Slide 1 - Harry Chan Putra
advertisement
Mengoptimalkan
Keamanan
Jaringan Kecil
Internet Services
With
Harry Chan Putra. SP. MTCNA
harrychanputra.sp@gmail.com
http://harrychanputra.web.id
Introduction
. Name : Harry Chan Putra. SP. MTCNA
. Country : Indonesia
--- Graduate at Agronomi 2005
--- Work : Engginering On Site PT. Telkom. Tbk
--- Administrator of http://www.harrychanputra.web.id
--- Aktivis : a. Kelompok Pengguna Linux Indonesia Padang
b. MinangCrew
--- Advisor : -- Telkom Security Report
-- Bug Report to securitytracker.com with MinangCrew
--- Certificate : -- Basic and Advance Linux Training Apkomindo
-- Mikrotik Fundamental With Citraweb
-- Fundamental Cisco Inixindo
Materi
Konsep
Konfigurasi
Security
Membangun router
KONSEP
Timbulnya masalah keamanan
Kerahasiaan
Integritas
Ketersediaan
Pelakunya
Eksternal
Hackers & Crackers
White Hat Hackers
Scripts Kiddies
Cyber terrorists
Black Hat Hackers
Internal
Pengguna Layanan
Accidents
Tipe Serangan
Denial of Services (DoS)
Buffer overflows
Software error
Malware
Network flooding
Virus, worm, trojan horse
Social Engineering
Brute force
Langkah rutin cracking…
Information gathering
Port scanner
Network enumeration
Gaining & keeping root / administrator access
Using access and/or information gained
Leaving backdoor
Covering his tracks
Cara management proses keamanan
Support dari owner usaha
Bicara dengan Pemodal Usaha
Sewa white hat hackers ( Admin Network )
Pengalaman dari kejadian yang sudah2
Baca2 di internet masalah kemanan
Bagaimanan Cara Mengamankan
Membuat aturan keamanan
Komitmen dari Manajemen dan Staf
Konsep jaringan dan terapan secara teknis dan non teknis
Kontrak kerja dengan staf yang jelas
KONFIGURASI
Konsep Disain Jaringan
Secure Network Layouts
INTERNET
Router
Switch
Server subnet
User subnet(s)
Secure Network Layouts (2)
INTERNET
Router
FIREWALL appliance
Switch
Server subnet
User subnet(s)
Secure Network Layouts (3)
INTERNET
Router
FIREWALL appliance
DMZ
Web Server
Switch
FIREWALL appliance
Switch
Server subnet
User subnet(s)
Security
Mengapa ?
Resiko tak terduga
Aktivitas yang berlebihan
Apa yang dilakuan
Keamanan Secara Fisik
Amakan komputer dari penguntil hardware
dan data
Monitoring with cameras
Amankan masalah pelistrikan
Firewall
Packet filter
Stateful
Application proxy firewalls
Implementation:
Iptables dengan linux
Ipfw dan pf dari BSD
Antivirus + Firewall server dari windows
Firewall rules
Contoh Packet filter menggunakan
IPTABLES linux di jaringan
Contoh Packet filter menggunakan
firewall filter mikrotik di jaringan Lan
File & Dir permissions
Chown
Chmod
Chgrp
Amankan Information gathering
Bagaimana
Social Engineering
Apa username dan
passwordnya ?
