• Tidak ada hasil yang ditemukan

Laporan Keamanan Jaringan PASSWORD MANAG

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2018

Membagikan "Laporan Keamanan Jaringan PASSWORD MANAG"

Copied!
13
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 13 Halaman )

Teks penuh

(1)

Laporan Keamanan Jaringan

“PASSWORD MANAGEMENT”

Disusun oleh:

Meyla Yan Sari

IK 3B

3.34.13.1.10

PROGAM STUDI TEKNIK INFORMATIKA

JURUSAN TEKNIK ELEKTRO

(2)

PASSWORD MANAGEMENT

I. TUJUAN

1. Mengenalkan pada mahasiswa tentang konsep Scanner dan Probing 2. Mahasiswa memahami konsep layanan jaringan dan port numbering

3. Mahasiswa mampu menganalisa kelemahan jaringan menggunakan software scanning

II. DASAR TEORI

Untuk dapat mengakses sistem operasi Linux digunakan mekanisme password. Pada distribusi-distribusi Linux yang lama, password tersebut disimpan dalam suatu file teks yang terletak di /etc/passwd. File ini harus dapat dibaca oleh setiap orang (world readable) agar dapat digunakan oleh program-program lain yang menggunakan mekanisme password tersebut. Contoh isi file /etc/passwd :

root:..CETo68esYsA:0:0:root:/root:/bin/bash

Field pertama : nama login

Field kedua : password yang terenkripsi Field ketiga : User ID

Field keempat : Group ID Field kelima : Nama sebenarnya Field keenam : Home directory user Field ketujuh : User Shell

Password login yang terdapat pada file /etc/passwd dienkripsi dengan menggunakan algoritma DES yang telah dimodifikasi. Meskipun demikian hal tersebut tidak mengurangi kemungkinan password tersebut dibongkar (crack). Karena penyerang (attacker) dapat melakukan dictionary-based attack dengan cara :

a. menyalin file /etc/passwd tersebut

b. menjalankan program-program yang berguna untuk membongkar password, contohnya adalah John the Ripper (www.openwall.com/john/). Untuk mengatasi permasalahan ini pada distribusi-distribusi Linux yang baru digunakan program utility shadow password yang menjadikan file /etc/passwd tidak lagi berisikan informasi password yang telah dienkripsi, informasi tersebut kini disimpan pada file /etc/shadow yang hanya dapat dibaca oleh root. Berikut ini adalah contoh file /etc/passwd yang telah di-shadow :

(3)

daemon:x:2:2:daemon:/sbin: adm:x:3:4:adm:/var/adm:

rms:x:100:100:Richard M Stallman:/home/rms:/bin/bash dmr:x:101:101:Dennis M Ritchie:/home/dmr:/bin/bash linus:x:102:102:Linus Torvalds:/home/linus:/bin/bash

Dengan demikian, penggunaan shadow password akan mempersulit attacker untuk melakukan dictionary-based attack terhadap file password. Selain menggunakan shadow password beberapa distribusi Linux juga menyertakan program hashing MD5 yang menjadikan password yang dimasukkan pemakai dapat berukuran panjang dan relatif mudah diingat karena berupa suatu passphrase. Mekanisme yang telah disediakan sistem operasi tersebut di atas tidaklah bermanfaat bila pemakai tidak menggunakan password yang "baik". Berikut ini adalah beberapa kriteria yang dapat digunakan untuk membuat password yang "baik" :

a) Jangan menggunakan nama login anda dengan segala variasinya.

b) Jangan menggunakan nama pertama atau akhir anda dengan segala variasinya. c) Jangan menggunakan nama pasangan atau anak anda.

d) Jangan menggunakan informasi lain yang mudah didapat tentang anda, seperti nomor telpon, tanggal lahir.

e) Jangan menggunakan password yang terdiri dari seluruhnya angka ataupun huruf yang sama.

f) Jangan menggunakan kata-kata yang ada di dalam kamus, atau daftar kata lainnya. g) Jangan menggunakan password yang berukuran kurang dari enam karakter.

h) Gunakan password yang merupakan campuran antara huruf kapital dan huruf kecil. i) Gunakan password dengan karakter-karakter non-alfabet. j) Gunakan password yang mudah diingat, sehingga tidak perlu ditulis.

k) Gunakan password yang mudah diketikkan, tanpa perlu melihat pada keyboard. l) Beberapa tool yang bisa dipakai untuk melihat strong tidaknya password adalah john the ripper. Kita bisa memakai utility ini untuk melihat strong tidaknya suatu pasword yang ada pada komputer.

