.::Cyber Hack-tm::.

.::Cyber Hack-tm::. Blog | Created By Vdilzkodze

Pendahuluan

- - -- by Fadil kodze»
0 komentar»
A Post Without Image


Dalam upaya turut serta didalam pembangunan nasional yang berbasiskan teknologi Cyber yang sangat populer saat ini, serta andil dalam melestarikan generasi muda sebagai generasi penerus bangsa, sebagai komponen anak bangsa kami menyumbangkan setetes darah harapan dan pandangan positif terhadap perubahan jaman yang semakin maju kedepan bersamaan dengan kemajuan media komunikasi yang canggih dan semakin modern dalam kemasannya yang begitu mendekatkan dunia kepada keinginan anak bangsa.



Dunia tak seluas daun kelor

Sang pujangga melantunkan sebuah pepatah bermakna " kemanapun melangkah disitu angan berada " , kata dunia tak seluas daun kelor seolah menjadi kata yang mudah terucapkan namun hilang suatu makna yang tersirat dan tersurat padanya . Era globalisasi diberbagai sektor pola pikir manusia yang merubah pola hidup dan tatanan hidup manusia sehingga sangatlah berpengaruh terhadap moralitas anak bangsa yang sedang berharap membangun bangsanya .

Dunia seakan ada pada ujung jari anda sebuah selogan teknologi yang patut kita cermati dan kita hayati di era multymedia yang begitu gencar melanda jaman saat ini . pemanfaatan teknologi , penerapan teknologi harus betul betul menjadi tanggung jawab elemen bangsa , dan harus bisa menyerap elemen - elemen positip pada teknologi terapan saat ini yang akan berpengaruh terhadap kemajuan bangsa indonesia tercinta .
Pesan Moral

Menyambung rasa peduli terhadap negeri tercinta , sebagai elemen kecil yang tak pernah tersentuh oleh gemerlapnya kemewahan era teknologi yang tidak tahu akan mengarah kearah dunia mana dan berakhir didunia mana , berbesar hatilah generasi penerus bangsa tuk menghadapi dunia maya yang tak tersentuh dan terjamah hanya angan - angan yang menyertai mereka yang menjumpainya . berpikir positiflah , berkaryaciptalah , arahkan globalisasi cyber pada sesuatu yang dapat membangun bangsa dan menyelamatkan bangsa ini ..

Pesan Peduli Anak Bangsa

Jauhi NARKOBA dan katakan TIDAK TERHADAP NARKOBA , jauhi azab pencipta bumi ini yang mulai memberikan peringatan kepada kita semua.

Pirates of Silicon Valley"

- - -- by Fadil kodze»
0 komentar»
A Post Without Image



Film ini dibuat dari kisah nyata perjalanan karir “Bill Gates” orang terkaya saat ini di dunia. Film ini menceritakan persaingan antara Bill Gates versus Steve Jobs, Steve Jobs adalah pendiri Apple Computer Inc. yang terkenal dengan produk Macintosh-nya. Pada tahun 1975, Gates dan rekannya Paul Allen mendirikan Microsoft. Dan pada tahun 1976, Jobs dan rekannya Steve Wozniac mendirikan Apple Inc, di garasi. Waktu itu mereka mampu menjual komputer Apple I yang awalnya dibungkus kayu dan menggunakan layar TV bekas. Sebenarnya Wozniac sempat menunjukkan komputer tersebut ke perusaahaan HP tempat dia bekerja. Tapi para petinggi HP saat itu hanya menertawakannya.

kejayaan Apple dimulai ketika mereka berhasil menciptakan komputer yang memiliki GUI yang menarik, dengan digunakannya mouse. Ide penggunaan mouse dan grafik tersebut mereka curi dari Xerox. Pihak Xerox mengijinkan “Jobs” dan kawan-kawan melihat hasil karyanya karena tidak menyadari dahsyatnya pemanfaatannya. Steve Jobs sama sekali tidak malu mengakui bahwa dia telah melakukan pencurian. Justru dia bangga dan menjadikan pencurian sebagai motto perusahaan. Bahkan di depan kantornya dikibarkan bendera bajak laut.

Pada saat Apple sudah besar, Microsoft masih merupakan perusahaan kecil. Namun produk mereka cukup menarik bagi IBM. Dan suatu saat bertemulah Gates dengan petinggi IBM. Pada pertemuan tersebut, Bill Gates berhasil meyakinkan IBM bahwa mereka memiliki produk yang dibutuhkan IBM. Padahal Gates dan kawan-kawan tidak mempersiapkan apapun ketika berangkat ke pertemuan. Dan di tengah-tengah kebingungan tersebut, Allen mengunjungi sebuah software house kecil Di sana dia melihat program XDOS, dan memutuskan untuk membeli beserta lisensinya. Program tersebutlah yang akhirnya dijual kembali oleh Bill Gates kepada IBM. Dan itu pun dengan lisensi yang masih dipegang Microsoft. Program itu kemudian menjadi MS DOS. Yang biasa digunakan pada windows yang sekarang ini.

Kerjasama dengan IBM tersebut membuat Microsoft terus berkembang, tapi masih tetap di bawah Apple Inc. Apple selalu selangkah lebih maju. Hal ini membuat Bill Gates penasaran dan datang menemui Jobs. Dan Berbincang-bincang dengan Steve Jobs, bahkanBill Gates diberi 1 buah prototype Apple terbarunya karena Gates berjanji untuk ikut mengembangkannya. Setelah sekian lama tidak ada kabarnya, Jobs pun mulai tersadar. Dia pun memanggil Gates dengan penuh amarah. Dia sekali lagi berhasil meyakinkan Steve Jobs bahwa dia sedang membantu melakukan pengembangan.

Dan akhirnya tibalah saat peluncuran komputer Apple yang berasal dari prototype tersebut. Bill gates diberi kesempatan untuk turut berpidato. Ketika Gates sedang di podium, Steve Jobs mendapat kabar bahwa di Jepang sudah beredar komputer dengan program yang mirip dengan produk Apple itu. Program tersebut tak lain adalah Microsoft Windows.

Jadi pada initinya dari film tersebut adalah bahwa Microsoft adalah bukan sistem operasi buatan murni “Bill Gates” melainkan didapatkan dengan cara mencuri prototype milik Apple. Inc yang dimiliki oleh “steve Jobs”.

konsep keamanan Jaringan

- - -- by Fadil kodze»
0 komentar»
A Post Without Image

Konsep Keamanan Jaringan merupakan materi pertama dari matakuliah network security untuk semester 5 kuliah ku. Iseng nyari-nyari sebelum belajar sebenarnya buat minggu depan, sekalian belajar dan juga bisa di posting di blog ini. hehehehhe...



