
Hewlett-Packard 27248A EtherTwist EISA PC LAN Adapter Card/32
HP 27247B EtherTwist Adapter Card/16 TP Plus
HP 27252A EtherTwist Adapter Card/16 TP Plus
HP J2405A EtherTwist PC LAN Adapter NC/16 TP
Adapter yang didasarkan pada chipset TROPIC umumnya tidak mendukung modus
promiscuous. Chipset TROPIC digunakan dalam adapter IBM's Token Ring seperti
adapter 16/4. Pemasok lainnya (terutama 3Com) juga menyediakan adapter berbasis
TROPIC.
Adapter berbasis TROPIC dapat menerima EPROMs khusus, demikian sehingga
akan dapat masuk ke modus promiscuous. Bagaimanapun, ketika dalam modus
promiscuous, adapter ini akan melepaskan suatu frame "Trace Tool
Present".