Sniffer FAQ
Version: 1.7
Christopher Klaus / Internet Security Systems, Inc. courtesy.
-----------------------------------------------------------------------
Security FAQ ini adalah bersumber dari:
Internet Security Systems, Inc.
2000 Miller Court West Tel: (770) 441-2531
Norcross, Georgia 30071 Fax: (770) 441-2431
- Internet Scanner ... the most comprehensive "attack simulator" available. -
-----------------------------------------------------------------------
Untuk memperoleh file Security yang terbaru dapat diperiksa dilayanan berikut:
mail info@iss.net with "send index" in message
http://iss.net/
ftp iss.net /pub/
-------------------------------------------------------------------------------
Sniffer FAQ ini akan memberikan pengertian yang lebih baik kepada para administrator tentang masalah sniffing dan memberikan solusi yang mungkin untuk menangani sniffer yang mana merupakan penyebab utama masalah Internet pada dewasa ini.
FAQ ini akan bagi kedalam beberapa bagian:
* Apa yang dimaksud dengan sniffer dan bagaimana cara kerjanya
* Dimana program sniffer dapat diperoleh
* Bagaimana mendeteksi suatu mesin sedang di sniffer
* Menghentikan penyerangan sniffing dengan:
o Active hub
o Encryption
o Kerberos
o Teknologi One-time password
o Interface Non-promiscuous
Apa yang dimaksud dengan sniffer dan bagaimana cara kerjanya
Tidak seperti rangkaian telepon, jaringan komputer melakukan pemakaian bersama (sharing) terhadap saluran komunikasi.
Dengan pemakaian bersama ini berarti bahwa komputer-komputer dapat menerima informasi yang seharusnya ditujukan untuk mesin lain. Kegiatan untuk mengambil informasi yang melalui suatu jaringan disebut dengan sniffing.
Salah satu cara koneksi komputer yang paling populer adalah ethernet. Protokol ethernet bekerja dengan cara mengirim paket informasi ke seluruh host pada rangkaian yang sama. Header dari masing-masing paket mengandung alamat yang benar untuk mesin tujuan. Hanya mesin dengan alamat yang sama akan menerima paket tersebut. Suatu mesin yang akan menerima semua paket tanpa memperhatikan apa yang terkandung pada header paket disebut sebagai modus promiscuous.
Karena, pada suatu lingkungan jaringan normal, informasi account dan password dilewatkan pada ethernet secara clear-text, adalah tidak sulit bagi seorang penyusup sesaat setelah mendapatkan root membuat mesin berada dalam modus promiscuous dengan sniffing, yang melakukan kompromi dengan setiap mesin dalam jaringan tersebut.
Dimana program sniffing dapat diperoleh
Sniffing adalah salah satu metode yang paling banyak digunakan para hacker untuk melakukan penyerangan. Suatu program sniffer khusus, yang disebut dengan Esniff.c, berukuran sangat kecil, dan dirancang untuk bekerja pada Sunos, dan hanya mencatat 300 byte pertama dari semua session telnet, ftp dan rlogin. Program tersebut disebarkan di Phrack, salah satu majalah underground tentang hacking yang paling banyak dibaca. Anda juga dapat mencari Phrack pada banyak situs FTP. Esniff.c juga terdapat pada banyak situs FTP seperti coombs.anu.edu.au:/pub/net/log.
Anda mungkin ingin menjalankan Esniff.c pada jaringan anda sendiri untuk melihat bagaimana efektifnya hal tersebut melakukan kompromi terhadap mesin-mesin lokal.
Sniffers lainnya secara luas tersedia dan ditujukan untuk melakukan debug terhadap masalah jaringan:
* Etherfind pada SunOs4.1.x
* Snoop pada Solaris 2.x dan SunOs 4.1 (pada ftp playground.sun.com)
* Tcpdump 3.0 mengunakan bpf untuk berbagai platform.
* Packetman, Interman, Etherman, Loadman bekerja pada platform berikut:
SunOS, Dec-Mips, SGI, Alpha, and Solaris. Program ini terdapat pada
ftp.cs.curtin.edu.au:/pub/netman/[sun4c|dec-mips|sgi|alpha|solaris2]/
[etherman-1.1a|interman-1.1|loadman-1.0|packetman-1.1].tar.Z
Packetman dirancang untuk mencatat paket, sedangkan Interman, Etherman, dan Loadman untuk melakukan monitor lalu lintas jaringan.
Siniffer berbasis DOS
* Gobbler untuk mesin IBM DOS
* ethdump v1.03
Terdapat pada ftp
ftp.germany.eu.net:/pub/networking/inet/ethernet/ethdp103.zip
* ethload v1.04
Utility pendamping untuk monitoring ethernet. Tersedia pada ftp
ftp.germany.eu.net:/pub/networking/monitoring/ethload/ethld104.zip
Sniffer Komersial tersedia pada :
* Network General.