Konsep Keamanan Jaringan

Keamanan jaringan komputer sebagai bagian dari sebuah sistem informasi adalah sangat penting untuk menjaga validitas dan integritas data serta menjamin keterrsediaan layanan begi penggunanya. Sistem harus dilindungi dari segala macam serangan dan usaha-usaha penyusupan atau pemindaian oleh pihak yang tidak berhak.
Komputer yang terhubung ke jaringan mengalami ancaman keamanan yang lebih besar daripada host yang tidak terhubung kemana-mana. Dengan mengendalikan network security, resiko tersebut dapat dikurangi. Namun network security biasanya bertentangan dengan network acces, karena bila network acces semakin mudah, network security makin rawan. Bila network security makin baik, network acces semakin tidak nyaman. Suatu jaringan didesain sebagai komunikasi data highway dengan tujuan meningkatkan akses ke sistem komputer, sementara keamanan didesain untuk mengontrol akses. Penyediaan network security adalah sebagai aksi penyeimbang antara open acces dengan security.

Prinsif Keamanan Jaringan
Prinsif keamanan jaringan dapat dibedakan menjadi tiga, yaitu :

a. Kerahasiaan (secrecy)
Secrecy berhubungan dengan hak akses untuk membaca data atau informasi dan suatu sistem computer. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data atau informasi hanya dapat dibaca oleh pihak yang telah diberi hak atau wewenang secara legal.

b. Integritas (integrity)
Integrity berhubungan dengan hak akses untuk mengubah data atau informasi dari suatu sistem computer. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data atau informasi hanya dapat diubah oleh pihak yang telah diberi hak.

c. Ketersediaan (availability)
Availability berhubungan dengan ketersediaan data atau informasi pada saat yang dibutuhkan. Dalam hal ini suatu sistem komputer dapat dikatakan aman jika suatu data atau informasi yang terdapat pada sistem komputer dapat diakses dan dimanfaatkan oleh pihak yang berhak.

d. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.

Untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi watermarking dan digital signature. Sedangkan untuk menguji keaslian orang atau server yang dimaksud bisa dilakukan dengan menggunakan password, biometric (ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan kepada orang untuk menguji siapa dia :

* What you have (misalnya kartu identitas ~KTP,SIM,dll~)
* What you know (misalnya PIN atau password)
* What you are (misalnya sidik jari, biometric, Captcha)

e. Akses Kontrol
Aspek kontrol merupakan fitur-fitur keamanan yang mengontrol bagaimana user dan sistem berkomunikasi dan berinteraksi dengan system dan sumberdaya yang lainnya. Akses kontrol melindungi sistem dan sumberdaya dari akses yang tidak berhak dan umumnya menentukan tingkat otorisasi setelah prosedur otentikasi berhasil dilengkapi.

Kontrol akses adalah sebuah term luas yang mencakup beberapa tipe mekanisme berbeda yang menjalankan fitur kontrol akses pada sistem komputer, jaringan, dan informasi. Kontrol akses sangatlah penting karena menjadi satu dari garis pertahanan pertama yang digunakan untuk menghadang akses yang tidak berhak ke dalam sistem dan sumberdaya jaringan.

f. Non-Repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Penggunaan digital signature, certificates, dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal.


Jenis Serangan Terhadap Keamanan Jaringan
Pada dasrnya, menurut jenisnya, serangan terhadap suatu data dalam suatu jaringan dapat dikategorikan menajdi 2, yaitu:

1. Serangan Pasif

Merupakan serangan pada sistem autentikasi yang tidak menyisipkan data pada aliran data, tetapi hanya mengamati atau memonitor pengiriman informasi ke tujuan. Informasi ini dapat digunakan di lain waktu oleh pihak yang tidak bertanggung jawab. Serangan pasif yang mengambil suatu unit data kemudian menggunakannya untuk memasuki sesi autentikassi dengan berpura-pura menjadi user yangg autentik / asli disebut dengan replay attack. Beberapa informasi autentikasi seperti password atau data biometric yang dikirim melalui transmisi elektronik dapat direkam dan kemudian digunakan untuk memalsukann data yang sebenarnya. Serangan pasif inni sulit dideteksi kareena penyerang tidak melakukan perubahan data. Oleh sebab itu untuk mengatasi serangan pasif ini lebih ditekankan pada pencegahan daripada pendeteksiannya.

2. Serangan Aktif

Merupakan serangan yang mencoba memodifikasi data, mencoba mendapatkan autentikasi, atau mendapatkan autentikasi dengan mengirimkan paket-paket data yang salah ke dalam data stream atau dengan memodifikassi paket-paket yang melewati data stream. Kebalikan dari serangan pasif, serangan aktif sulit untuk dicegah karena untuk melakukannya dibutuhkan perlindungan fisik untuk semua fasilitass komunikassi dan jalur-jalurnya setiap saat. Yang dapat dilakukan adalah mendeteksi dan memulihkan keadaan yang disebabkan oleh serangan ini.


Bentuk-bentuk Ancaman

1. Memaksa masuk dan kamus password
Jenis ancaman keamanan jaringan ini lebih umum disebut sebagai Brute Force and Dictionary, serangan ini adalah upaya masuk ke dalam jaringan dengan menyerang database password atau menyerang login prompt yang sedang active. Serangan masuk paksa ini adalah suatu upaya untuk menemukan password dari account user dengan cara yang sistematis mencoba berbagai kombinasi angka, huruf, atau symbol. Sementara serangan dengan menggunakan metoda kamus password adalah upaya menemukan password dengan mencoba berbagai kemungkinan password yang biasa dipakai user secara umum dengan menggunakan daftar atau kamus password yang sudah di-definisikan sebelumnya.
Untuk mengatasi serangan keamanan jaringan dari jenis ini anda seharusnya mempunyai suatu policy tentang pemakaian password yang kuat diantaranya untuk tidak memakai password yang dekat dengan kita missal nama, nama anak, tanggal lahir dan sebagainya. Semakin panjang suatu password dan kombinasinya semakin sulit untuk diketemukan. Akan tetapi dengan waktu yang cukup, semua password dapat diketemukan dengan metoda brute force ini.

