Cara intall Program di CentOS

  • Install Portsentry

    Mengapa kita perlu mendeteksi Port Scan? Jawaban versi hebohnya kira-kira sebagai berikut, Port Scan adalah awal dari masalah besar yang akan datang melalui jaringan. Port Scan merupakan awal serangan dan hasil Port Scan membawa beberapa informasi kritis yang sangat penting untuk pertahanan mesin & sumber daya yang kita miliki. Keberhasilan untuk menggagalkan Port Scan akan menyebabkan kita tidak berhasil memperoleh informasi strategis yang dibutuhkan sebelum serangan yang sebetulnya dilakukan.

    PortSentry dapat di terjemahkan ke bahasa Indonesia sebagai Penjaga Gerbang / Pelabuhan. Sentry berarti penjaga, Port dapat diterjemahkan gerbang atau pelabuhan. Sekedar latar belakang informasi, pada jaringan komputer (Internet), masing-masing server aplikasi akan stand-by pada port tertentu, misalnya, Web pada port 80, mail (SMTP) pada port 25, mail (POP3) pada port 110. PortSentry adalah program yang di disain untuk mendeteksi dan merespond kepada kegiatan port scan pada sebuah mesin secara real-time.

    PortSentry tersedia untuk berbagai platform Unix, termasuk Linux, OpenBSD & FreeBSD. Versi 2.0 dari PortSentry memberikan cukup banyak fasilitas untuk mendeteksi scan pada berbagai mesin Unix. Versi 1.1 mendukung mode deteksi PortSentry yang klasik yang tidak lagi digunakan pada versi 2.0. PortSentry 2.0 membutuhkan library libpcap untuk dapat di jalankan, biasanya sudah tersedia berbentuk RPM dan akan terinstall secara automatis jika anda menggunakan Linux Mandrake. Bagi yang tidak menggunakan Linux Mandrtake dapat mengambilnya dari situs tcpdump.org  (bung onno)

    Okey…. kita mulai aja dech installnya di CentOS 4./4.4

    1. Download dulu paketnya di ftp://ftp.falsehope.net/home/tengel/centos/4/te/i386/RPMS/portsentry-1.2-1.te.i386.rpm
      di konsol ketikan perintah ini :
      [root@geek]#wget ftp://ftp.falsehope.net/home/tengel/centos/4/te/i386/RPMS/portsentry-1.2-1.te.i386.rpm
    2. Nah tunggu sampai downloadnya selesai > jika dah selesai ketikan perintah ini di konsol untuk menginsatlnya:
      [root@geek]#yum -i portsentry-1.2-1.te.i386.rpm
    3. Selesai dech…Tinggal config aja, caranya gini nich :
      Sebelum mengconfig perlu di ketahui dulu fitur dari portsentry :

      • Mendeteksi adanya Stealth port scan untuk semua platform Unix. Stealth port scan adalah teknik port scan yang tersamar / tersembunyi, biasanya sukar di deteksi oleh sistem operasi.
      • PortSentry akan mendeteksi berbagai teknik scan seperti SYN/half-open, FIN, NULL dan X-MAS. Untuk mengetahui lebih jelas tentang berbagai teknik ini ada baiknya untuk membaca-baca manual dari software nmap yang merupakan salah satu software portscan terbaik yang ada.
      • PortSentry akan bereaksi terhadap usaha port scan dari lawan dengan cara membolkir penyerang secara real-time dari usaha auto-scanner, probe penyelidik maupun serangan terhadap sistem.
      • PortSentry akan melaporkan semua kejanggalan & pelanggaran kepada software daemon syslog lokal maupun remote yang berisi nama sistem, waktu serangan, IP penyerang maupun nomor port TCP atau UDP di mana serangan di lakukan. Jika PortSentry didampingkan dengan LogSentry,  dia akan memberikan berita kepada administrator melalui e-mail.
      • Fitur cantik dari PortSentry adalah pada saat terdeteksi sebuah scan, sistem anda tiba-tiba menghilang dari hadapan si penyerang. Fitur ini betul-betul membuat penyerang tidak berkutik.
      • PortSentry selalu mengingat alamat IP penyerang, jika ada serangan Port Scan yang sifatnya random PortSentry akan bereaksi.
      • Salah satu hal yang menarik dari PortSentry adalah dia disain agar dapat dikonfigurasi secara sederhana sekali dan bebas dari keharusan memelihara.
      • Beberapa hal yang mungkin menarik dari kemampuan PortSentry antara lain, PortSentry akan mendeteksi semua hubungan antar komputer menggunakan protokol TCP maupun UDP. Melalui file konfigurasi yang ada PortSentry akan memonitor ratusan port yang di scan secara berurutan maupun secara random. Karena PortSentry juga memonitor protokol UDP, PortSentry akan memberitahukan kita jika ada orang yang melakukan probing (uji coba) pada servis RPC, maupun servis UDP lainnya seperti TFTP, SNMP dll.

      Ah…pusing banget ya bacanya…ya dah kita lanjutin confignya aja dech….pokonya fungsinya itu lah😀

    4. Setup Parameter PortSentry
      dari sekian banyak parameter dari portsentry kita cuma mau negkonfig bagian [portsentry.conf]
      [root@geek]#vi /etc/portsentry/portsentry.conf
      maka akan keluar seperti ini :
      # PortSentry Configuration
      #
      # $Id: portsentry.conf,v 1.25 2003/05/23 16:15:39 crowland Exp crowland $
      #
      # IMPORTANT NOTE: You CAN NOT put spaces between your port arguments.
      #
      # The default ports will catch a large number of common probes
      #
      # All entries must be in quotes.

      dan masih banyak lagi, yang mau kita rubah hanya pada bagian ini aja :

      BLOCK_UDP=”1″
      BLOCK_TCP=”1″

      # New iptables support for Linux kernel version 2.4+

      KILL_ROUTE=”/sbin/iptables -I INPUT -s $TARGET$ -j DROP”

      PORT_BANNER=”** UNAUTHORIZED ACCESS PROHIBITED *** YOUR CONNECTION ATTEMPT HAS BEEN LOGGED. GO AWAY.”

    5. Check adanya Serangan
      Untuk mencheck adanya serangan, ada beberapa file & perintah yang dapat dilihat, yaitu:

      • /etc/hosts.deny – yang berisi daftar IP mesin yang tidak diperkenankan untuk berinteraksi ke server kita. Daftar ini di gunakan oleh TCP Wrappers & di hasilkan secara automatis oleh PortSentry pada saat serangan di lakukan.
      • /etc/portsentry/portsentry.blocked.atcp – daftar alamat IP mesin yang di blok akses-nya ke semua port TCP.
      • /etc/portsentry/portsentry.blocked.audp – daftar alamat IP mesin yang di blok akses-nya ke semua port UDP.
      • /etc/portsentry/portsentry.history – sejarah serangan yang diterima oleh mesin kita.

      Untuk melihat paket yang di tabel paket filter oleh PortSentry dapat dilakukan menggunakan perintah:
      [root@geek]#iptables -L
      Untuk membuang semua tabel filter dapat dilakukan dengan perintah:
      [root@geek]#iptables -F

nah kira2 begitu aja dech.. kl ada yang mau nambahin di post aja di sini ok broow……..


About this entry