Electronic Social
engineering: phising
Menggunakan Informasi Umum
Dig
Host
whois
Port scanning
Nmap
Which application
running
Network Mapping
Icmp
Ping
traceroute
Limiting Published Information
Disable unnecessary
services and closing
port
netstat –nlptu
Xinetd
Opening ports on the
perimeter and proxy
serving
edge + personal firewall
Amankan dari Rootkit, Spoofing,
DoS
Rootkit
Bebahaya karena :
Orang bisa masuk kapan saja
Server jadi terbuka untuk serangan
Semua yang berbau kegiatan hacking
dikerjakan oleh rootkit :
Spoofprotect
Linux untuk protek spoofing
/etc/network/options
Spoofprotect=yes
/etc/init.d/networking restart
Tindakan Pengatisipasian DDOS
IDS
IPS
Honeypots
firewall
Akibat DDOS
Intrusion Detection Software (IDS)
Examining system logs (host based)
Examining network traffic (network based)
A Combination of the two
Implementation:
Snort
Modem ADSL IDS
Date/Time
Facility
Jan 1 04:07:23
LEN=40 TOS=0×00 PREC=0×00 TTL=113 ID=336 PROTO=TCP SPT=10391 DPT=1080 WINDOW=32 RES=0×00 SYN
URGP=0
Jan 1 04:17:35
LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=2257 DF PROTO=TCP SPT=3072 DPT=139 WINDOW=64800 RES=0×00 SYN
URGP=0
Jan 1 04:25:33
LEN=48 TOS=0×00 PREC=0×00 TTL=114 ID=54968 PROTO=TCP SPT=48832 DPT=1080 WINDOW=65535 RES=0×00 SYN
URGP=0
Jan 1 04:36:02
LEN=52 TOS=0×00 PREC=0×00 TTL=50 ID=23868 DF PROTO=TCP SPT=12513 DPT=139 WINDOW=60352 RES=0×00
SYN URGP=0
Jan 1 04:46:22
LEN=48 TOS=0×00 PREC=0×00 TTL=111 ID=21235 DF PROTO=TCP SPT=2084 DPT=1433 WINDOW=65535 RES=0×00
SYN URGP=0
Jan 1 04:55:22
LEN=48 TOS=0×00 PREC=0×00 TTL=125 ID=50280 DF PROTO=TCP SPT=2456 DPT=445 WINDOW=64800 RES=0×00
SYN URGP=0
Jan 1 05:05:26
LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=46298 DF PROTO=TCP SPT=1545 DPT=135 WINDOW=64800 RES=0×00
SYN URGP=0
Jan 1 05:16:50
LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=21198 DF PROTO=TCP SPT=3555 DPT=135 WINDOW=64800 RES=0×00
SYN URGP=0
Jan 1 05:28:43
LEN=48 TOS=0×00 PREC=0×00 TTL=126 ID=11916 DF PROTO=TCP SPT=2536 DPT=135 WINDOW=16384 RES=0×00
user
user
user
user
user
user
user
user
user
Severity
alert
alert
alert
alert
alert
alert
alert
alert
alert
Message
kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=122.116.17.144 DST=125.162.87.79
kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.62.229 DST=125.162.87.79
kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=195.5.116.234 DST=125.162.87.79
kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.232.145.249 DST=125.162.87.79
kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.58.133.210 DST=125.162.87.79
kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.100.157 DST=125.162.87.79
kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.58.77 DST=125.162.87.79
kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.58.104 DST=125.162.87.79
kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.62.51 DST=125.162.87.79
Mikrotik IDS
Intrusion Preventions Software
(IPS)
Upgrade application
Active reaction (IDS = passive)
Implementation:
Portsentry
hostsentry
Honeypots
(http://www.honeynet.org)
Amankan dari Malware
Malware
Virus
Worm
Trojan horse
Spyware
On email server :
Spamassassin, ClamAV, Amavis
On Proxy server
Content filter using squidguard
Monitoring network
Firewall Check
Tips mengantisipasi masalah viruses &
worms:
Tidak membuka attachment e-mail yang diragukan isinya,
dikirimkan oleh pihak yang tidak dikenal, atau tidak
mengharapkan mendapatkan e-mail tersebut