Network General memproduksi sejumlah produk. Salah satu yang paling penting adalah Expert Sniffer, yang mana tidak hanya melakukan sniff pada kabel, tetapi juga berjalan pada paket dalam suatu sistem pakar yang berkemampuan tinggi, serta mendiagnosa masalah untuk anda. Disana ada suatu perluasan yang disebut dengan "Distributed Sniffer System" yang mana memungkinkan anda untuk membuat console workstation Unix anda menjadi pakar sniffer, dan mendistribusikan hasilnya ke suatu situs remote.
Bagaimana mendeteksi suatu sniffer sedang berjalan.
Untuk mendeteksi suatu peralatan sniffing yang hanya mengumpulkan data dan tidak memiliki respon terhadap informasi lainnya, membutuhkan pemeriksaan secara fisik pada seluruh koneksi ethernet anda dengan cara berjalan berkeliling dan memeriksa koneksi ethernet tersebut satu per-satu.
Adalah juga mungkin untuk memeriksa secara remote dengan mengirim suatu paket atau ping apakah suatu mesin adalah sniffing atau tidak.
Suatu sniffer yang berjalan pada suatu mesin membuat interface kedalam modus promiscuous, yang mana akan menerima semua paket. Pada kotak Unix tertentu, adalah dimungkinkan untuk mendeteksi suatu interface dalam modus promiscuous. Dan juga memungkinkan untuk menjalankan suatu sniffer dalam modus non-promiscuous, tetapi hal tersebut hanya dapat mencatat session dari mesin dimana hal tersebut dilakukan. Adalah juga mungkin bagi penyusup untuk melakukan aktifitas yang serupa dari session-session dengan menanamkan trojan pada program-program seperti sh, telnet, rlogin, in.telnetd, dan juga menulis hasilnya dalam suatu log file apa yang user kerjakan. Mereka dapat dengan mudah menantau setiap tty dan peralatan kmem dengan sempurana. Serangan jenis ini hanya berkompromi pada session yang datang dari mesin tersebut, sementara promiscuous sniffing berkompromi pada semua session dalam ethernet.
Untuk SunOs, NetBSD, dan kemungkinan turunan dari sistem BSD Unix , ada suatu perintah
"ifconfig -a"
yang akan memberitahukan anda tentang semua interface yang mana diantaranya berada dalam modus promiscuous. DEC OSF/1 dan IRIX dan mungkin OS lainnya membutuhkan peralatan tambahan. Suatu cara untuk mendapatkan interface apa saja berada dalam sistem, anda dapat menjalankan:
# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Interface
default iss.net UG 1 24949 le0
localhost localhost UH 2 83 lo0
Kemudian anda dapat mencoba setiap interface dengan melakukan perintah berikut:
#ifconfig le0
le0: flags=8863
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
Penyusup juga sering mengganti perintah seperti ifconfig untuk menghindari deteksi jenis ini. Jadi pastikan anda memeriksa checksumnya.
Ada suatu program yang disebut dengan cpm yang terdapat pada ftp.cert.org:/pub/tools/cpm yang mana hanya bekerja pada Sunos dan dapat memeriksa interface berada pada flag promiscuous.
Pada Ultrix dapat mendeteksi seseorang yang menjalankan suatu sniffer dengan perintah pfstat dan pfconfig.
pfconfig memungkinkan anda untuk menentukan siapa saja yang dapat menjalankan suatu sniffer
pfstat menampilkan pada anda jika interface tertentu berada dalam promiscuous mode.
Perintah ini hanya bekerja jika sniffing diaktifkan dengan kaitannya pada kernel, secara default sniffer tidak terkait dalam kernel. Pada banyak sistem seperti Irix, Solaris, SCO, dll, tidak memiliki flag indikasi yang mana menunjukkan apakah mereka berada dalam modus promiscuous atau tidak, sehingga seorang penyusup dapat melakukan sniffing terhadap keseluruhan jaringan anda dan tidak ada cara untuk mendeteksinya.
Sering kali file catatan sniffer berubah menjadi suatu ukuran yang sangat benar dan mengunakan seluruh tempat yang tersedia pada suatu jaringan berkapasitas besar. Hal ini sering menjadi pemicu peringatan bagi administrator untuk mengetahui suatu sniffer sedang berjalan. Saya menganjurkan anda untuk menggunakan lsof (LiSt Open Files) yang dapat diperoleh dari coast.cs.purdue.edu:/pub/Purdue/lsof untuk melacak file dan mencari program yang mengakses peralatan paket seperti /dev/nit pada SunOs.
Setahu saya tidak ada perintah tertentu untuk mendeteksi promiscuous pada mesin IBM PC compatible, tetapi paling sedikit memperbolehkan suatu perintah dijalankan kecuali dari console, sehingga penyerang remote tidak dapat mengubah suatu mesinPC menjadi sniffer tanpa bantuan pihak dalam.
Mengakhiri serangan oleh sniffing
Active hubs yang hanya akan mengirim paket ke sistem dimana paket tersebut dituju, mengakibatkan sniffing menjadi tidak berguna. Hal ini hanya efektif untuk 10-Base T.
Pemasok berikut yang memiliki active hubs:
* 3Com
* HP
Enkripsi
Ada beberapa paket yang memperbolehkan enkripsi antar koneksi sehingga penyusup dapat mencatat data tersebut, tetapi tidak berguna.