2. Denial of Services (DoS)
Deniel of Services (DoS) ini adalah salah satu ancaman keamanan jaringan yang membuat suatu layanan jaringan jadi mampet, serangan yang membuat jaringan anda tidak bisa diakses atau serangan yang membuat system anda tidak bisa memproses atau merespon terhadap traffic yang legitimasi atau permintaan layanan terhadap object dan resource jaringan. Bentuk umum dari serangan Denial of Services ini adalah dengan cara mengirim paket data dalam jumlah yang sangat bersar terhadap suatu server dimana server tersebut tidak bisa memproses semuanya. Bentuk lain dari serangan keamanan jaringan Denial of Services ini adalah memanfaatkan telah diketahuinya celah yang rentan dari suatu operating system, layanan-2, atau applikasi-2. Exploitasi terhadap celah atau titik lemah system ini bisa sering menyebabkan system crash atau pemakaian 100% CPU.

Tidak semua Denial of Services ini adalah merupakan akibat dari serangan keamanan jaringan. Error dalam coding suatu program bisa saja mengakibatkan kondisi yang disebut DoS ini. Disamping itu ada beberapa jenis DoS seperti:
1. Distributed Denial of Services (DDoS), terjadi saat penyerang berhasil meng-kompromi beberapa layanan system dan menggunakannya atau memanfaatkannya sebagai pusat untuk menyebarkan serangan terhadap korban lain.
2. Ancaman keamanan jaringan Distributed refelective deniel of service (DRDoS) memanfaatkan operasi normal dari layanan Internet, seperti protocol-2 update DNS dan router. DRDoS ini menyerang fungsi dengan mengirim update, sesi, dalam jumlah yang sangat besar kepada berbagai macam layanan server atau router dengan menggunakan address spoofing kepada target korban.
3. Serangan keamanan jaringan dengan membanjiri sinyal SYN kepada system yang menggunakan protocol TCP/IP dengan melakukan inisiasi sesi komunikasi. Seperti kita ketahui, sebuah client mengirim paket SYN kepada server, server akan merespon dengan paket SYN/ACK kepada client tadi, kemudian client tadi merespon balik juga dengan paket ACK kepada server. Ini proses terbentuknya sesi komunikasi yang disebut Three-Way handshake yang dipakai untuk transfer data sampai sesi tersebut berakhir. Kebanjiran SYN terjadi ketika melimpahnya paket SYN dikirim ke server, tetapi si pengirim tidak pernah membalas dengan paket akhir ACK.
4. Serangan keamanan jaringan dalam bentuk Smurf Attack terjadi ketika sebuah server digunakan untuk membanjiri korban dengan data sampah yang tidak berguna. Server atau jaringan yang dipakai menghasilkan response paket yang banyak seperti ICMP ECHO paket atau UDP paket dari satu paket yang dikirim. Serangan yang umum adalah dengan jalan mengirimkan broadcast kepada segmen jaringan sehingga semua node dalam jaringan akan menerima paket broadcast ini, sehingga setiap node akan merespon balik dengan satu atau lebih paket respon.
5. Serangan keamanan jaringan Ping of Death, adalah serangan ping yang oversize. Dengan menggunakan tool khusus, si penyerang dapat mengirimkan paket ping oversized yang banyak sekali kepada korbannya. Dalam banyak kasus system yang diserang mencoba memproses data tersebut, error terjadi yang menyebabkan system crash, freeze atau reboot. Ping of Death ini tak lebih dari semacam serangan Buffer overflow akan tetapi karena system yang diserang sering jadi down, maka disebut DoS attack.
6. Stream Attack terjadi saat banyak jumlah paket yang besar dikirim menuju ke port pada system korban menggunakan sumber nomor yang random.

3. Spoofing
Spoofing adalah seni untuk menjelma menjadi sesuatu yang lain. Spoofing attack terdiri dari IP address dan node source atau tujuan yang asli atau yang valid diganti dengan IP address atau node source atau tujuan yang lain.

4. Serangan Man-in-the-middle
Serangan keamanan jaringan Man-in-the-middle (serangan pembajakan) terjadi saat user perusak dapat memposisikan diantara dua titik link komunikasi.
* Dengan jalan mengkopy atau menyusup traffic antara dua party, hal ini pada dasarnya merupakan serangan penyusup.
* Para penyerang memposisikan dirinya dalam garis komunikasi dimana dia bertindak sebagai proxy atau mekanisme store-and-forwad (simpan dan lepaskan).
Para penyerang ini tidak tampak pada kedua sisi link komunikasi ini dan bisa mengubah isi dan arah traffic. Dengan cara ini para penyerang bisa menangkap logon credensial atau data sensitive ataupun mampu mengubah isi pesan dari kedua titik komunikasi ini.

5. Spamming
Spam yang umum dijabarkan sebagai email yang tak diundang ini, newsgroup, atau pesan diskusi forum. Spam bisa merupakan iklan dari vendor atau bisa berisi kuda Trojan. Spam pada umumnya bukan merupakan serangan keamanan jaringan akan tetapi hampir mirip DoS.

6. Sniffer
Suatu serangan keamanan jaringan dalam bentuk Sniffer (atau dikenal sebagai snooping attack) merupakan kegiatan user perusak yang ingin mendapatkan informasi tentang jaringan atau traffic lewat jaringan tersebut. suatu Sniffer sering merupakan program penangkap paket yang bisa menduplikasikan isi paket yang lewat media jaringan kedalam file. Serangan Sniffer sering difokuskan pada koneksi awal antara client dan server untuk mendapatkan logon credensial, kunci rahasia, password dan lainnya.

7. Crackers
Ancaman keamanan jaringan Crackers adalah user perusak yang bermaksud menyerang suatu system atau seseorang. Cracker bisasanya termotivasi oleh ego, power, atau ingin mendapatkan pengakuan. Akibat dari kegiatan hacker bisa berupa pencurian (data, ide, dll), disable system, kompromi keamanan, opini negative public, kehilangan pasar saham, mengurangi keuntungan, dan kehilangan produktifitas.

Sistematika Keamanan jaringan

- - -- by Fadil kodze»
0 komentar»
A Post Without Image

Artikel ini merupakan sebuah resume yang akhirnya diterbitkan untuk anda yang ingin memahami kulit kulit sistematika jaringan.

Dua hal yang sangat prinsipil dalam membangun atau mengelola sebuah jaringan adalah Prinsip dan Ancaman dalam jaringan komputer.

Namun, Sebelum memahami berbagai macam ancaman keamanan jaringan, anda perlu memahami prinsip keamanan itu sendiri.

Mari kita lanjutkan. Dalam jaringan komputer, prinsip prinsip keamanan yang sangat mendasar adalah sebagai berikut :


1. Kerahasiaan (confidentiality), dimana object tidak di umbar atau dibocorkan kepada subject yang tidak seharusnya berhak terhadap object tersebut, atau lazim disebut tidak authorize.

2. Integritas (Integrity), bahwa object tetap orisinil, tidak diragukan keasliannya, tidak dimodifikasi dalam perjalanan nya dari sumber menuju penerimanya.

