Metode untuk Network Security Assessment
Terdapat dua jenis ancaman terhadap sebuah network. Yang pertama adalah ancaman yang di lakukan oleh mereka yang bersifat coba-coba, yaitu dengan memakai network scanner dan beberapa script untuk mendapatkan hak akses (compromise). Penyerang tipe ini biasanya memanfaatkan hosts pada network tersebut untuk melakukan denial-of-service dan memakainya sebagai bouncer untuk memalsukan serangan terhadap hosts yang lain.
Ancaman kedua adalah dari penyerang yang benar-benar berniat menyerang sistem network tertentu. Penyerang ini akan mencoba mencari celah dari berbagai kemungkinan kelemahan sebuah network dengan memanfaatkan internet, dan melakukan scanning tiap IP address, mengumpulkan semua informasi pada setiap host dan setiap service yang ada. Mereka biasanya sangat memahami bagaimana sebuah sistem bekerja dan akan selalu mencoba apabila ditemukan kelemahan baru.
Metode assessment yang banyak di pakai oleh penyerang dan konsultan security adalah sebagai berikut :
1. Network enumeration, untuk indentifikasi network IP dan hosts di internet
2. Network scanning, untuk identifikasi hosts yang terbuka
3. Mengetahui kelemahan sistem (Vulnerabilities)
4. Memanfaatkan kelemahan sistem (Exploitation)
Network Enumeration
Informasi yang di dapat dari NIC WHOIS dan DNS dapat di gunakan untuk mengetahui struktur dan hosts yang terdapat pada network, tanpa perlu untuk melakukan scanning secara langsung. Langkah ini sangat penting untuk mengidentifikasi hosts yang tidak aman. Penyerang biasanya mempelajari semua peralatan dan hosts pada network.
Informasi yang di dapat dari langkah ini meliputi alamat IP, service internet yang ada, domain, sub-domain, hostname, hubungan dengan network yang lain, dan sebagainya.
Kemudian informasi ini di dipakai untuk melakukan langkah kedua, yaitu scanning, untuk mengetahui potensi kelemahan dari network. Biasanya di tahap ini juga melibatkan rekayasa sosial untuk mengetahui secara detil informasi mengenai user yang terlibat didalam sistem network. Informasi yang di dapat dari user dapat berupa nama, alamat, tanggal lahir, nomor telepon, email, dan lain sebagainya.
Network Scanning
Setelah mengetahui struktur network dari langkah sebelumnya, maka akan di lakukan scanning TCP, UDP dan ICMP untuk mengetahui hosts yang aktif, dan mengetahui service yang ada pada masing-masing hosts, seperti HTTP, FTP, SMTP, POP3.
Dalam langkah ini, akan diketahui secara detil hosts-hosts yang service TCP dan UDP-nya dapat di akses, juga peralatan2 network yang merespon ICMP, dan dapat di ketahui apakah terdapat host-based filtering, atau firewall.
Mengetahui kelemahan sistem
Vulnerabilities atau kelemahan-kelemahan yang di temukan pada program, sistem operasi, dan service-2 network, hampir setiap saat selalu ditemukan dan di umumkan pada website-website security, mailing list, forum, dan lain2.
Website yang secara aktif dan berguna untuk di gunakan dalam langkah ini seperti SecurityFocus (http://www.securityfocus.com) dan Packet Storm (http://www.packetstormsecurity.org).
Dalam langkah ini dapat dilakukan penyelidikan lebih dalam mengenai kelamahan yang ada pada sistem network. Apabila teknik scaning tidak dapat memberikan informasi lebih mendalam, maka perlu dilakukan pengujian secara manual dengan script dan tools yang berkaitan dengan memanfaatkan informasi vulnerabilities ini.
Memanfaatkan kelemahan sistem (exploit)
Setelah mengetahui kelemahan sistem network, dan memastikan bahwa script dan tools bekerja sesuai dengan yang di harapkan, maka langkah selanjutnya yang dilakukan adalah melakukan serangan dan memanfaatkan kelemahannya. Biasanya penyerang berniat untuk mendapatkan hak akses yang ilegal pada hosts, mengambil data, memodifikasi log dan memasang backdoor hingga memasang tools untuk melakukan serangan pada hosts lain pada network.