Beberapa paket yang tersedia:
* deslogin adalah salah satu paket yang tersedia pada ftp
coast.cs.purdue.edu:/pub/tools/unix/deslogin .
* swIPe adalah paket lainnya yang tersedia pada
ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/
* Netlock melakukan enkripsi terhadap seluruh komunikasi (tcp, udp, dan berbasis raw ip) secara transparan. Secara otomatis (ter-autentikasi Diffie-Helman) mendistribusikan suatu mekanisme kunci manajemen bagi tiap host dan berjalan pada sistem SUN 4.1 dan HP 9.x. Produk ini datang dengan suatu aplikasi Certification Authority Management yang mana menghasilkan host certificates (X.509) yang digunakan untuk authentikasi antar host dan menyediakan suatu kendali terpusat untuk mengatur komunikasi antar host tersebut.
Produk ini dibuat oleh Hughes Aircraft dan dapat dihubungi pada 800-825-LOCK atau email pada netlock@mls.hac.com.
Kerberos
Kerberos adalah paket lain yang mana dapat melakukan enkripsi terhadap informasi account yang keluar ke jaringan. Beberapa masalah diantaranya adalah semua informasi account ditangani pada suatu host dan jika mesin tersebut melakukan kompromi, seluruh jaringan akan menjadi lemah. Banyak laporan bahwa hal ini susah untuk di set up. Kerberos datang dengan suatu stream-encrypting rlogind, dan stream-encrypting telnetd yang dapat diperoleh. Hal ini mencegah penyusup untuk mencatat apa yang anda lakukan setelah login.
Tentang Kerberos FAQ berada pada ftp di rtfm.mit.edu in
/pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11
Teknologi One time password
S/key dan teknologi one time password membuat kegiatan sniffing terhadap informasi account menjadi tidak berguna. Pada konsep S/key remote telah mengetahui suatu password yang tidak pernah dikirim melalui saluran yang tidak aman dan ketika anda melakukan koneksi, anda akan mendapatkan suatu challenge. Anda mengambil informasi challenge tersebut dan beserta password di masukkan kedalam suatu algoritma yang akan menghasilan respon yang mana akan mendapatkan jawaban yang sama jika password pada kedua sisi sama. Lebih jauh password tidak pernah dikirim melalui network, dan tidak ada challenge yang akan digunakan untuk kedua kalinya. Tidak seperti SecureID ataupun SNK, dengan S/key anda tidak berbagi rahasia dengan host tersebut. S/key tersedia pada ftp:thumper.bellcore.com:/pub/nmh/skey
Teknologi one time password lainnya adalah sistem kartu yang mana setiap pemakai mendapatkan suatu kartu yang mana menghasilkan nomor yang memperbolehkan akses ke account mereka. Tanpa kartu tersebut, adalah tidak mungkin menebak angka tersebut.
Berikut ini adalah perusahaan yang menawarkan solusi yang mana menyediakan autentikasi password yang lebih baik (mis, handheld password devices):
Secure Net Key (SNK)
Digital Pathways, Inc.
201 Ravendale Dr. Mountainview, Ca.
97703-5216 USA
Phone: 415-964-0707 Fax: (415) 961-7487
Secure ID
Security Dynamics,
One Alewife Center
Cambridge, MA 02140-2312
USA Phone: 617-547-7820
Fax: (617) 354-8836
Secure ID mengunakan slot waktu sebagai autentikasi daripada challenge/response.
ArKey and OneTime Pass
Management Analytics
PO Box 1480
Hudson, OH 44236
Email: fc@all.net
Tel:US+216-686-0090 Fax: US+216-686-0092
OneTime Pass (OTP):
Program ini menyediakan kode one-time pass yang tak terbatas pada seorang pemakai dengan basis pemakaian yang tidak membutuhkan protokol cryptographic ataupun peralatan hardware. Pemakai mendapatkan suatu daftar dari kode pass yang dapat digunakan, dan akan dihapus satu setiap satu dipakai. System mencatat pemakaian, menghapus setiap passcode dari daftar yang ada ketika telah dipakai. Datang dengan ukuran sangat kecil dan pemeriksa password yang cepat dan password dan sistem pass phrase generation.
ArKey:
Ini adalah sistem Argued Key yang sebenarnya yang mana secara mutual melakukan autentikasi pemakai dan sistem satu sama lainnya dengan pengetahuan umum mereka. Tidak membutuhkan hardware khusus. Datang dengan ukurang sangat kecil dan pemeriksa password yang cepat dan password dan sistem pass phrase generation.
WatchWord and WatchWord II
Racal-Guardata
480 Spring Park Place
Herndon, VA 22070
703-471-0892
1-800-521-6261 ext 217
CRYPTOCard
Arnold Consulting, Inc.
2530 Targhee Street, Madison, Wisconsin
53711-5491 U.S.A.
Phone : 608-278-7700 Fax: 608-278-7701
Email: Stephen.L.Arnold@Arnold.Com
CRYPTOCard is a modern, SecureID-sized, SNK-compatible device.