3. Ketersediaan (Availability), dimana user yang mempunyai hak akses atau authorized users diberi akses tepat waktu dan tidak terkendala apapun.

Prinsip keamanan ini lazim disebut segitiga CIA (Confidentiality, Integrity, Availability). Dan salah satu goal utama dari pengendalian akses adalah untuk menjaga jangan sampai ada yang tidak authorize mengakses objek-2 seperti jaringan; layanan-2; link komunikasi; komputer atau system infrastruktur jaringan lainnya oleh apa yang kita sebut sebagai ancaman keamanan jaringan.

Dalam perjalanan anda untuk membangun suatu system kemanan jaringan, salah satu prosesnya adalah menilai resiko keamanan dalam organisasi anda. Akan tetapi terlebih dahulu anda perlu juga memahami berbagai jenis ancaman keamanan jaringan.

Ancaman keamanan jaringan dan metoda yang umum Dipakai

Berikut ini adalah berbagai macam kelas serangan atau metoda serangan terhadap keamanan infrastruktur jaringan anda.

Memaksa masuk dan kamus password

Jenis ancaman keamanan jaringan ini lebih umum disebut sebagai Brute Force and Dictionary, serangan ini adalah upaya masuk ke dalam jaringan dengan menyerang database password atau menyerang login prompt yang sedang active. Serangan masuk paksa ini adalah suatu upaya untuk menemukan password dari account user dengan cara yang sistematis mencoba berbagai kombinasi angka, huruf, atau symbol. Sementara serangan dengan menggunakan metoda kamus password adalah upaya menemukan password dengan mencoba berbagai kemungkinan password yang biasa dipakai user secara umum dengan menggunakan daftar atau kamus password yang sudah di-definisikan sebelumnya.

Untuk mengatasi serangan keamanan jaringan dari jenis ini anda seharusnya mempunyai suatu policy tentang pemakaian password yang kuat diantaranya untuk tidak memakai password yang dekat dengan kita missal nama, nama anak, tanggal lahir dan sebagainya. Semakin panjang suatu password dan kombinasinya semakin sulit untuk diketemukan. Akan tetapi dengan waktu yang cukup, semua password dapat diketemukan dengan metoda brute force ini.

Denial of Services (DoS)

Deniel of Services (DoS) ini adalah salah satu ancaman keamanan jaringan yang membuat suatu layanan jaringan jadi mampet, serangan yang membuat jaringan anda tidak bisa diakses atau serangan yang membuat system anda tidak bisa memproses atau merespon terhadap traffic yang legitimasi atau permintaan layanan terhadap object dan resource jaringan. Bentuk umum dari serangan Denial of Services ini adalah dengan cara mengirim paket data dalam jumlah yang sangat bersar terhadap suatu server dimana server tersebut tidak bisa memproses semuanya. Bentuk lain dari serangan keamanan jaringan Denial of Services ini adalah memanfaatkan telah diketahuinya celah yang rentan dari suatu operating system, layanan-2, atau applikasi-2. Exploitasi terhadap celah atau titik lemah system ini bisa sering menyebabkan system crash atau pemakaian 100% CPU.

Tidak semua Denial of Services ini adalah merupakan akibat dari serangan keamanan jaringan. Error dalam coding suatu program bisa saja mengakibatkan kondisi yang disebut DoS ini. Disamping itu ada beberapa jenis DoS seperti:

1. Distributed Denial of Services (DDoS), terjadi saat penyerang berhasil meng-kompromi beberapa layanan system dan menggunakannya atau memanfaatkannya sebagai pusat untuk menyebarkan serangan terhadap korban lain.

2. Ancaman keamanan jaringan Distributed refelective deniel of service (DRDoS) memanfaatkan operasi normal dari layanan Internet, seperti protocol-2 update DNS dan router. DRDoS ini menyerang fungsi dengan mengirim update, sesi, dalam jumlah yang sangat besar kepada berbagai macam layanan server atau router dengan menggunakan address spoofing kepada target korban.

3. Serangan keamanan jaringan dengan membanjiri sinyal SYN kepada system yang menggunakan protocol TCP/IP dengan melakukan inisiasi sesi komunikasi. Seperti kita ketahui, sebuah client mengirim paket SYN kepada server, server akan merespon dengan paket SYN/ACK kepada client tadi, kemudian client tadi merespon balik juga dengan paket ACK kepada server. Ini proses terbentuknya sesi komunikasi yang disebut Three-Way handshake (bahasa teknis kita apa yach …masak jabat tangan tiga jalan????he..he..) yang dipakai untuk transfer data sampai sesi tersebut berakhir. Kebanjiran SYN terjadi ketika melimpahnya paket SYN dikirim ke server, tetapi si pengirim tidak pernah membalas dengan paket akhir ACK.

4. Serangan keamanan jaringan dalam bentuk Smurf Attack terjadi ketika sebuah server digunakan untuk membanjiri korban dengan data sampah yang tidak berguna. Server atau jaringan yang dipakai menghasilkan response paket yang banyak seperti ICMP ECHO paket atau UDP paket dari satu paket yang dikirim. Serangan yang umum adalah dengan jalan mengirimkan broadcast kepada segmen jaringan sehingga semua node dalam jaringan akan menerima paket broadcast ini, sehingga setiap node akan merespon balik dengan satu atau lebih paket respon.

5. Serangan keamanan jaringan Ping of Death, adalah serangan ping yang oversize. Dengan menggunakan tool khusus, si penyerang dapat mengirimkan paket ping oversized yang banyak sekali kepada korbannya. Dalam banyak kasus system yang diserang mencoba memproses data tersebut, error terjadi yang menyebabkan system crash, freeze atau reboot. Ping of Death ini tak lebih dari semacam serangan Buffer overflow akan tetapi karena system yang diserang sering jadi down, maka disebut DoS attack.

6. Stream Attack terjadi saat banyak jumlah paket yang besar dikirim menuju ke port pada system korban menggunakan sumber nomor yang random.

Spoofing

Spoofing adalah seni untuk menjelma menjadi sesuatu yang lain. Spoofing attack terdiri dari IP address dan node source atau tujuan yang asli atau yang valid diganti dengan IP address atau node source atau tujuan yang lain.

Serangan Man-in-the-middle

Serangan keamanan jaringan Man-in-the-middle (serangan pembajakan) terjadi saat user perusak dapat memposisikan diantara dua titik link komunikasi.

* Dengan jalan mengkopy atau menyusup traffic antara dua party, hal ini pada dasarnya merupakan serangan penyusup.
* Para penyerang memposisikan dirinya dalam garis komunikasi dimana dia bertindak sebagai proxy atau mekanisme store-and-forwad (simpan dan lepaskan).