Menghapus “junk mails” (SPAM), kecuali Anda memang
mengharapkannya
Tidak mendownload file dari orang yang tidak Anda kenal
Selalu meng-update anti-virus dan gunakan antivirus network
untuk komputer yang terhubung kejaringan
Melakukan backup & restore secara berkala terhadap data
penting yang Anda miliki
Jangan pernah membuka web site yang tidak penting
Gunakan deepfrezee dan deepfree semua partisi dan gunakan
passwordnya lebih dari 6 karakter
Amankan user and password
User and password
Aturan Password
Penggunaan karakter password
Password file security
Password audit
/etc/passwd, /etc/shadow
John the ripper
Password management software
Centralized password
Individual password management
router# cat /etc/passwd
# $FreeBSD: src/etc/master.passwd,v 1.39 2004/08/01 21:33:47 markm Exp $
#
root:*:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5:System &:/:/usr/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8:News Subsystem:/:/usr/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico
pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin
areksitiung:*:1001:0:senthod:/home/areksitiung:/bin/tcsh
squid:*:1002:1002:User &:/home/squid:/bin/sh
Amankan Remote Access
Remote access
Telnet vs SSH
VPN
Ipsec
Freeswan
Racoon
CIPE
PPTP
OpenVPN
Melindungi remote login
1. Ganti port yang tidak biasanya untuk ssh standar 22 jadi ke 222
2. Jangan langsung izinkan remote pakai user admin atau root
3. Jangan izinkan blank password
4. Batasi waktu login
ROUTER
Apa itu Router ?
sebuah alat jaringan komputer yang mengirimkan paket data
melalui
sebuah jaringan atau Internet menuju tujuannya, melalui sebuah
proses
yang dikenal sebagai routing.
Vendor router contohnya : mikrotik,cisco, vertex, juniper, huwawei,
3com,
dlink.
Anda beli produk atau kegunaannya tergantung anda ?
PC - Router
Pc yang di installkan system operasi yang memiliki
fungsi sebagai router/gw atau dedicated router.
Fungsi dan Manfaat PC-Router
?
1. Firewall untuk antisipasi aktivitas vandalisme
( virus , worm dan hacking
2. Bandwith Management untuk mengatur alokasi bandwith
dan prioritas trafik agar optimal
3. Mengatur routing di antar network untuk memudahkan
memanajemen semua host di jaringan
4. Proxy Server untuk cache web. Sehingga bandwith yang
ada dapat dimanfaatkan alokasinya untuk trafik yang lain.
System Operasi
1. Free Software
- Linux distro ( Redhat, Suse, Mandrake )
- BSD distribusinya ( FreeBSD,NetBSD,
OpenBSD )
- Open Solaris
2. Propritiary Software
- Windows ( Windows 2000, Windows 2003 )
- Mikrotik ( version 2.xxx – 3.xxx ) dan berdasarkan level
lisensi
LINUX dan BSD adalah
System Operasi komputer yang
merupakan clonning UNIX
Yang membuat beroperasinya sebuah
Mesin ( Personal Computer ).
Bagaimana Linux
berkembang ?
Ditemukan Oleh Linux Torvald tahun 1991
Menggunakan pengembangan Open Source
Berlisensi GPL (GNU Public License) dan Free Software
Didistribusikan oleh banyak perusahaan: RedHat, SuSE,
TurboLinux, Mandrake, CorelLinux, Trustix, RedFlag,
Slackware, Debian, dst
Dukungan Vendor besar: IBM, Intel, Compaq, dll
Bagaimana BSD
berkembang ?
sistem operasi bertipe Unix bebas yang diturunkan dari UNIX
AT&T lewat cabang Berkeley Software Distribution (BSD) yaitu
sistem operasi 386BSD dan 4.4BSD. FreeBSD berjalan di atas
sistem Intel x86 (IA-32) (termasuk Microsoft Xbox[1], DEC
Alpha, Sun UltraSPARC, IA-64, AMD64, PowerPC dan
arsitektur NEC PC-98. Dukungan untuk arsitektur ARM dan
MIPS sedang dalam pengembangan.
