Post on 30-Jun-2015
description
With Harry Chan Putra. SP. MTCNA
Mengoptimalkan Keamanan
Jaringan Kecil Internet Services
http://harrychanputra.web.id
harrychanputra.sp@gmail.com
Introduction
. Name : Harry Chan Putra. SP. MTCNA
. Country : Indonesia --- Graduate at Agronomi 2005--- Work : Engginering On Site PT. Telkom. Tbk--- Administrator of http://www.harrychanputra.web.id--- Aktivis : a. Kelompok Pengguna Linux Indonesia Padang b. MinangCrew--- Advisor : -- Telkom Security Report -- Bug Report to securitytracker.com with MinangCrew--- Certificate : -- Basic and Advance Linux Training Apkomindo -- Mikrotik Fundamental With Citraweb -- Fundamental Cisco Inixindo
Materi
Konsep Konfigurasi Security Membangun router
KONSEP
Timbulnya masalah keamanan Kerahasiaan Integritas Ketersediaan
Pelakunya Eksternal
Hackers & Crackers White Hat Hackers Scripts Kiddies Cyber terrorists Black Hat Hackers
Internal Pengguna Layanan Accidents
Tipe Serangan Denial of Services (DoS)
Network flooding Buffer overflows
Software error Malware
Virus, worm, trojan horse Social Engineering Brute force
Langkah rutin cracking… Information gathering Port scanner Network enumeration Gaining & keeping root / administrator access Using access and/or information gained Leaving backdoor Covering his tracks
Cara management proses keamanan Support dari owner usaha
Bicara dengan Pemodal Usaha Sewa white hat hackers ( Admin Network ) Pengalaman dari kejadian yang sudah2 Baca2 di internet masalah kemanan
Bagaimanan Cara Mengamankan
Membuat aturan keamanan Komitmen dari Manajemen dan Staf Konsep jaringan dan terapan secara teknis dan non teknis Kontrak kerja dengan staf yang jelas
KONFIGURASI
Konsep Disain Jaringan
Secure Network Layouts
INTERNET
Router
Switch
Server subnet User subnet(s)
Secure Network Layouts (2)
INTERNET
Router
Switch
Server subnet User subnet(s)
FIREWALL appliance
Secure Network Layouts (3)
INTERNET
Router
Switch
Server subnet User subnet(s)
FIREWALL appliance
FIREWALL appliance
SwitchWeb Server
DMZ
Security
Mengapa ?
Resiko tak terduga
Aktivitas yang berlebihan
Apa yang dilakuan
Keamanan Secara Fisik Amakan komputer dari penguntil hardware
dan data Monitoring with cameras Amankan masalah pelistrikan
Firewall Packet filter Stateful Application proxy firewalls Implementation:
Iptables dengan linux Ipfw dan pf dari BSD Antivirus + Firewall server dari windows
Firewall rules
Contoh Packet filter menggunakan IPTABLES linux di jaringan
Contoh Packet filter menggunakan firewall filter mikrotik di jaringan Lan
File & Dir permissions Chown Chmod Chgrp
Amankan Information gathering
Bagaimana Social Engineering
Apa username dan passwordnya ?
Electronic Social engineering: phising
Menggunakan Informasi Umum
Dig Host whois
Port scanning Nmap
Which application running
Network Mapping Icmp
Ping traceroute
Limiting Published Information Disable unnecessary
services and closing port netstat –nlptu Xinetd
Opening ports on the perimeter and proxy serving edge + personal firewall
Amankan dari Rootkit, Spoofing, DoS
RootkitBebahaya karena : Orang bisa masuk kapan saja Server jadi terbuka untuk serangan Semua yang berbau kegiatan hacking
dikerjakan oleh rootkit :
Spoofprotect
Linux untuk protek spoofing /etc/network/options
Spoofprotect=yes
/etc/init.d/networking restart
Tindakan Pengatisipasian DDOS IDS IPS Honeypots firewall
Akibat DDOS
Intrusion Detection Software (IDS) Examining system logs (host based) Examining network traffic (network based) A Combination of the two Implementation:
Snort
Modem ADSL IDS Date/Time Facility Severity Message
Jan 1 04:07:23 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=122.116.17.144 DST=125.162.87.79
LEN=40 TOS=0×00 PREC=0×00 TTL=113 ID=336 PROTO=TCP SPT=10391 DPT=1080 WINDOW=32 RES=0×00 SYN URGP=0
Jan 1 04:17:35 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.62.229 DST=125.162.87.79
LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=2257 DF PROTO=TCP SPT=3072 DPT=139 WINDOW=64800 RES=0×00 SYN URGP=0
Jan 1 04:25:33 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=195.5.116.234 DST=125.162.87.79
LEN=48 TOS=0×00 PREC=0×00 TTL=114 ID=54968 PROTO=TCP SPT=48832 DPT=1080 WINDOW=65535 RES=0×00 SYN URGP=0
Jan 1 04:36:02 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.232.145.249 DST=125.162.87.79
LEN=52 TOS=0×00 PREC=0×00 TTL=50 ID=23868 DF PROTO=TCP SPT=12513 DPT=139 WINDOW=60352 RES=0×00 SYN URGP=0
Jan 1 04:46:22 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.58.133.210 DST=125.162.87.79