Para penyerang ini tidak tampak pada kedua sisi link komunikasi ini dan bisa mengubah isi dan arah traffic. Dengan cara ini para penyerang bisa menangkap logon credensial atau data sensitive ataupun mampu mengubah isi pesan dari kedua titik komunikasi ini.

Spamming

Spam yang umum dijabarkan sebagai email yang tak diundang ini, newsgroup, atau pesan diskusi forum. Spam bisa merupakan iklan dari vendor atau bisa berisi kuda Trojan. Spam pada umumnya bukan merupakan serangan keamanan jaringan akan tetapi hampir mirip DoS.

Sniffer

Suatu serangan keamanan jaringan dalam bentuk Sniffer (atau dikenal sebagai snooping attack) merupakan kegiatan user perusak yang ingin mendapatkan informasi tentang jaringan atau traffic lewat jaringan tersebut. suatu Sniffer sering merupakan program penangkap paket yang bisa menduplikasikan isi paket yang lewat media jaringan kedalam file. Serangan Sniffer sering difokuskan pada koneksi awal antara client dan server untuk mendapatkan logon credensial, kunci rahasia, password dan lainnya.

Crackers

Ancaman keamanan jaringan Crackers adalah user perusak yang bermaksud menyerang suatu system atau seseorang. Cracker bisasanya termotivasi oleh ego, power, atau ingin mendapatkan pengakuan. Akibat dari kegiatan hacker bisa berupa pencurian (data, ide, dll), disable system, kompromi keamanan, opini negative public, kehilangan pasar saham, mengurangi keuntungan, dan kehilangan produktifitas.

Dengan memahami ancaman keamanan jaringan ini, anda bisa lebih waspada dan mulai memanage jaringan anda dengan membuat nilai resiko keamanan jaringan dalam organisasi anda atau lazim disebut Risk Security Assessment.

Sistem keamanan jaringan I

- - -- by Fadil kodze»
0 komentar»
A Post Without Image

Keamanan jaringan menjadi semakin penting dengan semakin banyaknya waktu yang dihabiskan orang untuk berhubungan. Mengganggu keamanan jaringan sering lebih mudah daripada fisik atau lokal, dan lebih umum.

Terdapat sejumlah alat yang baik untuk membantu keamanan jaringan, dan semakin banyak disertakan dalam distribusi Linux.

PACKET SNIFFERS

Salah satu cara umum yang digunakan penyusup untuk memperoleh akses ke banyak sistem di jaringan anda adalah dengan menggunakan sebuah packet sniffer pada host yang telah diganggu. Sniffer ini mendengarkan port Ethernet untuk hal-hal seperti “Password” dan “Login” dan “su” dalam aliran paket dan kemudian mencatat lalu lintas setelahnya. Dengan cara ini, penyerang memperoleh password untuk sistem yang bahkan tidak mereka usahakan untuk dibongkar. Password teks biasa adalah sangat rentan terhadap serangan ini.

Contoh: host A telah diganggu. Penyerang menginstal sebuah sniffer. Sniffer mencatat login admin ke host B dari host C. Ia memperoleh password personal admin ketika ia login ke B. Kemudian, admin melakukan ‘su’ untuk mengatasi suatu masalah. Mereka sekarang memiliki password root untuk Host B. Kemudian admin membolehkan seseorang telnet dari rekeningnya ke host Z di site lain. Sekarang penyerang memiliki password/login di host Z.

Di masa sekarang, penyerang bahkan tidak perlu mengganggu sebuah sistem untuk melakukan hal ini, mereka dapat membawa laptop atau pc ke suatu gedung dan menyadap ke jaringan anda.

Dengan menggunakan ssh atau metode password terenkripsi lainnya dapat mencegah serangan ini. Hal-hal seperti APOP untuk rekening pop juga dapat mencegah serangan ini. (Login pop normal sangat rentan untuk hal ini, sama seperti segala sesuatu yang mengirim password teks biasa melalui kabel).

PELAYANAN SISTEM dan tcp_wrappers

Segera setelah anda menaruh sistem Linux anda di sembarang jaringan, hal pertama yang harus dilihat adalah pelayanan yang butuh anda tawarkan. Pelayanan-pelayanan yang tidak perlu anda tawarkan seharusnya ditiadakan sehingga anda memiliki satu hal yang tidak perlu dikhawatirkan dan penyerang memiliki satu hal kurangnya untuk mencari lubang.

Terdapat sejumlah cara untuk meniadakan pelayanan dalam Linux. Anda dapat melihat pada file /etc/inetd.conf dan melihat pelayanan apa yang ditawarkan oleh inetd anda. Tiadakan segala yang tidak anda butuhkan dengan mengkomentari mereka (taruh # di awal baris), dan kemudian mengirimkan proses inetd anda sebuah SIGHUP.

Anda dapat pula menghilangkan (atau mengkomentari) pelayanan-pelayanan di file /etc/services. Hal ini berarti client lokal anda tidak akan menemukan pelayanan (contoh, jika anda menghilangkan ftp, dan berusaha dan ftp ke site remote dari mesin tersebut maka akan gagal dengan pesan pelayanan yang tidak dikenal). Tidaklah berharga untuk menghilangkan pelayanan, karena tidak memberikan keamanan tambahan. Jika orang lokal ingin menggunakan ftp bahkan yang telah anda komentari, mereka ingin membuat client mereka menggunakan port ftp umum dan masih dapat bekerja baik.

Beberapa pelayanan yang ingin anda biarkan ada adalah:

  • ftp
  • telnet
  • mail, seperti pop-3 atau imap
  • identd
  • time

Jika anda tahu anda tidak ingin menggunakan beberapa paket tertentu, anda dapat menghapusnya. rpm -e dalam distribusi Red Hat akan menghapus seluruh paket. Dalam debian dpkg akan melakukan hal yang sama.

Sebagai tambahan, anda benar-benar ingin meniadakan utilitas rsh/rlogin/rcp, termasuk login (digunakan oleh rlogin), shell (digunakan oleh rcp), dan exec (digunakan oleh rsh) dari dimulai dalam /etc/inetd.conf. Protokol-protokol ini sangat tidak aman dan menjadi penyebab eksploit dahulu.

Anda perlu memeriksa /etc/rc.d/rcN.d, dengan N adalah run level sistem anda dan melihat apakah pelayanan dimulai dalam direktori tersebut tidak dibutuhkan. File dalam /etc/rc.d/rcN.d sebenarnya adalah link simbolik ke direktori /etc/rc.d/init.d. Mengganti nama file dalam direktori init.d memiliki efek meniadakan seluruh link simbolik dalam /etc/rc.d/rcN.d. Jika anda hanya ingin meniadakan pelayanan untuk runlevel tertentu, ganti nama file yang sesuai dengan huruf kecil.

