On Tuesday 23 April 2002 08:08 am, you wrote:
> mau nanya nih ttg IP Spoofing....
> yang saya tau ttg IP Spoofing...adalah untuk menyamarkan diri
> ketika seorang penyerang ingin melakukan tindakan.
Pernyataan ini benar (tapi perlu ditambah sedikit :-) :
IP Spoofing...adalah untuk menyamarkan diri ketika seorang penyerang ingin
melakukan tindakan kriminal (cracking/whatever).
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> contohnya suatu IP komputer penyerang sudah di-deny utk mengakses
> komputer kita..kemudian agar bisa koneksi maka si penyerang melakukan
> apa yg dinamakan IP Spoofing....apakah apa yg saya tulis benar?
Di deny dengan firewall? Atau /etc/hosts.deny? OK!
> nah...kemudian pada linux .. ada cara untuk menghalangi/melindungi
> komputer kita dari IP spoofing....misallnya :
> 1. modifikasi file /etc/host.conf dengan menambahkan baris berikut :
> nospoof on
Parameter "nospoof on" cenderung berguna bila komputer tsb menjalankan daemon
rlogind dan rshd seperti bisa dilihat pada "man host.conf". Ini akibat
mekanisme autentikasi rlogin dan rsh yang didasarkan pada nama FQDN atau ip
address host client yang tertera dalam file .rhost di dalam direktori user
(lihat man page-nya). Saat ini pemakaian r-commands (rlogin, rsh, rcmd, rcp
dll) dan telnet tidak disarankan. Gunakan ssh (termasuk scp).
Pada umumnya untuk menghindarkan spoofing dilakukan perintah berikut:
#echo 1 >/proc/sys/net/ipv4/conf/all/rp_filter
Bila hanya dengan /etc/host.conf yang di beri parameter "nospoof on" maka
network card tetap dapat menerima spoofed packet. Contoh:
Firewall memiliki 3 ethernet card, yang masing2x berupa:
202.X.X.X - terhubung ke internet
192.168.1.1 - terhubung ke LAN (netmask 255.255.255.0)
192.168.2.1 - terhubung ke DMZ (netmask 255.255.255.0)
Tanpa rp_filter maka cracker dari internet dapat mengirim suatu paket ke
server di 192.168.2.0/24 (misal 192.168.2.5) yang seolah-olah berasal dari
LAN (misal dengan IP address 192.168.1.10).
Tetapi dengan rp_filter-pun anggota organisasi yang bersikap sebagai cracker
tetap dapat melakukan spoofing (paket dari 192.168.1.99 ke 192.168.2.5
seolah-olah berasal dari 192.168.1.10).
> 2. modifikasi file /etc/sysctl.conf
> net.ipv4.icmp_echo_ignore_all=1
Maksudnya agar komputer tsb tidak bisa di ping? Memang banyak program
hacker-tools yang cara kerjanya adalah melakukan ping terhadap komputer calon
korban dulu, baru dilanjutkan dengan scanning port bila ada reply. Tapi tidak
semuanya begitu atau HARUS begitu, contoh: nmap.
Dengan mengabaikan icmp_echo, komputer tsb paling tidak terhindar dari ICMP
flood atau sejenisnya.
> nah yg saya bingungkan....bagaimana logikanya IP spoofing bisa ditangkal
> dengan konfigurasi di atas....bukannya inti dari ip spoofing adalah
> penyamaran diri..????
IP Spoofing dapat berasal dari dalam maupun luar organisasi. Kecenderungan
yang terjadi adalah IP spoofing digunakan untuk melakukan DoS (denial of
service) attack. Kelemahan IP spoofing adalah cracker sulit melakukan session
oriented connection (semacam telnet atau ftp) ke server. Paling tidak dengan
kombinasi hardware dan software yang sesuai maka IP spoofing dapat di
minimumkan.
> mohon pencerahannya...terima kasih
Mudah-mudahan membantu.
Regards,
OverloaD.
--
Utk berhenti langganan, kirim email ke [EMAIL PROTECTED]
Informasi arsip di http://www.linux.or.id/milis.php3
