Kamis, 30 Juni 2016

Cara Ping dengan MTU



Tulisan ini saya buat sebagai catatan saya pribadi, kali ini saya ingin menuliskan bagaimana cara untuk melakukan pengecekan network atau jaringan dengan menggunakan ping dengan beban MTU

MTU sendiri menurut wikipedia adalah Unit Transmisi Maksimum (Bahasa Inggris: Maximum Transmission Unit) adalah istilah dalam teknologi informasi yang merujuk kepada ukuran paket data terbesar yang dapat ditransmisikan melalui sebuah media jaringan. Ukuran MTU adalah bervariasi, tergantung teknologi jaringan yang digunakan. Contohnya adalah dalam jaringan berbasis teknologi Ethernet, ukuran MTU yang direkomendasikan adalah 1500 bits.  Ketika paket-paket ditransmisikan melalui jaringan, Path MTU (PMTU), merepresentasikan ukuran paket terkecil di antara semua jaringan yang terlibat dalam jaringan yang sama.



Cara ping dengan MTU adalah sebagai berikut :

OS Windows

c:/>ping -f -l 1492 10.10.10.1
(hasil = "Packet needs to be fragmented but DF set.") berarti MTU terlalu besar
c:/>ping -f -l 1472 10.10.10.1
(hasil = "reply") Nilai optimal MTU

OS Linux

#ping -M do -s 1492 10.10.10.1
(hasil = "Frag needed and DF set (mtu = 1500)" ) berarti MTU terlalu besar
#ping -M do -s 1472 10.10.10.1
(hasil = "1480 bytes from 10.10.10.1 : icmp_seq=1 ttl=48 time=239 ms" ) Nilai optimal MTU

Di Router Cisco

Router#ping vrf vpn_internet 192.168.0.1 df size 1500

Type escape sequence to abort.
Sending 5, 1500-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

kalau reply seperti diatas, berarti dari sisi network atau jaringan bisa melewatkan paket MTU sebesar 1500


Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Tentang Trojan HEUR.Trojan.Win32.Generic


Pada tulisan sebelumnya saya mendapatkan email phising yang mana didalam email nta terdapat attachment file .exe, dimana pada tanggal 21 Juni 2016 file tersebut belum terdeteksi oleh Kaspersky sebagai ancaman.

Namun baru tanggal 28 Juni 2016 file .exe tersebut terdeteksi sebagai jenis Trojan dengan nama HEUR.Trojan.Win32.Generic.



Menurut wikipedia, Trojan horse atau Kuda Troya atau yang lebih dikenal sebagai Trojan dalam keamanan komputer merujuk kepada sebuah bentuk perangkat lunak yang mencurigakan (malicious software/malware) yang dapat merusak sebuah sistem atau jaringan. Tujuan dari Trojan adalah memperoleh informasi dari target (password, kebiasaan user yang tercatat dalam system log, data, dan lain-lain), dan mengendalikan target (memperoleh hak akses pada target).


Cara Kerja Trojan

Trojan berbeda dengan jenis perangkat lunak mencurigakan lainnya seperti virus komputer atau worm karena dua hal berikut:

- Trojan bersifat "stealth" (siluman dan tidak terlihat) dalam operasinya dan seringkali berbentuk seolah-olah program tersebut merupakan program baik-baik, sementara virus komputer atau worm bertindak lebih agresif dengan merusak sistem atau membuat sistem menjadi crash.

- Trojan dikendalikan dari komputer lain (komputer attacker).


Cara Penyebaran Trojan

Penggunaan istilah Trojan atau Trojan horse dimaksudkan untuk menyusupkan kode-kode mencurigakan dan merusak di dalam sebuah program baik-baik dan berguna; seperti halnya dalam Perang Troya, para prajurit Sparta bersembunyi di dalam Kuda Troya yang ditujukan sebagai pengabdian kepada Poseidon. Kuda Troya tersebut menurut para petinggi Troya dianggap tidak berbahaya, dan diizinkan masuk ke dalam benteng Troya yang tidak dapat ditembus oleh para prajurit Yunani selama kurang lebih 10 tahun perang Troya bergejolak.

Kebanyakan Trojan saat ini berupa sebuah berkas yang dapat dieksekusi (*.EXE atau *.COM dalam sistem operasi Windows dan DOS atau program dengan nama yang sering dieksekusi dalam sistem operasi UNIX, seperti ls, cat, dan lain-lain) yang dimasukkan ke dalam sistem yang ditembus oleh seorang cracker untuk mencuri data yang penting bagi pengguna (password, data kartu kredit, dan lain-lain). Trojan juga dapat menginfeksi sistem ketika pengguna mengunduh aplikasi (seringnya berupa game komputer) dari sumber yang tidak dapat dipercayai dalam jaringan Internet. Aplikasi-aplikasi tersebut dapat memiliki kode Trojan yang diintegrasikan di dalam dirinya dan mengizinkan seorang cracker untuk dapat mengacak-acak sistem yang bersangkutan.