Jika anda memiliki file rc bergaya BSD, anda mungkin ingin memeriksa /etc/rc* untuk program-program yang tidak anda butuhkan.

Kebanyakan distribusi Linux menyertakan tcp_wrappers “wrapping” seluruh pelayanan tcp. Sebuah tcp_wrappers (tcpd) dipanggil dari inetd selain dari server sebenarnya. tcpd kemudian memeriksa host yang membutuhkan pelayanan dan kemudian mengeksekusi atau menolak akses server sebenarnya dari host tersebut. tcpd memungkinkan anda membatasi akses ke pelayanan tcp anda. Anda perlu membuat /etc/hosts.allow dan menambahkan hanya host yang membutuhkan akses ke pelayanan mesin anda.

Jika anda adalah pemakai dialup rumahan, kami menyarankan anda menolak seluruhnya. tcpd juga mencatat usaha yang gagal untuk mengakses pelayanan, sehingga ini dapat memberi anda ide bahwa anda sedang diserang. Jika anda menambahkan pelayanan baru, anda harus pasti mengkonfigurasinya untuk menggunakan tcp_wrappers berbasis TCP. Sebagai contoh, pemakai dial-up normal dapat mencegah orang luar koneksi ke mesin anda, namun masih memiliki kemampuan untuk menerima surat, dan membuat hubungan jaringan ke Internet. Untuk melakukan ini, anda mungkin menambahkan perintah berikut ke /etc/hosts.allow:

ALL: 127.

Dan tentu saja /etc/hosts.deny akan berisi:

ALL: ALL

yang akan mencegah koneksi eksternal ke mesin anda, namun masih memungkinkan anda dari dalam berhubungan ke server di Internet.

VERIFIKASI INFORMASI DNS

Memelihara informasi DNS tentang seluruh host di jaringan anda agar tetap baru dapat membantu meningkatkan keamanan. Bilamana ada host yang tidak dijinkan terhubung ke jaringan anda, anda dapat mengenalinya dengan tidak adanya masukan DNS. Banyak pelayanan dapat dikonfigurasi untuk tidak menerima koneksi dari host yang tidak memiliki masukan DNS yang valid.

identd

identd adalah program kecil yang umumnya berjalan di inetd. Ia mencatat pelayanan tcp apa yang dijalankan pemakai, dan kemudian melaporkannya kepada yang meminta.

Banyak orang salah mengerti kegunaan identd, sehingga meniadakannya atau memblok seluruh site yang memintanya. identd ada bukan untuk membantu remote site. Tidak ada cara untuk mengetahui jika data yang anda peroleh dari remote identd benar atau tidak. Tidak ada autentikasi dalam permintaan identd.

Lalu mengapa anda ingin menjalankannya? Karena ia membantu anda, dan adalah titik data lain dalam penelusuran. Jika identd anda tidak terganggu, maka anda mengerti ia memberi tahu remote site nama pemakai atau uid orang-orang yang menggunakan pelayanan tcp. Jika admin pada remote site datang kepada anda dan memberitahu pemakai anda berusaha menghack ke site mereka, anda dapat secara mudah mengambil tindakan terhadap pemakai tersebut. Jika anda tidak menjalankan identd, anda harus melihat banyak catatan, memperkirakan siapa yang ada pada saat itu, dan secara umum membutuhkan waktu yang lebih banyak untuk menelusuri pemakai.

identd yang disertakan dalam banyak distribusi lebih mudah dikonfigurasi daripada yang diperkirakan orang. Anda dapat meniadakan identd untuk pemakai tertentu (mereka dapat membuat file .noident), anda dapat mencatat seluruh permintaan identd (Saya menyarankannya), anda bahkan dapat memiliki identd mengembalikan uid daripada nama pemakai atau bahkan NO-USER.

SATAN, ISS, dan Scanner Jaringan Lainnya

Terdapat sejumlah paket software berbeda yang melakukan penelusuran berdasarkan port dan pelayanan mesin atau jaringan. SATAN dan ISS adalah dua yang paling dikenal. Software ini berhubungan ke mesin sasaran (atau seluruh mesin sasaran di suatu jaringan) di semua port yang ada, dan berusaha menentukan pelayanan apa yang sedang berjalan. Berdasarkan informasi ini, anda dapat menemukan mesin yang rentan terhadap eksploitasi tertentu pada server.

SATAN (Security Administrators Tool for Analyzing Networks) adalah sebuah penelusur port dengan antara muka web. Ia dapat dikonfigurasi untuk melakukan pemeriksaan ringan, menengah, atau berat pada mesin atau pada jaringan mesin. Akan merupakan ide yang baik untuk memperoleh SATAN dan memeriksa mesin atau jaringan anda, dan membenahi masalah-masalah yang ditemukan. Pastikan anda memperoleh SATAN dari sun-site atau FTP atau web site yang bereputasi.

ISS (Internet Security Scanner) adalah penelusur berdasarkan port yang lain. Ia lebih cepat daripada SATAN, dan mungkin lebih baik untuk jaringan yang besar. Namun demikian, SATAN memberikan lebih banyak informasi.

Mendeteksi penelusuran port. Terdapat beberapa alat yang dirancang untuk memberitahu anda adanya probe SATAN dan ISS dan software penelusuran lainnya. Namun demikian, dengan pemakaian tcp_wrappers yang liberal dan memastikan untuk melihat file log anda secara berkala, anda dapat mengetahui probe tersebut. Bahkan pada setting terendah, SATAN masih meninggalkan jejak pada log di sistem Red Hat.

Sendmail, qmail dan MTA

Salah satu pelayanan penting yang dapat anda sediakan adalah server surat. Sayangnya, ia juga sangat rentan diserang, karena banyaknya tugas yang harus dilakukan dan dibutuhkannya ijin khusus.

Jika anda menggunakan sendmail, penting untuk menjaga versi anda agar up to date. Sendmail memiliki sejarah panjang di eksploitasi keamanan. Selalu pastikan anda menjalankan versi terbaru.

Jika anda bosan mengupgrade versi sendmail anda setiap minggu, anda dapat mempertimbangkan beralih ke qmail. qmail dirancang dengan perhatian pada keamanan sejak awalnya. Ia cepat dan stabil dan aman. http://www.qmail.org

SERANGAN DENIAL OF SERVICES

Serangan denial of service adalah saat ketika penyerang berusaha menggunakan beberapa sumber daya hingga terlalu sibuk untuk menjawab permintaan yang resmi, atau menolak pemakai resmi mengakses mesin anda.