III. PERALATAN YANG DIGUNAKAN

1. PC client dan server 2. Switch

3. Kabel UTP

IV. LANGKAH KERJA

Melihat Password dengan John The Ripper

(4)

a) User di console 1

Buat user baru pada console 1, tekan ctrl + alt + F1. Maka akan muncul tampilan berikut. Login ke console 1 dengan user root dan isikan password.Kemudian tambahkan user baru dengan perintah #adduser donghae, seperti gambar berikut kemudian isikan password dan informasi lain, password sama dengan username di akhir pengisian data konfirmasi data benar tekan y kemudian enter.

b) User di console 2

(5)

c) User di console 3

Buat user baru pada console 3, tekan ctrl + alt + F3. Maka akan muncul tampilan berikut. Login ke console 3 dengan user root dan isikan password.Kemudian tambahkan user baru dengan perintah #adduser minhoo, seperti gambar berikut kemudian isikan password dan informasi lain, password berbeda dengan username di akhir pengisian data konfirmasi data benar tekan y kemudian enter.

d) User di console 4

(6)

e) User di console 5

Buat user baru pada console 5, tekan ctrl + alt + F5. Maka akan muncul tampilan berikut. Login ke console 5 dengan user root dan isikan password. Kemudian tambahkan user baru dengan perintah #adduser harry, seperti gambar berikut kemudian isikan password dan informasi lain, password tidak sama dengan username, pada akhir pengisian data konfirmasi data benar tekan y kemudian enter.

2. Login sebagai root dan install john the ripper dari source. 3. Install source

(7)

4. Masuk direktori # cd /usr/local # cd john-1.7.9 # cd src # make

# make clean generic

5. Tunggu sampai proses kompilasi selesai karena cukup memakan waktu, kemudian masuklah ke direktori run

(8)

6. Setelah itu mari mengcrack password dengan john the ripper. Lakukan langkah-langkah berikut

a) Amati isi file /etc/passwd dan /etc/shadow # cat /etc/passwd

# cat /etc/shadow

(9)

Amati perintah diatas dengan : # ls –al

c) Jika password anda sudah ter-shadow, anda perlu melakukan unshadow # ./unshadow /etc/passwd /etc/shadow > mypasswd

d) Amati isi mypasswd. Apakah benar sekarang semua password telah ter-unshadowed? # cat mypasswd

e) Untuk melihat password yang dicrack oleh john the ripper, amati dengan perintah ini # ./john --show mypasswd

(10)

tidak, usermana yang tidak dapat dicrack ? Amati apakah file password.lst dan all.chr ada ? Gunakan :

# ls -al

Pada direktori run terdapat 2 file yaitu password.lst dan all.chr.

File password.lst berisi listing password yang biasa dipakai oleh unix. # cat password.lst

(11)

f) Jalankan lagi john untuk mengcrack semua password user. Ini mungkin makan waktu lama.

# john mypasswd

Tunggulah sampai 10 menit, bila masih belum selesai, keluarkan perintah Ctrl C untuk menghentikan john bekerja. Password yang dicrack ditempatkan di folder /john-1.7.9/run/john.pot. Amati file di john.pot, perhatikan bahwa password masih dalam kondisi terenkripsi.

g) Untuk melihat hasil crack, jalankan perintah ini. # ./john --show mypasswd

(12)

h) Untuk mengcrack user tertentu, anda dapat menggunakan opsi ini : # ./john --show --users=userbaru mypasswd

Jika ingin mengetahui variasi perintah untuk john, lihat dokumentasi tambahan tentang john the ripper atau carilah di internet.

Karena masing-masing user sudah berhasil dicrack, maka bisa dilakukan uji coba perubahan password, sehingga ketika pemilik komputer login dengan password di atas akan gagal. Berikut ini perintah ganti password user tertentu.