SafeWord
Enigma Logic, Inc.
2151 Salvio #301
Concord, CA 94520
510-827-5707 Fax: (510)827-2593
For information about Enigma ftp to: ftp.netcom.com in directory
/pub/sa/safeword
Secure Computing Corporation:
2675 Long Lake Road
Roseville, MN 55113
Tel: (612) 628-2700
Fax: (612) 628-2701
debernar@sctc.com
Interface Non-promiscuous
Anda dapat meyakinkan bahwa kebanyakan produk mesin IBM DOS compatible memiliki interface yang mana tidak akan memperbolehkan sniffing. Berikut ini adalah daftar dari kartu yang tidak mendukung modus promiscuous:
Mencoba interface dari modus promiscuous dengan menggunakan Gobbler. Jika anda menemukan suatu interface dapat melakukan modus promiscuous dan terdaftar dibawah ini, silahkan e-mail ke
cklaus@iss.net dan akan menghapusnya secepat mungkin.
IBM Token-Ring Network PC Adapter
IBM Token-Ring Network PC Adapter II (short card)
IBM Token-Ring Network PC Adapter II (long card)
IBM Token-Ring Network 16/4 Adapter
IBM Token-Ring Network PC Adapter/A
IBM Token-Ring Network 16/4 Adapter/A
IBM Token-Ring Network 16/4 Busmaster Server Adapter/A
Kartu berikut di rumor kan tidak dapat masuk ke modus promiscuous, tetapi kebenaran dari rumor tersebut diragukan.
Microdyne (Excelan) EXOS 205
Microdyne (Excelan) EXOS 205T
Microdyne (Excelan) EXOS 205T/16
Hewlett-Packard 27250A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27245A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27247A EtherTwist PC LAN Adapter Card/16
Hewlett-Packard 27248A EtherTwist EISA PC LAN Adapter Card/32
HP 27247B EtherTwist Adapter Card/16 TP Plus
HP 27252A EtherTwist Adapter Card/16 TP Plus
HP J2405A EtherTwist PC LAN Adapter NC/16 TP
Adapter yang didasarkan pada chipset TROPIC umumnya tidak mendukung modus promiscuous. Chipset TROPIC digunakan dalam adapter IBM's Token Ring seperti adapter 16/4. Pemasok lainnya (terutama 3Com) juga menyediakan adapter berbasis TROPIC.
Adapter berbasis TROPIC dapat menerima EPROMs khusus, demikian sehingga akan dapat masuk ke modus promiscuous. Bagaimanapun, ketika dalam modus promiscuous, adapter ini akan melepaskan suatu frame "Trace Tool Present".
-------------------------------------------------------------------------------
Acknowledgements
I would like to thank the following people for the contribution to this FAQ
that has helped to update and shape it:
* Padgett Peterson (padgett@tccslr.dnet.mmc.com)
* Steven Bellovin (smb@research.att.com)
* Wietse Venema (wietse@wzv.win.tue.nl)
* Robert D. Graham (robg@NGC.COM)
* Kevin Martinez (kevinm@beavis.qntm.com)
* Frederick B. Cohen (fc@all.net)
* James Bonfield (jkb@mrc-lmb.cam.ac.uk)
* Marc Horowitz (marc@MIT.EDU)
* Steve Edwards (steve@newline.com)
* Andy Poling (Andy.Poling@jhu.edu)
* Jeff Collyer (jeff@cnet-pnw.com)
* Sara Gordon (sgordon@sun1.iusb.indiana.edu)
-------------------------------------------------------------------------------
Copyright
This paper is Copyright (c) 1994, 1995
by Christopher Klaus of Internet Security Systems, Inc.
Permission is hereby granted to give away free copies electronically. You may
distribute, transfer, or spread this paper electronically. You may not pretend
that you wrote it. This copyright notice must be maintained in any copy made.
If you wish to reprint the whole or any part of this paper in any other medium
(ie magazines, books, etc) excluding electronic medium, please ask the author
for permission.
Disclaimer
The information within this paper may change without notice. Use of this
information constitutes acceptance for use in an AS IS condition. There are NO
warranties with regard to this information. In no event shall the author be
liable for any damages whatsoever arising out of or in connection with the use
or spread of this information. Any use of this information is at the user's own
risk.
Address of Author
Please send suggestions, updates, and comments to:
Christopher Klaus of Internet Security Systems, Inc.
Internet Security Systems, Inc.
Internet Security Systems, Inc, located in Atlanta, Ga., specializes in the
developement of security scanning software tools. Its flagship product,
Internet Scanner, is software that learns an organization's network and probes
every device on that network for security holes. It is the most comprehensive
"attack simulator" available, checking for over 100 security vulnerabilities.
--
Christopher William Klaus Voice: (404)441-2531. Fax: (404)441-2431
Internet Security Systems, Inc. Computer Security Consulting
2000 Miller Court West, Norcross, GA 30071
Issued on Elf Qrin's Hacking Lab
Legal notices and disclaimer
Version: 1.7
Christopher Klaus / Internet Security Systems, Inc. courtesy.
