Difference between revisions of "IPv6 Security: Audit Security"

From OnnoWiki
Jump to navigation Jump to search
(New page: 19.3. IPv6 security auditing Currently there are no comfortable tools out which are able to check a system over network for IPv6 security issues. Neither Nessus nor any commercial securit...)
 
 
(21 intermediate revisions by the same user not shown)
Line 1: Line 1:
19.3. IPv6 security auditing
+
Fasilitas / tool untuk melakukan security audit pada jaringan IPv6 masih terus di kembangkan.
 +
Tool yang ada memang belum sebaik yang tersedia di IPv4.
  
Currently there are no comfortable tools out which are able to check a system over network for IPv6 security issues. Neither Nessus nor any commercial security scanner is as far as I know able to scan IPv6 addresses.
 
19.3.1. Legal issues
 
  
ATTENTION: always take care that you only scan your own systems or after receiving a written order, otherwise legal issues are able to come up to you. CHECK destination IPv6 addresses TWICE before starting a scan.
+
==Masalah Hukum / Legal==
19.3.2. Security auditing using IPv6-enabled netcat
 
  
With the IPv6-enabled netcat (see IPv6+Linux-status-apps/security-auditing for more) you can run a portscan by wrapping a script around which run through a port range, grab banners and so on. Usage example:
+
'''PERHATIAN:''' berhati-hati saat melakukan scan ke sistem yang kita gunakan, jika tidak mungkin kita akan terkena masalah hukum. CEK tujuan IPv6 address DUA KALI sebelum melakukan scan.
  
# nc6 ::1 daytime
 
13 JUL 2002 11:22:22 CEST
 
  
19.3.3. Security auditing using IPv6-enabled nmap
+
==Audit Security Menggunakan netcat yang IPv6==
  
NMap, one of the best portscaner around the world, supports IPv6 since version 3.10ALPHA1. Usage example:
+
Dengan menggunakan netcat IPv6-enabled kita dapat menjalankan portscan dengan membungkusnya dengan script dan melakukannya pada range port tertentu, untuk menangkap banner dll.
  
# nmap -6 -sT ::1
+
Contoh penggunaan:  
Starting nmap V. 3.10ALPHA3 ( www.insecure.org/nmap/ )
 
Interesting ports on localhost6 (::1):
 
(The 1600 ports scanned but not shown below are in state: closed)
 
Port      State      Service
 
22/tcp    open        ssh
 
53/tcp    open        domain
 
515/tcp    open        printer
 
2401/tcp  open        cvspserver
 
Nmap run completed -- 1 IP address (1 host up) scanned in 0.525 seconds
 
  
19.3.4. Security auditing using IPv6-enabled strobe
+
apt update
 +
apt install netcat
  
Strobe is a (compared to NMap) more a low budget portscanner, but there is an IPv6-enabling patch available (see IPv6+Linux-status-apps/security-auditing for more). Usage example:
+
Jika anda mempunyai server daytime di localhost, dapat melakukan scan:
  
# ./strobe ::1 strobe 1.05 (c) 1995-1999 Julian Assange <proff@iq.org>.
+
nc ::1 daytime
::1 2401 unassigned unknown
+
13 JUL 2002 11:22:22 CEST
::1 22 ssh Secure Shell - RSA encrypted rsh
 
::1 515 printer spooler (lpd)
 
::1 6010 unassigned unknown
 
::1 53 domain Domain Name Server
 
  
Note: strobe isn't really developed further on, the shown version number isn't the right one.
+
Contoh lain jika kita mempunyai server, misalnya SMTP (port 25), maka
19.3.5. Audit results
 
  
If the result of an audit mismatch your IPv6 security policy, use IPv6 firewalling to close the holes, e.g. using netfilter6 (see Firewalling/Netfilter6 for more).
+
nc ::1 25
 +
220 axioo ESMTP Postfix (Ubuntu)
  
Info: More detailed information concerning IPv6 Security can be found here:
+
==Security auditing menggunakan nmap IPv6-enabled==
  
    IETF drafts - IPv6 Operations (v6ops)
+
NMap, salah satu portscaner terbaik di dunia, mendukung IPv6 sejak versi 3.10ALPHA1.  Instalasi dapat menggunakan perintah
  