Pengguna gagal masuk ke sistem dengan username harry karena password user harry sudah diganti bukan harry 123 tetapi menjadi harry93. Inilah bahayanya jika password berhasil dicrack oleh hacker maka mereka bisa login ke sistem dengan mudah.

i) Cracking paling baik dilakukan dengan menggunakan opsi incremental : # john -i mypasswd

(13)

V. PERTANYAAN DAN JAWABAN

1. Bagaimana cara installasi john the ripper password ?

Jawab ;

a. Insallasi john the ripper pertama melakukan download file source sesuai versi linux yang digunakan.

b. Lalu buka terminal dan ketikkan perintah berikut # tar -xvzf john-1.8.0.tar.gz --dir=/usr/local c. Kemudian lakukan proses make

# cd /usr/local # cd john-1.7.9 # cd src # make

# make clean generic

2. Jelaskan cara penggunaan john the ripper ?

Jawab ;

a. Pertama tentukan lokasi password # cat /etc/passwd

# cat /etc/shadow

b. Lalu abil dan copy password terekripsi

# ./unshadow /etc/passwd /etc/shadow > mypasswd c. Kemudian lakukan perintah dekripsi

# john mypasswd

d. Tampilkan password yang didapatkan # ./john --show mypasswd

3. Apa kegunaan shadow password pada linux ?

Jawab :

Untuk menyimpan password dan semua informasi dari setiap user agar dapat diakses untuk melakukan verifikasi dari semua file yang dibutuhkan oleh sistem untuk melakukan proses tertentu. Proses yang dilakukan atas perintah user dengan perintah super user.

VI. KESIMPULAN

1. Proses hacking password diawali dengan mencari dan menetukan file berisi password semua user.

2. Password user tersimpan dengan terenkripsi untuk menjaga keamanaan dan kerahasiaan. 3. Proses dekripsi password dengan john memerlukan waktu yang lama karena metode yang

digukanan adalah brute force.

4. Proses brute force adalah mencoba kemungkinan password yang didapat secara berulang sehingga mendapatkan kombinasi password yang sesuai.

Referensi

Unduh sekarang ( DOCX - 13 Halaman - 739.01 KB )

Garis besar

Laporan Keamanan Jaringan PASSWORD MANAG

Dokumen terkait

Sertifikat Prodi Teknik Sipil 2012

Teknik Sipil, Fakultas Teknik – Universitas Muslim Indonesia... Teknik Sipil, Fakultas Teknik – Universitas

USULAN PROGRAM KREATIVITAS MAHASISWA

Talli kur dapat dijadikan sebagai peluang usaha yang menjanjikan karena untuk memperoleh bahan sangat mudah, harga untuk mendapatkanya juga murah, keistimewaan

BAB II TINJAUAN PUSTAKA - Faktor-Faktor Yang Mempengaruhi Keputusan Mahasiswa Memilih Fakultas Ekonomi Universitas Islam Sumatera Utara Al Munawaroh Medan

Pemahaman pengambilan keputusan mahasiswa sangat penting bagi suatu perguruan tinggi, karena berhasil tidaknya perguruan tinggi menarik mahaiswa tergantung faktor-faktor apa

Remediasi Miskonsepsi Siswa Menggunakan Strategi Konflik Kognitif Berbantuan Simulasi Phet Tentang Rangkaian Listrik di SMA

Tahap pelaksanaan terdiri dari: (1) Memberikan pre-test dalam bentuk soal pilihan ganda dengan tiga alternatif pilihan dan reasoning terbuka dengan tujuan untuk

S PSI 1104331 Table of content

Tabel 4.8 Uji Korelasi antara Passion dengan Achievement Goal Orientation pada pelaku Pageant di Jawa Barat

PETUNJUK TEKNIS STANDAR PELAYANAN MINIMAL (SPM) BIDANG KESEHATAN (Permenkes No. 43/ 2016)

Capaian kinerja Pemerintah Daerah Kabupaten/Kota dalam memberikan skrining kesehatan pada warga negara usia 60 tahun keatas dinilai dari persentase pengunjung berusia 60 tahun

Matematika Ekonomi 8 barisan dan

Untuk menjawab permasalahan tersebut, perlu dicari: jumlah produk yang harus dipesan setiap kali pemesanan sehingga diperoleh total biaya persediaan yang minimum:.. Total

Kata Kunci: Ayat Qur`ani, Pendidikan Kewarganegaraan, Anti Korupsi. Pendahuluan - View of RELEVANSI AYAT-AYAT QUR`ANI DENGAN MUATAN MATERI PENDIDIKAN KEWARGANEGARAAN SMP DALAM PENDIDIKAN ANTI KORUPSI

Mengingat juga apa yang dikatakan Muhammad Nurdin bahwa sikap fundamental utama yang akan membuat orang menjadi kebal terhadap godaan korupsi yakni kejujuran,