-----------------------------------------------------------------------
Security FAQ ini adalah bersumber dari:
Internet Security Systems, Inc.
2000 Miller Court West Tel: (770) 441-2531
Norcross, Georgia 30071 Fax: (770) 441-2431
- Internet Scanner ... the most comprehensive "attack simulator" available. -
-----------------------------------------------------------------------
Untuk memperoleh file Security yang terbaru dapat diperiksa dilayanan berikut:
mail info@iss.net with "send index" in message
http://iss.net/
ftp iss.net /pub/
-------------------------------------------------------------------------------
Sniffer FAQ ini akan memberikan pengertian yang lebih baik kepada para administrator tentang masalah sniffing dan memberikan solusi yang mungkin untuk menangani sniffer yang mana merupakan penyebab utama masalah Internet pada dewasa ini.
FAQ ini akan bagi kedalam beberapa bagian:
* Apa yang dimaksud dengan sniffer dan bagaimana cara kerjanya
* Dimana program sniffer dapat diperoleh
* Bagaimana mendeteksi suatu mesin sedang di sniffer
* Menghentikan penyerangan sniffing dengan:
o Active hub
o Encryption
o Kerberos
o Teknologi One-time password
o Interface Non-promiscuous
Apa yang dimaksud dengan sniffer dan bagaimana cara kerjanya
Tidak seperti rangkaian telepon, jaringan komputer melakukan pemakaian bersama (sharing) terhadap saluran komunikasi.
Dengan pemakaian bersama ini berarti bahwa komputer-komputer dapat menerima informasi yang seharusnya ditujukan untuk mesin lain. Kegiatan untuk mengambil informasi yang melalui suatu jaringan disebut dengan sniffing.
Salah satu cara koneksi komputer yang paling populer adalah ethernet. Protokol ethernet bekerja dengan cara mengirim paket informasi ke seluruh host pada rangkaian yang sama. Header dari masing-masing paket mengandung alamat yang benar untuk mesin tujuan. Hanya mesin dengan alamat yang sama akan menerima paket tersebut. Suatu mesin yang akan menerima semua paket tanpa memperhatikan apa yang terkandung pada header paket disebut sebagai modus promiscuous.
Karena, pada suatu lingkungan jaringan normal, informasi account dan password dilewatkan pada ethernet secara clear-text, adalah tidak sulit bagi seorang penyusup sesaat setelah mendapatkan root membuat mesin berada dalam modus promiscuous dengan sniffing, yang melakukan kompromi dengan setiap mesin dalam jaringan tersebut.
Dimana program sniffing dapat diperoleh
Sniffing adalah salah satu metode yang paling banyak digunakan para hacker untuk melakukan penyerangan. Suatu program sniffer khusus, yang disebut dengan Esniff.c, berukuran sangat kecil, dan dirancang untuk bekerja pada Sunos, dan hanya mencatat 300 byte pertama dari semua session telnet, ftp dan rlogin. Program tersebut disebarkan di Phrack, salah satu majalah underground tentang hacking yang paling banyak dibaca. Anda juga dapat mencari Phrack pada banyak situs FTP. Esniff.c juga terdapat pada banyak situs FTP seperti coombs.anu.edu.au:/pub/net/log.
Anda mungkin ingin menjalankan Esniff.c pada jaringan anda sendiri untuk melihat bagaimana efektifnya hal tersebut melakukan kompromi terhadap mesin-mesin lokal.
Sniffers lainnya secara luas tersedia dan ditujukan untuk melakukan debug terhadap masalah jaringan:
* Etherfind pada SunOs4.1.x
* Snoop pada Solaris 2.x dan SunOs 4.1 (pada ftp playground.sun.com)
* Tcpdump 3.0 mengunakan bpf untuk berbagai platform.
* Packetman, Interman, Etherman, Loadman bekerja pada platform berikut:
SunOS, Dec-Mips, SGI, Alpha, and Solaris. Program ini terdapat pada
ftp.cs.curtin.edu.au:/pub/netman/[sun4c|dec-mips|sgi|alpha|solaris2]/
[etherman-1.1a|interman-1.1|loadman-1.0|packetman-1.1].tar.Z
Packetman dirancang untuk mencatat paket, sedangkan Interman, Etherman, dan Loadman untuk melakukan monitor lalu lintas jaringan.
Siniffer berbasis DOS
* Gobbler untuk mesin IBM DOS
* ethdump v1.03
Terdapat pada ftp
ftp.germany.eu.net:/pub/networking/inet/ethernet/ethdp103.zip
* ethload v1.04
Utility pendamping untuk monitoring ethernet. Tersedia pada ftp
ftp.germany.eu.net:/pub/networking/monitoring/ethload/ethld104.zip
Sniffer Komersial tersedia pada :
* Network General.