LEN=48 TOS=0×00 PREC=0×00 TTL=111 ID=21235 DF PROTO=TCP SPT=2084 DPT=1433 WINDOW=65535 RES=0×00 SYN URGP=0
Jan 1 04:55:22 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.100.157 DST=125.162.87.79
LEN=48 TOS=0×00 PREC=0×00 TTL=125 ID=50280 DF PROTO=TCP SPT=2456 DPT=445 WINDOW=64800 RES=0×00 SYN URGP=0
Jan 1 05:05:26 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.58.77 DST=125.162.87.79
LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=46298 DF PROTO=TCP SPT=1545 DPT=135 WINDOW=64800 RES=0×00 SYN URGP=0
Jan 1 05:16:50 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.58.104 DST=125.162.87.79
LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=21198 DF PROTO=TCP SPT=3555 DPT=135 WINDOW=64800 RES=0×00 SYN URGP=0
Jan 1 05:28:43 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.62.51 DST=125.162.87.79
LEN=48 TOS=0×00 PREC=0×00 TTL=126 ID=11916 DF PROTO=TCP SPT=2536 DPT=135 WINDOW=16384 RES=0×00 SYN URGP=0
Jan 1 05:36:32 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.92.191 DST=125.162.87.79
LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=61656 DF PROTO=TCP SPT=3036 DPT=445 WINDOW=64800 RES=0×00 SYN URGP=0
Jan 1 05:47:49 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=195.5.116.234 DST=125.162.87.79
Mikrotik IDS
Intrusion Preventions Software (IPS) Upgrade application Active reaction (IDS = passive) Implementation:
Portsentry hostsentry
Honeypots (http://www.honeynet.org)
Amankan dari Malware
Malware Virus Worm Trojan horse Spyware
On email server : Spamassassin, ClamAV, Amavis
On Proxy server Content filter using squidguard
Monitoring network
Firewall Check
Tips mengantisipasi masalah viruses & worms:
Tidak membuka attachment e-mail yang diragukan isinya, dikirimkan oleh pihak yang tidak dikenal, atau tidak mengharapkan mendapatkan e-mail tersebut
Menghapus “junk mails” (SPAM), kecuali Anda memang mengharapkannya
Tidak mendownload file dari orang yang tidak Anda kenal Selalu meng-update anti-virus dan gunakan antivirus
network untuk komputer yang terhubung kejaringan Melakukan backup & restore secara berkala terhadap
data penting yang Anda miliki Jangan pernah membuka web site yang tidak penting Gunakan deepfrezee dan deepfree semua partisi dan
gunakan passwordnya lebih dari 6 karakter
Amankan user and password
User and password Aturan Password Penggunaan karakter password Password file security
/etc/passwd, /etc/shadow Password audit
John the ripper Password management software
Centralized password Individual password management
router# cat /etc/passwd# $FreeBSD: src/etc/master.passwd,v 1.39 2004/08/01 21:33:47 markm Exp $#root:*:0:0:Charlie &:/root:/bin/cshtoor:*:0:0:Bourne-again Superuser:/root:daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologinoperator:*:2:5:System &:/:/usr/sbin/nologinbin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologintty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologinkmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologingames:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologinnews:*:8:8:News Subsystem:/:/usr/sbin/nologinman:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologinsshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologinsmmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologinmailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologinbind:*:53:53:Bind Sandbox:/:/usr/sbin/nologinproxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologinuucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucicopop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologinwww:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologinnobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologinareksitiung:*:1001:0:senthod:/home/areksitiung:/bin/tcshsquid:*:1002:1002:User &:/home/squid:/bin/sh
Amankan Remote Access
Remote access Telnet vs SSH VPN
Ipsec Freeswan Racoon
CIPE PPTP OpenVPN
Melindungi remote login1. Ganti port yang tidak biasanya untuk ssh standar 22 jadi ke 222 2. Jangan langsung izinkan remote pakai user admin atau root3. Jangan izinkan blank password4. Batasi waktu login
ROUTER
Apa itu Router ?sebuah alat jaringan komputer yang mengirimkan paket data melalui sebuah jaringan atau Internet menuju tujuannya, melalui sebuah proses yang dikenal sebagai routing.Vendor router contohnya : mikrotik,cisco, vertex, juniper, huwawei, 3com, dlink. Anda beli produk atau kegunaannya tergantung anda ?