Serangan-serangan semacam ini meningkat dengan cepat pada tahun-tahun belakangan ini. Beberapa yang populer dan terbaru ditampilkan di bawah ini. Perhatikan bahwa yang baru selalu muncul setiap saat, sehingga ini hanya merupakan contoh. Baca list Linux security dan list serta archive bugtraq untuk informasi terkini.

  • SYN Flooding – SYN flooding adalah serangan denial of service jaringan. Ia mengambil keuntungan dari “loophole” dalam koneksi TCP yang tercipta. Kernel Linux terbaru (2.0.30 ke atas) memiliki beberapa pilihan konfigurasi untuk mencegah serangan SYN flood dari menolak orang akses ke mesin atau pelayanan anda. Lihat bagian keamanan kernel untuk pilihan perlindungan kernel yang tepat.
  • Pentium “F00F” Bug – Ini baru ditemukan bahwa serangkaian kode assembly yang dikirim ke prosesor asli Intel Pentium akan mereboot mesin. Ini mempengaruhi setiap mesin dengan prosesor Pentium (bukan klon, atau Pentium Pro atau PII), tidak tergantung pada sistem operasi yang dijalankan. Kernel Linux 2.0.32 ke atas memiliki pemecahan atas bug ini, mencegahnya mengunci mesin anda. Kernel 2.0.33 memiliki versi perbaikan atas hal ini, dan disarankan daripada 2.0.32. Jika anda menggunakan Pentium, anda harus upgrade sekarang!
  • Ping Flooding – Ping flooding adalah serangan denial of service brute force sederhana. Penyerang mengirim “flood” paket ICMP ke mesin anda. Jika mereka melakukan ini dari host dengan bandwidth yang lebih baik daripada milik anda, mesin anda tidak akan mampu mengirim sesuatu ke jaringan. Variasi serangan ini, disebut “smurfing” mengirim paket ICMP ke host dengan IP kembalian mesin anda, memungkinkan mereka membanjiri anda dengan sedikit terdeteksi. Jika anda diserang ping flood, gunakan alat seperti tcpdump untuk menentukan asal paket (atau tampaknya berasal), kemudian hubungi provider anda dengan informasi ini. Ping flood dapat secara mudah dihentikan di level router atau dengan menggunakan firewall.
  • Ping o’ Death – Serangan Ping o’ Death disebabkan lebih besarnya paket ICMP ECHO REQUEST yang datang daripada yang dapat ditangani struktur data kernel . Oleh karena mengirim sebuah paket “ping” besar (65.510 byte) ke banyak sistem akan membuat mereka hang atau bahkan crash, masalah ini secara cepat disebut “Ping o’ Death”. Ini telah lama diperbaiki, dan tidak perlu dikhawatirkan lagi.
  • Teardrop / New Tear – Salah satu eksploit terbaru yang melibatkan bug yang ada di kode fragmentasi IP pada platform Linux dan Windows. Telah diperbaiki dalam kernel versi 2.0.33, dan tidak membutuhkan pilihan pada saat kompilasi untuk menggunakan perbaikan. Linux tampaknya tidak rentan terhadap eksploitasi “new tear”.

Anda dapat menemukan banyak kode eksploitasi, dan deskripsi lebih mendalam tentang bagaimana mereka bekerja di mesin pencari.

Keamanan NFS (Network File System)

NFS adalah protokol file sharing yang paling banyak digunakan. Ia memungkinkan server menjalankan nfsd dan mountd untuk mengekspor seluruh filesystem ke mesin lain dengan dukungan nfs filesystem pada kernelnya (atau beberapa dukungan client jika mereka bukan mesin Linux). Mountd mencatat filesystem yang termount di /etc/mtab, dan dapat menampilkannya.

Banyak site menggunakan NFS untuk bertugas sebagai direktori home untuk pemakai, sehingga tak peduli mesin apa yang dimasuki, mereka akan selalu memiliki file-filenya.

Terdapat sedikit “keamanan” dibolehkan dalam mengekspor filesystem. Anda dapat membuat peta nfsd pemakai root remote (uid=0) ke pemakai nobody, membatasi akses total ke file-file yang diekspor. Namun demikian, karena pemakai individu memiliki akses ke file-file mereka (atau paling tidak uid yang sama), superuser remote dapat login atau su ke rekening mereka dan memiliki akses total ke file-file mereka. Ini hanya penghalang kecil bagi seorang penyerang yang memiliki akses untuk melakukan mount filesystem remote anda.

Jika harus menggunakan NFS, pastikan anda mengekspor ke mesin-mesin yang anda butuh untuk ekspor saja. Jangan pernah mengekspor seluruh direktori root anda, ekspor hanya direktori yang perlu anda ekspor. Lihat NFS HOWTO untuk informasi lebih jauh tentang NFS.

NIS (Network Information Service)

Network Information Service (dahulu YP) adalah suatu cara mendistribusikan informasi ke sekelompok mesin. Master NIS menyimpan tabel informasi dan mengkonversinya ke file peta NIS. Peta ini kemudian melayani jaringan, memungkinkan mesin klien NIS untuk memperoleh login, password, direktori home dan informasi shell (seluruh informasi di file /etc/passwd standar). Hal ini memungkinkan pemakai merubah password mereka sekali dan berlaku pula di seluruh mesin dalam domain NIS.

NIS tidak seluruhnya aman. Ia tidak pernah dimaksudkan demikian. Ia dimaksudkan untuk berguna dan sederhana. Setiap orang dapat menduga nama domain NIS anda (di setiap tempat di Net) dapat memperoleh salinan file passwd, dan menggunakan Crack dan John the Ripper terhadap password pemakai anda. Juga, adalah mungkin untuk menipu NIS dan melakukan berbagai trik kotor. Jika anda harus menggunakan NIS, pastikan anda paham bahayanya.

FIREWALL

Firewall adalah suatu cara untuk membatasi informasi yang dibolehkan masuk dan keluar dari jaringan lokal anda. Umumnya host firewall terhubung ke Internet dan LAN lokal anda, dan akses LAN anda ke Internet hanya melalui firewall. Dengan demikian firewall dapat mengendalikan apa yang diterima dan dikirim dari Internet dan LAN anda.

Terdapat beberapa tipe dan metode setting firewall. Mesin-mesin Linux dapat menjadi firewall yang baik dan murah. Kode firewall dapat dibangun langsung ke dalam kernel 2.0 atau lebih tinggi. Alat ipfwadm user space memungkinkan anda merubah tipe lalu lintas jaringan yang anda bolehkan secara on the fly. Anda dapat pula mencatat tipe lalu lintas jaringan tertentu.