Network General memproduksi sejumlah produk. Salah satu yang paling penting adalah Expert Sniffer, yang mana tidak hanya melakukan sniff pada kabel, tetapi juga berjalan pada paket dalam suatu sistem pakar yang berkemampuan tinggi, serta mendiagnosa masalah untuk anda. Disana ada suatu perluasan yang disebut dengan "Distributed Sniffer System" yang mana memungkinkan anda untuk membuat console workstation Unix anda menjadi pakar sniffer, dan mendistribusikan hasilnya ke suatu situs remote.
Bagaimana mendeteksi suatu sniffer sedang berjalan.
Untuk mendeteksi suatu peralatan sniffing yang hanya mengumpulkan data dan tidak memiliki respon terhadap informasi lainnya, membutuhkan pemeriksaan secara fisik pada seluruh koneksi ethernet anda dengan cara berjalan berkeliling dan memeriksa koneksi ethernet tersebut satu per-satu.
Adalah juga mungkin untuk memeriksa secara remote dengan mengirim suatu paket atau ping apakah suatu mesin adalah sniffing atau tidak.
Suatu sniffer yang berjalan pada suatu mesin membuat interface kedalam modus promiscuous, yang mana akan menerima semua paket. Pada kotak Unix tertentu, adalah dimungkinkan untuk mendeteksi suatu interface dalam modus promiscuous. Dan juga memungkinkan untuk menjalankan suatu sniffer dalam modus non-promiscuous, tetapi hal tersebut hanya dapat mencatat session dari mesin dimana hal tersebut dilakukan. Adalah juga mungkin bagi penyusup untuk melakukan aktifitas yang serupa dari session-session dengan menanamkan trojan pada program-program seperti sh, telnet, rlogin, in.telnetd, dan juga menulis hasilnya dalam suatu log file apa yang user kerjakan. Mereka dapat dengan mudah menantau setiap tty dan peralatan kmem dengan sempurana. Serangan jenis ini hanya berkompromi pada session yang datang dari mesin tersebut, sementara promiscuous sniffing berkompromi pada semua session dalam ethernet.
Untuk SunOs, NetBSD, dan kemungkinan turunan dari sistem BSD Unix , ada suatu perintah
"ifconfig -a"
yang akan memberitahukan anda tentang semua interface yang mana diantaranya berada dalam modus promiscuous. DEC OSF/1 dan IRIX dan mungkin OS lainnya membutuhkan peralatan tambahan. Suatu cara untuk mendapatkan interface apa saja berada dalam sistem, anda dapat menjalankan:
# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Interface
default iss.net UG 1 24949 le0
localhost localhost UH 2 83 lo0
Kemudian anda dapat mencoba setiap interface dengan melakukan perintah berikut:
#ifconfig le0
le0: flags=8863
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
Penyusup juga sering mengganti perintah seperti ifconfig untuk menghindari deteksi jenis ini. Jadi pastikan anda memeriksa checksumnya.
Ada suatu program yang disebut dengan cpm yang terdapat pada ftp.cert.org:/pub/tools/cpm yang mana hanya bekerja pada Sunos dan dapat memeriksa interface berada pada flag promiscuous.
Pada Ultrix dapat mendeteksi seseorang yang menjalankan suatu sniffer dengan perintah pfstat dan pfconfig.
pfconfig memungkinkan anda untuk menentukan siapa saja yang dapat menjalankan suatu sniffer
pfstat menampilkan pada anda jika interface tertentu berada dalam promiscuous mode.
Perintah ini hanya bekerja jika sniffing diaktifkan dengan kaitannya pada kernel, secara default sniffer tidak terkait dalam kernel. Pada banyak sistem seperti Irix, Solaris, SCO, dll, tidak memiliki flag indikasi yang mana menunjukkan apakah mereka berada dalam modus promiscuous atau tidak, sehingga seorang penyusup dapat melakukan sniffing terhadap keseluruhan jaringan anda dan tidak ada cara untuk mendeteksinya.
Sering kali file catatan sniffer berubah menjadi suatu ukuran yang sangat benar dan mengunakan seluruh tempat yang tersedia pada suatu jaringan berkapasitas besar. Hal ini sering menjadi pemicu peringatan bagi administrator untuk mengetahui suatu sniffer sedang berjalan. Saya menganjurkan anda untuk menggunakan lsof (LiSt Open Files) yang dapat diperoleh dari coast.cs.purdue.edu:/pub/Purdue/lsof untuk melacak file dan mencari program yang mengakses peralatan paket seperti /dev/nit pada SunOs.
Setahu saya tidak ada perintah tertentu untuk mendeteksi promiscuous pada mesin IBM PC compatible, tetapi paling sedikit memperbolehkan suatu perintah dijalankan kecuali dari console, sehingga penyerang remote tidak dapat mengubah suatu mesinPC menjadi sniffer tanpa bantuan pihak dalam.
Mengakhiri serangan oleh sniffing
Active hubs yang hanya akan mengirim paket ke sistem dimana paket tersebut dituju, mengakibatkan sniffing menjadi tidak berguna. Hal ini hanya efektif untuk 10-Base T.
Pemasok berikut yang memiliki active hubs:
* 3Com
* HP
Enkripsi
Ada beberapa paket yang memperbolehkan enkripsi antar koneksi sehingga penyusup dapat mencatat data tersebut, tetapi tidak berguna.
