On Tue, 23 Apr 2002 18:24:30 +0000
fade2blac <[EMAIL PROTECTED]> wrote:
> waktu itu, Tue, Apr 23, 2002 at 08:08:30AM +0700, reyza menulis:
> > mau nanya nih ttg IP Spoofing....
> > yang saya tau ttg IP Spoofing...adalah untuk menyamarkan diri
> > ketika seorang penyerang ingin melakukan tindakan.
> > contohnya suatu IP komputer penyerang sudah di-deny utk mengakses
> > komputer kita..kemudian agar bisa koneksi maka si penyerang melakukan
> > apa yg dinamakan IP Spoofing....apakah apa yg saya tulis benar?
sepertinya, secara garis besar benar..
>
> pada umumnya spoofing dipake untuk itu.
emm, yg saya tau, spoofing bisa berguna juga untuk dos...
> > nah...kemudian pada linux .. ada cara untuk menghalangi/melindungi
> > komputer kita dari IP spoofing....misallnya :
> > 1. modifikasi file /etc/host.conf dengan menambahkan baris berikut :
> > nospoof on
>
> darimana keterangan ini?
dari man 5 host.conf, saya paste walau saya sendiri aga kurang mengerti dgn "hostname
lookup".
nospoof
Valid values are on and off. If set to on, the
resolv+ library will attempt to prevent hostname
spoofing to enhance the security of rlogin and rsh.
It works as follows: after performing a host
address lookup, resolv+ will perform a hostname
lookup for that address. If the two hostnames do
not match, the query will fail.
> > 2. modifikasi file /etc/sysctl.conf
> > net.ipv4.icmp_echo_ignore_all=1
>
> kalo ganti variabel ini, kali linux kita gak akan jawab kalau di ping, memperkecil
>resiko.
>
> Spoofing biasanya berawal dari sniffing (ngintip) sehingga saat dua host
>berkomunikasi,
> dibajak sessionnya. Source address dibungkam (forged), dan dengan nebak sequence
>number TCP-nya,
> diterusin komunikasi dengan address tujuan (sequence number attack).
hmm, misal source addr di hilangkan, berarti si penyerang engga mengharapkan feedback
atas paket2x yg dia kirim dong, karena host korban ga tau musti reply kemana, model
fire and forget ? jadi mirip dos. Tapi kalo emang dos, kenapa repot2x mensingkronkan
tcp-seq number ?
--cut
Setau saya:
betul ip spoof itu untuk menyamarkan diri, tapi dengan 2 tujuan, dos dan menipu host
korban.
contoh kasus menipu, Gambar ascii :
internet -- gateway -- lan
Gateway adalah korban, terkoneksi ke internet dengan ip publik a.a.a.a (eth0) dan
terkoneksi ke jaringan lokal dgn net-addr b.b.b.b/25 (eth1). Kita anggap penyerang ada
di net, dengan ip x.x.x.x.
untuk manajemen server tersebut, gateway mempunyai rule netfilter sbb:
iptables -A INPUT -s b.b.b.b/25 --dport 22 -j ACCEPT
nah, rule barusan mempunyai arti, "koneksi masuk (INPUT) di perbolehkan (ACCEPT) jika
berasal dari SIAPAPUN yang mempunyai netaddr b.b.b.b/24". Nah, aturan seperti itu
punya kelemahan yang bisa di expose oleh penyerang. Penyerang dari luar(ex. dari isp)
tinggal ganti ip dia dari x.x.x.x menjadi salah satu anggota dari b.b.b.b/25, lalu dia
ssh ke gateway, satu masalah sudah di lewati oleh sang penyerang :p.
Rule tadi sebaiknya dirubah menjadi:
iptables -A INPUT -i eth1 -s b.b.b.b/25 --dport 22 -j ACCEPT
rule barusan mempunyai arti,"koneksi masuk (INPUT) yang datang di interface ke 2
(eth1) diperbolehkan (ACCEPT) jika berasal dari SIAPAPUN yang mempunyai netaddr
b.b.b.b/24". Efek-nya, jika ada koneksi berasal dari netaddr b.b.b.b/24 tapi masuk di
eth0, akan ditolak.
net.ipv4.conf.all.accept_source_route=0
jika masalah sysctl, saya aga lupa, mirip dengan metode diatas, "Hanya menerima paket
pada interface yg sesuai". Mungkin, dengan opsi ini di enable, kita akan meliat
peringatan "blablabla martians bla bla bla source routing..." (aga lupa) pada
/var/log/messages, jika ada yang mencoba masuk menggunakan ip yang tidak sesuai. Dan
ada tambahan, seingat saya, keluhan pada log seperti ini akan muncul juga jika routing
paket yg tiba berbeda dengan routing yg diambil ketika paket tsg di reply.
as always, cmiiw
-- cungil --
Yahoo! Messenger : st1llg0tth3blu3s
ICQUIN : 131877402
--
Utk berhenti langganan, kirim email ke [EMAIL PROTECTED]
Informasi arsip di http://www.linux.or.id/milis.php3