Berlisensi GPL (GNU Public License) dan Free Software
Didistribusikan oleh Komunitas FreeBSD, NetBSD, Open BSD )
Dukungan Vendor besar: IBM, Intel, Compaq, dll
Apa itu FREE ?
FREE tidak sama dengan GRATIS
FREE artinya Kebebasan :
Bebas di Duplikasi/Copy
Bebas di Ubah/Modifikasi
Bebas di distribusi/jual/sewa
LINUX and BSD is FREE SOFTWARE
Konsep free software dapat dilihat di:
http://www.fsf.org
Bagaimana dg Software
Aplikasi di Linux dan BSD?
Aplikasi Server
Web server : Apache (Free) digunakan > 60 % seluruh
dunia
Mailserver: Sendmail, Qmail; FTP Server; Fileserver,
Router, Gateway, dst
Aplikasi desktop
Staroffice (Free), mirip dengan Ms Office
The Gimp mirip dengan Photoshop
dst
Desktop : KDE
Shell BOX linux/BSD
Bagaimana dengan VIRUS,
Security, Kestabilan ?
Linux/ BSD relatif jauh lebih tahan terhadap Virus dibanding dengan
sistem operasi Microsoft Windwos/NT/2000
Linux / BSD mewarisi sistem keamanan yang paling tinggi dari sistem
operasi UNIX, jauh sebelum Microsoft Windows dikenal orang
Berbagai pengalaman telah membutktikan kestabilan Linux dan BSD,
perlakuan 'restart' hampir tidak pernah ditemui.
NO Blue Screen
Membangun Pc-router Clackconect
Standar
Tahapan Instalasi
Tahapan Konfigurasi
Tahapan Optimalisasi
Monitoring router
Tahapan Instalasi
Masukan CD INSTALASI BOOT di bios menjadi boot ke cdrom.
Akan keluar dua pilihan boot disk atau boot cd
Booting Proses
Pemilihan Bahasa
Pemilihan Type Keyboard
Pemilihan Setup
Pemilihan Media Instalasi
Pemiliahan Partisi Hardisk
Pemilihan Gateway / Standalone
Gateway mode jika kita ingin menginstall system menjadi jembatan dua network dengan mengaktifkan
firewall
Standalone mode ditujukan untuk server local network, hanya satu network card disarankan pada mode
ini.
Memilih interface network
Set Ip Addres interface ke internet
192.168.1.2
255.255.255.0
192.168.1.1
192.168.1.1
Set Ip Addres To LAN
192.168.0.254
255.255.255.0
Set Hostname PC
proxy
e-com.war.net.id
Pemilihan Date/Time
Pengisian Passowrd root
Tempat penginstalan
Pemilihan paket instalasi
Tahapan Penginstalan
Format partisi dan instalasi paket
Finish dan BooT
Menu Login
Tahapan Konfigurasi
Running IE or Mozilla and access ip lan router https://192.168.0.254:81
Menu Awal
Setup Proxy Server
Setup DANSGUARDIAN
Bandwith Management
Firewall
Blocking Peer-To-Peer
Tahapan Optimalisasi
Matikan services yang tidak perlu untuk mengurangi proses
backgound agar pemakaian memory lebih hemat
Tambahkan firewall tambahan jika di butuhkan jika di rasa dengan
firewall bawaan dari clackconect masih kurang
Perubahan settingan pada proxy jika di perlukan untuk
pengoptimalan jalannya proxy
Monitoring System
Monitoring Trafik
Untuk mencek situs yang di akses oleh pc client
#tail -f /var/log/squid/access.log
Cek Koneksi
#ipstate
Membangun Pc-router Mikrotik
Standar
Tahapan Instalasi
Tahapan Configuration
Tahapan Pengoptimalan
Monitoring Router
Tahapan Instalasi
Masukan CD INSTALASI BOOT di bios menjadi boot ke cdrom.
