Citraweb.com : Port Scan Detection (PSD)

PENCARIAN PRODUK

Artikel

Port Scan Detection (PSD)

Jum'at, 2 Maret 2018, 08:42:00 WIB
Kategori: Fitur & Penggunaan

Ketika sebuah perangkat terhubung ke jaringan internet (public) maka salah satu hal yang perlu dipertimbangkan adalah perihal keamanan. Banyak sekali jenis ancaman di jaringan public, seperti Information/Identity Theft, Data Loss & Manipulation, Disruption of Service. Untuk mengurangi segala macam resiko dan kerugian yang diakibatkan dari pihak-pihak yang tidak bertanggungjawab, maka kita sebagai Network Administrator atau network Support/Engineer juga dituntut untuk selalu aktif menjaga dan melakukan pencegahan terhadap security threat terutama dari sisi networking.

Berbagai macam tindakan yang dapat dilakukan untuk pencegahan dari sisi networking. Salah satunya adalah dengan melakukan drop trafik dari aplikasi Port Scanner.

Port Scanner merupakan aplikasi yang digunakan untuk melihat informasi atau status dari protocol dan port yang terbuka (open) dari sebuah perangkat. Dengan aplikasi ini bisa jadi merupakan sebuah awal dari dimulainya serangan terhadap sebuah resource di jaringan. Ketika informasi protocol/port sudah didapat maka 'Hacker' bisa memanfaatkan untuk melakukan eksploitasi dari protocol/port tersebut. Misal, salah satu contoh untuk serangan Distributed Denial of Service (DDoS). Banyak aplikasi yang bisa digunakan untuk melakukan port scanner yang umumnya seperti nmap, netcut, unicornscan.

Kali ini kita akan mencoba bagaimana mengamankan perangkat jaringan khususnya router dari port scanner. Di Mikrtoik sendiri sudah disediakan fitur untuk hal tersebut yaitu dengan Port Scan Detetction (PSD). Konfigurasinya bisa dilakukan pada menu firewall filter di Tab 'Extra'.

Langkah awal, kita gunakan rule dengan pengaturan PSD untuk menangkap trafik port scanner dan memasukkan 'Source IP Address' ke menu Address-list.

Ketika terdapat aplikasi port scanner maka IP Address dari perangkat yang menjalankan aplikasi tersebut dimasukkan ke daftar 'Address-List' secara dinamis.

Selanjutnya dibuat rule untuk 'Drop' paket dengan berdasarkan nama di 'Address-list' diatas.

*) Catatan:

Pada parameter PSD terdapat beberapa konfigurasi yang perlu di setting:

Weight Threshold : Nilai total dari 'LowPortWeight' dan 'HighPortWeight' untuk paket-paket TCP/UDP dengan tujuan port yang berbeda ynag berasal dari host/Source IP Address yang sama. Rule PSD akan berjalan ketika sudah mencapai nilai Weight Threshold ini. (Secara default nilainya adalah 21).
Delay Threshold : Merupakan nilai waktu jeda (delay) dari trafik/paket yang dikirimkan oleh aplikasi port sacnner dari sebuah host/Source IP Address yang sama dengan tujuan berbeda port. (Default adalah 00:00:03)
Low Port Weight : Sebuah nilai yang diberikan oleh system ketika terdapat trafik/paket dari Port Scanner yang memiliki destinasi ke 'Low Port'. Disini yang dimaksud dari low port adalah port dibawah 1024 atau yang masuk dalam kategori System/Well-Known Port. Seperti port 80 (HTTP), 443 (HTTPS), 53 (DNS), 22 (SSH), 23 (Telnet), 110 (POP3), SMTP (25), dll.
High Port Weight : Sebuah nilai yang diberikan oleh system ketika terdapat trafik/paket dari Port Scanner yang memiliki destinasi ke 'High Port'. Disini yang dimaksud dari high port adalah port yang diatas 1024 atau yang masuk dalam kategori registered port dan dynamic/private port. Seperti 3128 (Squid web-Proxy), 1080 (SOCKS Proxy), 1701 (L2TP), 1723 (PPTP), dll.

Secara garis besar mekanismenya adalah rule akan membaca trafik dari port scanner dan memberikan nilai dari port yang di-scan sesuai dengan nilai LOW PORT atau HIGH PORT WEIGHT. Setelah total 'WEIGHT" mencapai nilai sesuai yang didefinisikan pada 'Weight Threshold' maka rule PSD akan dijalankan.

Kembali ke :
Halaman Artikel | Kategori Fitur & Penggunaan

Artikel

Port Scan Detection (PSD)

Menu Utama

Menu Lainnya

Links

Kontak Kami