Jenis-jenis Trojan

Beberapa jenis Trojan yang beredar antara lain adalah:

- Pencuri password: Jenis Trojan ini dapat mencari password yang disimpan di dalam sistem operasi (/etc/passwd atau /etc/shadow dalam keluarga sistem operasi UNIX atau berkas Security Account Manager (SAM) dalam keluarga sistem operasi Windows NT) dan akan mengirimkannya kepada si penyerang yang asli. Selain itu, jenis Trojan ini juga dapat menipu pengguna dengan membuat tampilan seolah-olah dirinya adalah layar login (/sbin/login dalam sistem operasi UNIX atau Winlogon.exe dalam sistem operasi Windows NT) serta menunggu pengguna untuk memasukkan passwordnya dan mengirimkannya kepada penyerang. Contoh dari jenis ini adalah Passfilt Trojan yang bertindak seolah-olah dirinya adalah berkas Passfilt.dll yang aslinya digunakan untuk menambah keamanan password dalam sistem operasi Windows NT, tapi disalahgunakan menjadi sebuah program pencuri password.

- Pencatat penekanan tombol (keystroke logger/keylogger): Jenis Trojan ini akan memantau semua yang diketikkan oleh pengguna dan akan mengirimkannya kepada penyerang. Jenis ini berbeda dengan spyware, meski dua hal tersebut melakukan hal yang serupa (memata-matai pengguna).

- Tool administrasi jarak jauh (Remote Administration Tools/RAT): Jenis Trojan ini mengizinkan para penyerang untuk mengambil alih kontrol secara penuh terhadap sistem dan melakukan apapun yang mereka mau dari jarak jauh, seperti memformat hard disk, mencuri atau menghapus data dan lain-lain. Contoh dari Trojan ini adalah Back Orifice, Back Orifice 2000, dan SubSeven.

- DDoS Trojan atau Zombie Trojan: Jenis Trojan ini digunakan untuk menjadikan sistem yang terinfeksi agar dapat melakukan serangan penolakan layanan secara terdistribusi terhadap host target.

- Ada lagi sebuah jenis Trojan yang mengimbuhkan dirinya sendiri ke sebuah program untuk memodifikasi cara kerja program yang diimbuhinya. Jenis Trojan ini disebut sebagai Trojan virus.

- Cookies Stuffing, ini adalah script yang termasuk dalam metode blackhat, gunanya untuk membajak tracking code penjualan suatu produk, sehingga komisi penjualan diterima oleh pemasang cookies stuffing, bukan oleh orang yang terlebih dahulu mereferensikan penjualan produk tersebut di internet

Kaspersky melakukan klasifikasi file tersebut sebagai program jahat dengan jenis Trojan, Dimana jika program exe tersebut dijalankan maka akan melakukan install backdoor di PC/Laptop Windows kita dan akan bisa juga melakukan remote PC/Laptop Windows untuk tujuan jahat di pembuat Trojan tsersebut.

Biasanya trojan ini akan melakuka infeksi di system registry windows :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Setelah terdeteksi oleh Kaspersky kita tinggal hapus saja file nya, dan lakukan scan complete pada system windows kita.

Saran saya adalah agar kita selalu menggunakan OS dan Antivirus yang Legal dan Uptodate.

Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Selasa, 21 Juni 2016

Menganalisa Email Phishing dan Malware


Kebetulan hari ini saya mendapatkan email phising yang seolah-olah dari expedisi pengiriman DHL, padahal saya tidak pernah pesan barang yang dikirim dari DHL.



Untuk mengetahui sender sebenarnya, kita bisa melihat nya dari menu view - message source di mail client thunderbird dan akhir nya ketahuan IP pengirim nya :

from hosty11.dnshosty.net ([186.64.116.11]

Saya cek di whois itu IP nya dari amerika latin :

NetRange:       186.0.0.0 - 186.255.255.255
CIDR:           186.0.0.0/8
NetName:        LACNIC-186
NetHandle:      NET-186-0-0-0-1
Parent:          ()
NetType:        Allocated to LACNIC
OriginAS:
Organization:   Latin American and Caribbean IP address Regional Registry (LACNIC)
RegDate:        2007-09-28
Updated:        2010-07-21

Nah yang aneh nya lagi, di dalam email tersebut terdapat attachment file, dan file nya adalah file .exe (DHL DL7593461.exe), tentunya saya semakin curiga terhadap email ini, dan saya ingin mengetahui lebih dalam apa tujuan nya dari email spam/phishing ini.