Beberapa paket yang tersedia:
* deslogin adalah salah satu paket yang tersedia pada ftp
coast.cs.purdue.edu:/pub/tools/unix/deslogin .
* swIPe adalah paket lainnya yang tersedia pada
ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/
* Netlock melakukan enkripsi terhadap seluruh komunikasi (tcp, udp, dan berbasis raw ip) secara transparan. Secara otomatis (ter-autentikasi Diffie-Helman) mendistribusikan suatu mekanisme kunci manajemen bagi tiap host dan berjalan pada sistem SUN 4.1 dan HP 9.x. Produk ini datang dengan suatu aplikasi Certification Authority Management yang mana menghasilkan host certificates (X.509) yang digunakan untuk authentikasi antar host dan menyediakan suatu kendali terpusat untuk mengatur komunikasi antar host tersebut.
Produk ini dibuat oleh Hughes Aircraft dan dapat dihubungi pada 800-825-LOCK atau email pada netlock@mls.hac.com.
Kerberos
Kerberos adalah paket lain yang mana dapat melakukan enkripsi terhadap informasi account yang keluar ke jaringan. Beberapa masalah diantaranya adalah semua informasi account ditangani pada suatu host dan jika mesin tersebut melakukan kompromi, seluruh jaringan akan menjadi lemah. Banyak laporan bahwa hal ini susah untuk di set up. Kerberos datang dengan suatu stream-encrypting rlogind, dan stream-encrypting telnetd yang dapat diperoleh. Hal ini mencegah penyusup untuk mencatat apa yang anda lakukan setelah login.
Tentang Kerberos FAQ berada pada ftp di rtfm.mit.edu in
/pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11
Teknologi One time password
S/key dan teknologi one time password membuat kegiatan sniffing terhadap informasi account menjadi tidak berguna. Pada konsep S/key remote telah mengetahui suatu password yang tidak pernah dikirim melalui saluran yang tidak aman dan ketika anda melakukan koneksi, anda akan mendapatkan suatu challenge. Anda mengambil informasi challenge tersebut dan beserta password di masukkan kedalam suatu algoritma yang akan menghasilan respon yang mana akan mendapatkan jawaban yang sama jika password pada kedua sisi sama. Lebih jauh password tidak pernah dikirim melalui network, dan tidak ada challenge yang akan digunakan untuk kedua kalinya. Tidak seperti SecureID ataupun SNK, dengan S/key anda tidak berbagi rahasia dengan host tersebut. S/key tersedia pada ftp:thumper.bellcore.com:/pub/nmh/skey
Teknologi one time password lainnya adalah sistem kartu yang mana setiap pemakai mendapatkan suatu kartu yang mana menghasilkan nomor yang memperbolehkan akses ke account mereka. Tanpa kartu tersebut, adalah tidak mungkin menebak angka tersebut.
Berikut ini adalah perusahaan yang menawarkan solusi yang mana menyediakan autentikasi password yang lebih baik (mis, handheld password devices):
Secure Net Key (SNK)
Digital Pathways, Inc.
201 Ravendale Dr. Mountainview, Ca.
97703-5216 USA
Phone: 415-964-0707 Fax: (415) 961-7487
Secure ID
Security Dynamics,
One Alewife Center
Cambridge, MA 02140-2312
USA Phone: 617-547-7820
Fax: (617) 354-8836
Secure ID mengunakan slot waktu sebagai autentikasi daripada challenge/response.
ArKey and OneTime Pass
Management Analytics
PO Box 1480
Hudson, OH 44236
Email: fc@all.net
Tel:US+216-686-0090 Fax: US+216-686-0092
OneTime Pass (OTP):
Program ini menyediakan kode one-time pass yang tak terbatas pada seorang pemakai dengan basis pemakaian yang tidak membutuhkan protokol cryptographic ataupun peralatan hardware. Pemakai mendapatkan suatu daftar dari kode pass yang dapat digunakan, dan akan dihapus satu setiap satu dipakai. System mencatat pemakaian, menghapus setiap passcode dari daftar yang ada ketika telah dipakai. Datang dengan ukuran sangat kecil dan pemeriksa password yang cepat dan password dan sistem pass phrase generation.
ArKey:
Ini adalah sistem Argued Key yang sebenarnya yang mana secara mutual melakukan autentikasi pemakai dan sistem satu sama lainnya dengan pengetahuan umum mereka. Tidak membutuhkan hardware khusus. Datang dengan ukurang sangat kecil dan pemeriksa password yang cepat dan password dan sistem pass phrase generation.
WatchWord and WatchWord II
Racal-Guardata
480 Spring Park Place
Herndon, VA 22070
703-471-0892
1-800-521-6261 ext 217
CRYPTOCard
Arnold Consulting, Inc.
2530 Targhee Street, Madison, Wisconsin
53711-5491 U.S.A.
Phone : 608-278-7700 Fax: 608-278-7701
Email: Stephen.L.Arnold@Arnold.Com
CRYPTOCard is a modern, SecureID-sized, SNK-compatible device.