PC - Router
Pc yang di installkan system operasi yang memiliki fungsi sebagai router/gw atau dedicated router.
Fungsi dan Manfaat PC-Router ?
1. Firewall untuk antisipasi aktivitas vandalisme ( virus , worm dan hacking2. Bandwith Management untuk mengatur alokasi bandwith dan prioritas trafik agar optimal3. Mengatur routing di antar network untuk memudahkan memanajemen semua host di jaringan 4. Proxy Server untuk cache web. Sehingga bandwith yang ada dapat dimanfaatkan alokasinya untuk trafik yang lain.
System Operasi
1. Free Software - Linux distro ( Redhat, Suse, Mandrake ) - BSD distribusinya ( FreeBSD,NetBSD, OpenBSD ) - Open Solaris2. Propritiary Software - Windows ( Windows 2000, Windows 2003 ) - Mikrotik ( version 2.xxx – 3.xxx ) dan berdasarkan level lisensi
LINUX dan BSD adalah
System Operasi komputer yang merupakan clonning UNIX Yang membuat beroperasinya sebuah Mesin ( Personal Computer ).
Bagaimana Linux berkembang ? Ditemukan Oleh Linux Torvald tahun 1991 Menggunakan pengembangan Open Source Berlisensi GPL (GNU Public License) dan Free
Software Didistribusikan oleh banyak perusahaan: RedHat,
SuSE, TurboLinux, Mandrake, CorelLinux, Trustix, RedFlag, Slackware, Debian, dst
Dukungan Vendor besar: IBM, Intel, Compaq, dll
Bagaimana BSDberkembang ? sistem operasi bertipe Unix bebas yang diturunkan dari
UNIX AT&T lewat cabang Berkeley Software Distribution (BSD) yaitu sistem operasi 386BSD dan 4.4BSD. FreeBSD berjalan di atas sistem Intel x86 (IA-32) (termasuk Microsoft Xbox[1], DEC Alpha, Sun UltraSPARC, IA-64, AMD64, PowerPC dan arsitektur NEC PC-98. Dukungan untuk arsitektur ARM dan MIPS sedang dalam pengembangan.
Berlisensi GPL (GNU Public License) dan Free Software Didistribusikan oleh Komunitas FreeBSD, NetBSD, Open
BSD ) Dukungan Vendor besar: IBM, Intel, Compaq, dll
Apa itu FREE ?
FREE tidak sama dengan GRATIS FREE artinya Kebebasan :
Bebas di Duplikasi/Copy Bebas di Ubah/Modifikasi Bebas di distribusi/jual/sewa
LINUX and BSD is FREE SOFTWAREKonsep free software dapat dilihat di:http://www.fsf.org
Bagaimana dg Software Aplikasi di Linux dan BSD? Aplikasi Server
Web server : Apache (Free) digunakan > 60 % seluruh dunia
Mailserver: Sendmail, Qmail; FTP Server; Fileserver, Router, Gateway, dst
Aplikasi desktop Staroffice (Free), mirip dengan Ms Office The Gimp mirip dengan Photoshop dst
Desktop : KDE
Shell BOX linux/BSD
Bagaimana dengan VIRUS, Security, Kestabilan ? Linux/ BSD relatif jauh lebih tahan terhadap Virus dibanding
dengan sistem operasi Microsoft Windwos/NT/2000 Linux / BSD mewarisi sistem keamanan yang paling tinggi dari
sistem operasi UNIX, jauh sebelum Microsoft Windows dikenal orang
Berbagai pengalaman telah membutktikan kestabilan Linux dan BSD, perlakuan 'restart' hampir tidak pernah ditemui.
NO Blue Screen
Membangun Pc-router Clackconect Standar Tahapan Instalasi Tahapan Konfigurasi Tahapan Optimalisasi Monitoring router
Tahapan Instalasi
Masukan CD INSTALASI BOOT di bios menjadi boot ke cdrom. Akan keluar dua pilihan boot disk atau boot cd
Booting Proses
Pemilihan Bahasa
Pemilihan Type Keyboard
Pemilihan Setup
Pemilihan Media Instalasi
Pemiliahan Partisi Hardisk
Pemilihan Gateway / Standalone
Gateway mode jika kita ingin menginstall system menjadi jembatan dua network dengan mengaktifkan firewall
Standalone mode ditujukan untuk server local network, hanya satu network card disarankan pada mode ini.