    RFC 3964 / Security Considerations for 6to4
+
apt update
 +
apt install nmap
 +
 
 +
Contoh penggunaan:
 +
 
 +
nmap -6 -sS -v -Pn 2345::1
 +
 
 +
Hasil-nya kira-kira
 +
 
 +
Starting Nmap 7.60 ( https://nmap.org ) at 2019-02-15 11:28 WIB
 +
Initiating ND Ping Scan at 11:28
 +
Scanning 2345::1 [1 port]
 +
Completed ND Ping Scan at 11:28, 0.20s elapsed (1 total hosts)
 +
Initiating Parallel DNS resolution of 1 host. at 11:28
 +
Completed Parallel DNS resolution of 1 host. at 11:28, 0.00s elapsed
 +
Initiating SYN Stealth Scan at 11:28
 +
Scanning 2345::1 [1000 ports]
 +
Discovered open port 443/tcp on 2345::1
 +
Discovered open port 25/tcp on 2345::1
 +
Discovered open port 53/tcp on 2345::1
 +
Discovered open port 143/tcp on 2345::1
 +
Discovered open port 21/tcp on 2345::1
 +
Discovered open port 22/tcp on 2345::1
 +
Discovered open port 445/tcp on 2345::1
 +
Discovered open port 80/tcp on 2345::1
 +
Discovered open port 139/tcp on 2345::1
 +
Discovered open port 110/tcp on 2345::1
 +
Completed SYN Stealth Scan at 11:28, 3.06s elapsed (1000 total ports)
 +
Nmap scan report for 2345::1
 +
Host is up (0.00028s latency).
 +
Not shown: 990 closed ports
 +
PORT    STATE SERVICE
 +
21/tcp  open  ftp
 +
22/tcp  open  ssh
 +
25/tcp  open  smtp
 +
53/tcp  open  domain
 +
80/tcp  open  http
 +
110/tcp open  pop3
 +
139/tcp open  netbios-ssn
 +
143/tcp open  imap
 +
443/tcp open  https
 +
445/tcp open  microsoft-ds
 +
MAC Address: 08:00:27:13:AF:DF (Oracle VirtualBox virtual NIC)
 +
 +
Read data files from: /usr/bin/../share/nmap
 +
Nmap done: 1 IP address (1 host up) scanned in 3.36 seconds
 +
            Raw packets sent: 1030 (65.928KB) | Rcvd: 1030 (61.856KB)
 +
 
 +
 
 +
==Security auditing menggunakan zenmap==
 +
 
 +
Zenmap adalah GUI Nmap Security Scanner yang resmi. Ini adalah multi-platform (Linux, Windows, Mac OS X, BSD, dll.) Aplikasi gratis dan open source yang bertujuan untuk membuat Nmap mudah bagi pemula untuk digunakan sambil menyediakan fitur-fitur canggih untuk pengguna Nmap yang berpengalaman. Pemindaian yang sering digunakan dapat disimpan sebagai profil agar mudah dijalankan berulang kali. Pembuat perintah memungkinkan pembuatan baris perintah Nmap secara interaktif. Hasil pemindaian dapat disimpan dan dilihat kemudian. Hasil pemindaian yang disimpan dapat dibandingkan satu sama lain untuk melihat perbedaannya. Hasil pemindaian terbaru disimpan dalam database agar dapat mudah dicari. Informasi lebih lanjut tentang Zenmap bisa di baca di
 +
 
 +
http://nmap.org/zenmap/
 +
 
 +
Instalasi zenmap
 +
 
 +
apt install zenmap
 +
 
 +
Hasil scan, kira-kira,
 +
 
 +
[[File:Screenshot from 2019-02-15 14-23-17.png|center|200px|thumb]]
 +
 
 +
[[File:Screenshot from 2019-02-15 14-23-34.png|center|200px|thumb]]
 +
 
 +
'''CATATAN:''' kita perlu menambahkan -6 sesudah nmap untuk melakukan port scanning terhadap mesin IPv6.
 +
 
 +
==Hasil Audit==
 +
 
 +
Jika hasil audit ternyata tidak cocok dengan kebijakan keamanan IPv6, gunakan firewall IPv6 untuk menutup lubang yang ada, misalnya, menggunakan netfilter6 atau ufw.
 +
 
 +
Informasi tambahan: Lebih detail tentang IPv6 Security dapat di peroleh disini:
 +
 
 +
* IETF drafts - IPv6 Operations (v6ops)
 +
* RFC 3964 / Security Considerations for 6to4
 +
 
 +
==Pranala Menarik==
 +
 
 +
* [[IPv6]]

Latest revision as of 10:28, 19 February 2019

Fasilitas / tool untuk melakukan security audit pada jaringan IPv6 masih terus di kembangkan. Tool yang ada memang belum sebaik yang tersedia di IPv4.


Masalah Hukum / Legal

PERHATIAN: berhati-hati saat melakukan scan ke sistem yang kita gunakan, jika tidak mungkin kita akan terkena masalah hukum. CEK tujuan IPv6 address DUA KALI sebelum melakukan scan.