SafeWord
Enigma Logic, Inc.
2151 Salvio #301
Concord, CA 94520
510-827-5707 Fax: (510)827-2593
For information about Enigma ftp to: ftp.netcom.com in directory
/pub/sa/safeword
Secure Computing Corporation:
2675 Long Lake Road
Roseville, MN 55113
Tel: (612) 628-2700
Fax: (612) 628-2701
debernar@sctc.com
Interface Non-promiscuous
Anda dapat meyakinkan bahwa kebanyakan produk mesin IBM DOS compatible memiliki interface yang mana tidak akan memperbolehkan sniffing. Berikut ini adalah daftar dari kartu yang tidak mendukung modus promiscuous:
Mencoba interface dari modus promiscuous dengan menggunakan Gobbler. Jika anda menemukan suatu interface dapat melakukan modus promiscuous dan terdaftar dibawah ini, silahkan e-mail ke
cklaus@iss.net dan akan menghapusnya secepat mungkin.
IBM Token-Ring Network PC Adapter
IBM Token-Ring Network PC Adapter II (short card)
IBM Token-Ring Network PC Adapter II (long card)
IBM Token-Ring Network 16/4 Adapter
IBM Token-Ring Network PC Adapter/A
IBM Token-Ring Network 16/4 Adapter/A
IBM Token-Ring Network 16/4 Busmaster Server Adapter/A
Kartu berikut di rumor kan tidak dapat masuk ke modus promiscuous, tetapi kebenaran dari rumor tersebut diragukan.
Microdyne (Excelan) EXOS 205
Microdyne (Excelan) EXOS 205T
Microdyne (Excelan) EXOS 205T/16
Hewlett-Packard 27250A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27245A EtherTwist PC LAN Adapter Card/8
Hewlett-Packard 27247A EtherTwist PC LAN Adapter Card/16
Hewlett-Packard 27248A EtherTwist EISA PC LAN Adapter Card/32
HP 27247B EtherTwist Adapter Card/16 TP Plus
HP 27252A EtherTwist Adapter Card/16 TP Plus
HP J2405A EtherTwist PC LAN Adapter NC/16 TP
Adapter yang didasarkan pada chipset TROPIC umumnya tidak mendukung modus promiscuous. Chipset TROPIC digunakan dalam adapter IBM's Token Ring seperti adapter 16/4. Pemasok lainnya (terutama 3Com) juga menyediakan adapter berbasis TROPIC.
Adapter berbasis TROPIC dapat menerima EPROMs khusus, demikian sehingga akan dapat masuk ke modus promiscuous. Bagaimanapun, ketika dalam modus promiscuous, adapter ini akan melepaskan suatu frame "Trace Tool Present".
-------------------------------------------------------------------------------
Acknowledgements
I would like to thank the following people for the contribution to this FAQ
that has helped to update and shape it:
* Padgett Peterson (padgett@tccslr.dnet.mmc.com)
* Steven Bellovin (smb@research.att.com)
* Wietse Venema (wietse@wzv.win.tue.nl)
* Robert D. Graham (robg@NGC.COM)
* Kevin Martinez (kevinm@beavis.qntm.com)
* Frederick B. Cohen (fc@all.net)
* James Bonfield (jkb@mrc-lmb.cam.ac.uk)
* Marc Horowitz (marc@MIT.EDU)
* Steve Edwards (steve@newline.com)
* Andy Poling (Andy.Poling@jhu.edu)
* Jeff Collyer (jeff@cnet-pnw.com)
* Sara Gordon (sgordon@sun1.iusb.indiana.edu)
-------------------------------------------------------------------------------
Copyright
This paper is Copyright (c) 1994, 1995
by Christopher Klaus of Internet Security Systems, Inc.
Permission is hereby granted to give away free copies electronically. You may
distribute, transfer, or spread this paper electronically. You may not pretend
that you wrote it. This copyright notice must be maintained in any copy made.
If you wish to reprint the whole or any part of this paper in any other medium
(ie magazines, books, etc) excluding electronic medium, please ask the author
for permission.
Disclaimer
The information within this paper may change without notice. Use of this
information constitutes acceptance for use in an AS IS condition. There are NO
warranties with regard to this information. In no event shall the author be
liable for any damages whatsoever arising out of or in connection with the use
or spread of this information. Any use of this information is at the user's own
risk.
Address of Author
Please send suggestions, updates, and comments to:
Christopher Klaus of Internet Security Systems, Inc.
Internet Security Systems, Inc.
Internet Security Systems, Inc, located in Atlanta, Ga., specializes in the
developement of security scanning software tools. Its flagship product,
Internet Scanner, is software that learns an organization's network and probes
every device on that network for security holes. It is the most comprehensive
"attack simulator" available, checking for over 100 security vulnerabilities.
--
Christopher William Klaus Voice: (404)441-2531. Fax: (404)441-2431
Internet Security Systems, Inc. Computer Security Consulting
2000 Miller Court West, Norcross, GA 30071
Issued on Elf Qrin's Hacking Lab
Legal notices and disclaimer
0komentar:
Post a Comment