Memilih interface network
Set Ip Addres interface ke internet
192.168.1.2255.255.255.0192.168.1.1192.168.1.1
Set Ip Addres To LAN
192.168.0.254255.255.255.0
Set Hostname PC
proxye-com.war.net.id
Pemilihan Date/Time
Pengisian Passowrd root
Tempat penginstalan
Pemilihan paket instalasi
Tahapan Penginstalan
Format partisi dan instalasi paket
Finish dan BooT
Menu Login
Tahapan Konfigurasi
Running IE or Mozilla and access ip lan router https://192.168.0.254:81
Menu Awal
Setup Proxy Server
Setup DANSGUARDIAN
Bandwith Management
Firewall
Blocking Peer-To-Peer
Tahapan Optimalisasi
Matikan services yang tidak perlu untuk mengurangi proses backgound agar pemakaian memory lebih hemat
Tambahkan firewall tambahan jika di butuhkan jika di rasa dengan firewall bawaan dari clackconect masih kurang
Perubahan settingan pada proxy jika di perlukan untuk pengoptimalan jalannya proxy
Monitoring System
Monitoring Trafik
Untuk mencek situs yang di akses oleh pc client #tail -f /var/log/squid/access.log
Cek Koneksi#ipstate
Membangun Pc-router Mikrotik Standar Tahapan Instalasi Tahapan Configuration Tahapan Pengoptimalan Monitoring Router
Tahapan Instalasi
Masukan CD INSTALASI BOOT di bios menjadi boot ke cdrom. Akan keluar dua pilihan boot disk atau boot cd
Pemilihat paket instalasi
Running instalasi dan reboot
Menu Shell
Tahapan Configurasi Set Interface with shell and Winbox
Set Interface Name
Setup Interface Name /interface set 0 name=Public /Interface Set 1 name=Local
Set Ip Address
Set Ip Address/ip address add address=192.168.1.2 netmask= 255.255.255.0 interface=Public Comment=Link To Modem/ip address add address=192.168.0.254 netmask= 255.255.255.0 interface=Local Comment=Link Lan
Set Ip route to Gw
Set ip route ke gw ke modem/ip route add gateway=192.168.1.2 comment=Link Ke Modem
Set Dns server
Set DNS Server/ip dns primary-dns=203.130.193.74 secondary-dns=202.134.0.155 allow-remote-request=yes
Set sharing access
Set Nat Sharing Access /ip firewall nat add chain=dst-nat ouput-interface=Public Comment=Nat Sharing
Set Ip-WebProxy
Setup Ip-Web-Proxy ip web-proxy set enabled=yes port=8080 hostname="proxy.admin.war.net.id" transparent-proxy=yes parent-proxy=0.0.0.0:0 cache-administrator="webmaster@admin.war.net.id" max-object-size=4096KiB cache-drive=system max-cache-size=1048576KiB max-ram-cache-size=unlimited
Transparan proxy
Set proxy Tranparan/ ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 comment="Proxy MIx" disabled=yes add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080 comment="" disabled=yes add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports=8080 comment="" disabled=yes
Blocking Situs Terlarang
Setup Blocking Situs terlarang/ ip web-proxy access add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" disabled=no add url="**suck***" action=deny comment="P O R N O" disabled=no add url="*nude*" action=deny comment="" disabled=no
Setup Cache Situs
Setup File Cache web proxy/ ip web-proxy cache add url=":cgi-bin \\?" action=deny comment="don't cache dynamic http pages" disabled=no add url=":cgi-bin \\?" action=deny comment="don't cache dynamic http pages" disabled=no add url="\\.exe\$" action=allow comment="" disabled=no add url="\\.zip\$" action=allow comment="" disabled=no add url="\\.mpeg\$" action=allow comment="" disabled=no
Bandwith Manajemen
Simple Script to Queues
/queues simple add name="QOS" dst-address=0.0.0.0/0 interface=all parent=none direction=both \ priority=8 queue=default-small/default-small limit-at=0/0 \ max-limit=1000000/1800000 total-queue=default-small disabled=no
:for z from 2 to 254 do={/queue simple add name=(0. . $z) target-addresses=(192.168.0. . $z) \parent="QOS" interface=all priority=4 queue=default/default max-limit=128000/530000 \total-queue=default}
Tahapan Optimalisasi
Instal pakat sesuai kebutuhan sajan atau standar2 saja seperti admintool, security paket, webproxy
Matikan services yang tidak perlu untuk mengurangi proses backgound agar pemakaian memory lebih hemat kalau mau dipakai juga mesti memperhitungkan jumlah memory dan hardisk.
Tambahkan firewall tambahan jika di butuhkan jika di rasakan perlu.
Perubahan settingan pada proxy jika di perlukan untuk pengoptimalan jalannya proxy dan juga memperhitungkan cpu load dan resource pcnya
Monitoring Trafik
Harrychanputra.sp@gmail.com
http://harrychanputra.web.id
KELOMPOK PENGGUNA LINUX PADANG
Thanks to : - Primadonal - http://primadonal.wordpress.com- Harinto - http://harinto.wordpresss.com- Tommy – Owner Central.Net - Hengky – Owner Vega.Net - All Team C4 and EOS Telkom Atas uji coba router2nya dan tempat usahanya
Bye-Bye
The End