Akan keluar dua pilihan boot disk atau boot cd
Pemilihat paket instalasi
Running instalasi dan reboot
Menu Shell
Tahapan Configurasi
Set Interface with shell and Winbox
Set Interface Name
Setup Interface Name
/interface set 0 name=Public
name=Local
/Interface Set 1
Set Ip Address
Set Ip Address
/ip address add address=192.168.1.2 netmask= 255.255.255.0
interface=Public Comment=Link To Modem
/ip address add address=192.168.0.254 netmask= 255.255.255.0
interface=Local Comment=Link Lan
Set Ip route to Gw
Set ip route ke gw ke modem
/ip route add gateway=192.168.1.2 comment=Link Ke Modem
Set Dns server
Set DNS Server
/ip dns primary-dns=203.130.193.74 secondary-dns=202.134.0.155 allowremote-request=yes
Set sharing access
Set Nat Sharing Access
/ip firewall nat add chain=dst-nat ouput-interface=Public Comment=Nat
Sharing
Set Ip-WebProxy
Setup Ip-Web-Proxy
ip web-proxy set enabled=yes port=8080 hostname="proxy.admin.war.net.id" transparentproxy=yes parent-proxy=0.0.0.0:0 cache-administrator="webmaster@admin.war.net.id" maxobject-size=4096KiB cache-drive=system max-cache-size=1048576KiB max-ram-cachesize=unlimited
Transparan proxy
Set proxy Tranparan
/ ip firewall nat
add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 comment="Proxy MIx" disabled=yes
add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080 comment="" disabled=yes
add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports=8080 comment="" disabled=yes
Blocking Situs Terlarang
Setup Blocking Situs terlarang
/ ip web-proxy access
add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" disabled=no
add url="**suck***" action=deny comment="P O R N O" disabled=no
add url="*nude*" action=deny comment="" disabled=no
Setup Cache Situs
Setup File Cache web proxy
/ ip web-proxy cache
add url=":cgi-bin \\?" action=deny comment="don't cache dynamic http pages"
add url=":cgi-bin \\?" action=deny comment="don't cache dynamic http pages"
add url="\\.exe\$" action=allow comment="" disabled=no
add url="\\.zip\$" action=allow comment="" disabled=no
add url="\\.mpeg\$" action=allow comment="" disabled=no
disabled=no
disabled=no
Bandwith Manajemen
Simple Script to Queues
/queues simple add name="QOS" dst-address=0.0.0.0/0 interface=all
parent=none direction=both \
priority=8 queue=default-small/default-small limit-at=0/0 \
max-limit=1000000/1800000 total-queue=default-small
disabled=no
:for z from 2 to 254 do={/queue simple add name=(0. . $z) targetaddresses=(192.168.0. . $z) \
parent="QOS" interface=all priority=4 queue=default/default maxlimit=128000/530000 \
total-queue=default}
Tahapan Optimalisasi
Instal pakat sesuai kebutuhan sajan atau standar2 saja seperti
admintool, security paket, webproxy
Matikan services yang tidak perlu untuk mengurangi proses
backgound agar pemakaian memory lebih hemat kalau mau
dipakai juga mesti memperhitungkan jumlah memory dan hardisk.
Tambahkan firewall tambahan jika di butuhkan jika di rasakan
perlu.
Perubahan settingan pada proxy jika di perlukan untuk
pengoptimalan jalannya proxy dan juga memperhitungkan cpu
load dan resource pcnya
Monitoring Trafik
http://harrychanputra.web.id
Harrychanputra.sp@gmail.com
Thanks to :
- Primadonal - http://primadonal.wordpress.com
- Harinto - http://harinto.wordpresss.com
- Tommy – Owner Central.Net
- Hengky – Owner Vega.Net
- All Team C4 and EOS Telkom
Atas uji coba router2nya dan tempat usahanya
KELOMPOK PENGGUNA LINUX PADANG
The End
Bye-Bye