Audit Security Menggunakan netcat yang IPv6

Dengan menggunakan netcat IPv6-enabled kita dapat menjalankan portscan dengan membungkusnya dengan script dan melakukannya pada range port tertentu, untuk menangkap banner dll.

Contoh penggunaan:

apt update
apt install netcat

Jika anda mempunyai server daytime di localhost, dapat melakukan scan:

nc ::1 daytime 
13 JUL 2002 11:22:22 CEST 

Contoh lain jika kita mempunyai server, misalnya SMTP (port 25), maka

nc ::1 25 
220 axioo ESMTP Postfix (Ubuntu)

Security auditing menggunakan nmap IPv6-enabled

NMap, salah satu portscaner terbaik di dunia, mendukung IPv6 sejak versi 3.10ALPHA1. Instalasi dapat menggunakan perintah

apt update
apt install nmap

Contoh penggunaan:

nmap -6 -sS -v -Pn 2345::1

Hasil-nya kira-kira

Starting Nmap 7.60 ( https://nmap.org ) at 2019-02-15 11:28 WIB
Initiating ND Ping Scan at 11:28
Scanning 2345::1 [1 port]
Completed ND Ping Scan at 11:28, 0.20s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 11:28
Completed Parallel DNS resolution of 1 host. at 11:28, 0.00s elapsed
Initiating SYN Stealth Scan at 11:28
Scanning 2345::1 [1000 ports]
Discovered open port 443/tcp on 2345::1
Discovered open port 25/tcp on 2345::1
Discovered open port 53/tcp on 2345::1
Discovered open port 143/tcp on 2345::1
Discovered open port 21/tcp on 2345::1
Discovered open port 22/tcp on 2345::1
Discovered open port 445/tcp on 2345::1
Discovered open port 80/tcp on 2345::1
Discovered open port 139/tcp on 2345::1
Discovered open port 110/tcp on 2345::1
Completed SYN Stealth Scan at 11:28, 3.06s elapsed (1000 total ports)
Nmap scan report for 2345::1
Host is up (0.00028s latency).
Not shown: 990 closed ports
PORT    STATE SERVICE
21/tcp  open  ftp
22/tcp  open  ssh
25/tcp  open  smtp
53/tcp  open  domain
80/tcp  open  http
110/tcp open  pop3
139/tcp open  netbios-ssn
143/tcp open  imap
443/tcp open  https
445/tcp open  microsoft-ds
MAC Address: 08:00:27:13:AF:DF (Oracle VirtualBox virtual NIC)

Read data files from: /usr/bin/../share/nmap
Nmap done: 1 IP address (1 host up) scanned in 3.36 seconds
           Raw packets sent: 1030 (65.928KB) | Rcvd: 1030 (61.856KB)


Security auditing menggunakan zenmap

Zenmap adalah GUI Nmap Security Scanner yang resmi. Ini adalah multi-platform (Linux, Windows, Mac OS X, BSD, dll.) Aplikasi gratis dan open source yang bertujuan untuk membuat Nmap mudah bagi pemula untuk digunakan sambil menyediakan fitur-fitur canggih untuk pengguna Nmap yang berpengalaman. Pemindaian yang sering digunakan dapat disimpan sebagai profil agar mudah dijalankan berulang kali. Pembuat perintah memungkinkan pembuatan baris perintah Nmap secara interaktif. Hasil pemindaian dapat disimpan dan dilihat kemudian. Hasil pemindaian yang disimpan dapat dibandingkan satu sama lain untuk melihat perbedaannya. Hasil pemindaian terbaru disimpan dalam database agar dapat mudah dicari. Informasi lebih lanjut tentang Zenmap bisa di baca di

http://nmap.org/zenmap/

Instalasi zenmap

apt install zenmap

Hasil scan, kira-kira,

Screenshot from 2019-02-15 14-23-17.png
Screenshot from 2019-02-15 14-23-34.png

CATATAN: kita perlu menambahkan -6 sesudah nmap untuk melakukan port scanning terhadap mesin IPv6.

Hasil Audit

Jika hasil audit ternyata tidak cocok dengan kebijakan keamanan IPv6, gunakan firewall IPv6 untuk menutup lubang yang ada, misalnya, menggunakan netfilter6 atau ufw.

Informasi tambahan: Lebih detail tentang IPv6 Security dapat di peroleh disini:

  • IETF drafts - IPv6 Operations (v6ops)
  • RFC 3964 / Security Considerations for 6to4

Pranala Menarik