Firewall adalah teknik yang sangat berguna dan penting dalam mengamankan jaringan anda. Penting untuk menyadari bahwa anda tidak boleh pernah berpikir bahwa dengan memiliki firewall, anda tidak perlu mengamankan mesin-mesin di baliknya. Ini kesalahan fatal. Periksa Firewall-HOWTO yang sangat bagus di arsip terbaru sunsite untuk informasi mengenai firewall dan Linux.

KERNEL

Ini adalah deskripsi pilihan konfigurasi kernel yang terkait dengan keamanan, dan sebuah penjelasan apa yang dilakukannya, dan bagaimana menggunakan mereka.

Oleh karena kernel mengendalikan jaringan komputer anda, penting agar kernel sangat aman, dan kernel sendiri tidak akan diganggu. Untuk mencegah serangan jaringan terkini, anda harus berusaha dan memelihara versi kernel anda. Anda dapat menemukan kernel terbaru di http://www.kernel.org

Pilihan Kompilasi Kernel

IP: Drop source routed frames (CONFIG_IP_NOSR) Pilihan ini seharusnya diset. Source routed frame berisikan seluruh jalur ke tujuan. Artinya router yang dilalui paket tidak perlu memeriksa paket, dan hanya memforwardnya saja. Hal ini dapat mengakibatkan masuknya data ke sistem anda yang mungkin menjadi eksploitasi potensial.

IP: Firewalling (CONFIG_IP_FIREWALL) Pilihan ini perlu jika anda ingin mengkonfigurasi mesin anda sebagai firewall, melakukan masquerading, atau ingin melindungi stasiun kerja dial-up anda dari seseorang yang masuk melalui antar muka dial-up PPP anda.

IP: forwarding/gatewaying (CONFIG_IP_FORWARD) Jika anda menset IP forwarding, mesin Linux anda maka menjadi router. Jika mesin anda ada pada jaringan, anda harus memforward data dari satu jaringan ke yang lain, dan mungkin membalik firewall yang ada di sana untuk mencegah hal ini terjadi. Pemakai dial-up normal mungkin ingin meniadakannya, dan pemakai lain harus berkonsentrasi pada implikasi keamanan melakukan hal ini. Mesin-mesin firewall akan mengadakannya, dan digunakan bersamaan dengan software firewall. Anda dapat mengadakan IP forwarding secara dinamik menggunakan perintah berikut :

root# echo 1 > /proc/sys/net/ipv4/ip_forward

dan meniadakannya dengan perintah :

root# echo 0 > /proc/sys/net/ipv4/ip_forward

File ini (dan banyak file lain di /proc) akan selalu tampak berukuran nol, tetapi kenyataannya tidak. Ini adalah feature kernel yang baru diperkenalkan, sehingga pastikan anda menggunakan kernel 2.0.33 atau lebih baru.

IP: firewall packet logging (CONFIG_IP_FIREWALL_VERBOSE) Pilihan ini memberi anda informasi tentang paket yang diterima firewall anda, seperti pengirim, penerima, port, dsb.

IP: always defragment (CONFIG_IP_ALWAYS_DEFRAG) Umumnya pilihan ini ditiadakan, tetapi jika anda membangun host firewall atau masquerading, anda mungkin ingin mengadakannya. Ketika data dikirim dari satu host ke yang lain, ia tidak selalu dikirim sebagai satu paket data, tetapi dipecah-pecah ke beberapa bagian. Masalah dengan hal ini adalah nomor port selalu disimpan dalam bagian pertama. Artinya seseorang dapat memasukkan informasi ke paket-paket sisanya yang tidak seharusnya ada.

IP: syn cookies (CONFIG_SYN_COOKIES) SYN Attack adalah serangan denial of service (DoS) yang menghabiskan seluruh sumber daya mesin anda, memaksa anda untuk reboot. Kami tidak dapat memikirkan alasan anda meniadakan pilihan ini.

Packet Signatures (CONFIG_NCPFS_PACKET_SIGNING) Ini adalah pilihan yang tersedia pada seri kernel 2.1 yang akan menandai paket NCP untuk keamanan yang lebih kuat. Secara normal anda dapat membiarkannya tidak ada, tetapi ia ada jika anda membutuhkannya.

IP: Firewall packet netlink device (CONFIG_IP_FIREWALL_NETLINK) Ini adalah pilihan yang baik yang memungkinkan anda menganalisa 128 byte pertama paket dalam program userspace, untuk menentukan bilamana anda ingin menerima atau menolak paket, berdasarkan validitasnya.

Device Kernel

Terdapat sejumlah device blok dan karakter untuk Linux yang dapat membantu anda dengan keamanan.

Dua device /dev/random dan /dev/urandom disediakan oleh kernel untuk menerima data random setiap saat.

/dev/random dan /dev/urandom keduanya cukup aman digunakan dalam menghasilkan kunci PGP, tantangan SSH, dan aplikasi lain di mana bilangan random yang aman dibutuhkan. Penyerang seharusnya tidak dapat memperkirakan nomor berikutnya bila diberi urutan awal nomor-nomor dari sumber ini. Telah ada banyak usaha untuk memastikan bahwa nomor yang anda peroleh dari sumber ini adalah random dalam setiap arti kata random.

Perbedaannya adalah bahwa /dev/random menghasilkan byte random dan membuat anda menunggu lebih banyak untuk dikumpulkan. Perhatikan bahwa pada beberapa sistem, ia dapat memblok untuk waktu lama menunggu masukan baru pemakai untuk diberi ke sistem. Sehingga anda perlu berhati-hati sebelum menggunakan /dev/random. (Mungkin hal terbaik yang dapat dilakukan adalah menggunakan ketika anda menciptakan informasi sensitif, dan anda mengatakan kepada pemakai untuk menekan keyboard secara berulang-ulang hingga anda mencetak “OK, enough”).

/dev/random adalah entropi kualitas tinggi, dihasilkan dari pengukuran waktu inter-interrupt dsb. Ia memblok hingga cukup data random bit tersedia.

/dev/urandom adalah serupa, kecuali ketika penyimpanan entropi berjalan rendah ia akan mengembalikan hash kuat secara kriptografi. Ini tidak aman, tetapi cukup bagi kebanyakan aplikasi.

Anda mungkin membaca dari device menggunakan sesuatu seperti:

root# head -c 6 /dev/urandom | uuencode -

Ini akan mencetak enam karakter random di layar, sesuai untuk pembuatan password. Lihat /usr/src/linux/drivers/char/random.c untuk deskripsi algoritma.