Pertama kali saya scan dengan menggunakan antivirus dulu, untuk mengetahui ini jenis virus nya apa, saya coba scan dengan menggunakan antivirus KAV yang uptodate, dan ternyata dianggap bersih file nya



Kemudian saya coba buka file exe ini dengan hex editor, dan isi nya ternyata file exe ini tidak dapat dijalankan via DOS mode, berarti file ini akan running di GUI nya windows.



Saya coba lihat lagi ini file exe ini, tenyata ini file ini semacam malware, isi nya ada info “Performance Data Solution Copyright 2008”, apakah ini perusahaan yang mengirimkan spam saya juga tidak tahu pastinya, dan file exe ini juga akan mengarahkan korban ke IP 25.115.48.1



Kalau saya cek ini IP dari kanada :

inetnum:        25.0.0.0 - 25.255.255.255
netname:        UK-MOD-19850128
country:        GB
org:            ORG-DMoD1-RIPE
admin-c:        MN1891-RIPE
tech-c:         MN1891-RIPE
status:         LEGACY

organisation:   ORG-DMoD1-RIPE
org-name:       UK Ministry of Defence
org-type:       LIR
address:        Not Published
address:        Not Published
address:        Not Published
address:        UNITED KINGDOM
phone:          +443067700816

person:         Mathew Newton
address:        Network Technical Authority
address:        UK Ministry of Defence
phone:          +44 (0)30 677 00816
abuse-mailbox:  hostmaster@mod.uk
nic-hdl:        MN1891-RIPE
created:        2005-03-18T10:42:04Z
last-modified:  2014-01-17T14:55:29Z

Ngeri-ngeri sedap juga ya, salah-salah buka file komputer atau laptop kita bisa menjadi korban kejahatan cyber, maka anda harus lebih berhati-hati dalam membuka email yang tidak dikenal dan juga jika ada email mencurigakan yang ada attachment file nya lebih baik coba di scan dulu dengan antivirus yang uptodate dan pastikan juga OS nya juga uptodate.

Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Senin, 06 Juni 2016

Tentang Cisco Cyber Range



Cisco Cyber Range merupakan sebuah solusi keamanan komputer dan jaringan yang dihadirkan oleh Cisco untuk melindungi dari ancaman di dunia cyber.

Serangan terhadap jaringan komputer bisa terjadi dimana saja, baik itu dalam public area, di kampus, maupun di lingkungan kerja atau instansi.



Contoh sederhana nya adalah malware, dimana dapat melakukan penyebaran di jaringan komputer dengan cepat dan memiliki berbagai tujuan, baik untuk melakukan pencurian data ataupun hanya bertujuan untuk menjatuhkan jaringan komputer korban.

Untuk itu Cisco melihatnya ancaman tersebut dalam berbagai sisi, yaitu :
- Visibility
  Deep Insight to Detect Advanced Threats
- Intelligence
  Contextual Awareness to Pinpoint Attacks
- Control
  Ubiquitous Defence to Manage Threats

Untuk visibility sendiri meliputi :
- Indentity (User, device, access, location, time)
- AVC (Application recognition and identivication)
- Netflow (Network wide traffic patterns)
- Security (Firewall, intrusion, web & email security)

Intelligence juga meliputi aspek berikut ini :
- Analytics (Stealthwatch, Splunk)
- Reputation (Security Intelligence Operations (SIO)

Dan Control sendiri meliputi aspek berikut ini :
- TrustSec (Network flow tagging and blocking)
- Security (Firewall, intrusion, web & email security)

Untuk mencakup kebutuhan akan security yang lengkap dan handal, maka cisco menyediakan layanan security yaitu Cisco Range Service Delivery Platform, dimana disediakan perangkat security yang sesuai dengan masing-masing aspek diatas sehingga dapat memberikan perlindungan yang lengkap.



Keseriusan Cisco dalam dunia security jaringan dibuktikan dengan ada nya Workshop, Subscription, Pemises, dan R&D Lab untuk masalah security jaringan. Pencegahan yang dilakukan adalah melindungi 3 tahap, yaitu “Sebelum, Sedang Berlangsung, dan Setelah nya”



Jadi yang akan di lindungi dari data kita adalah data sebelum masuk ke jaringan, data ketika sedang ada di jaringan dan juga data setelah bersih juga akan tetap di pantau di jaringan. Berikut ini adalah contoh perangkat cisco yang dipasang untuk Cisco Cyber Range :


Dengan gambar diatas, maka kita bisa menentukan perangkat yang tepat untuk kebutuhan Cisco Cyber Range yang akan digunakan. Sehingga fungsi dari perangkat tersebut nya tepat.

Berikut contoh Cisco CSIRT Protection Model :


Berikut ini adalah contoh penerapan cisco cyber range dalam infrastruktur jaringan :





Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017