You are on page 1of 6

Nama : Reza Anditama J.

Tanggal : 03 – 02 - 2011
AUTHENTIKASI DAN
Kelas : 3 TKJ A Pemateri : Pa Nusirwan&Pa Dodi
OPTIMALISASI PROXY
No . Absen : 31 Materi : Admin Server

AUTENTIFIKASI PROXY

Autentikasi proxy adalah sebuah proxy yang membutuhkan hak akses apabila klien ingin
mengaksesnya. Hak akses ini berupa username dan password yang telah terdaftar pada server
proxy. Proxy server adalah sebuah komputer server atau progam komputer yang dapat bertindak
sebagai komputer lainnya untuk melakukan request terhadap content dari internet atau intranet.
Proxy Server bertindak sebagai gateway terhadap dunia ini internet untuk setiap komputer
klien. Proxy server tidak terlihat oleh komputer klien: seorang pengguna yang berinteraksi
dengan Internet melalui sebuah proxy server tidak akan mengetahui bahwa sebuah proxy
serversedang menangani request yang dilakukannya. Web server yang nerima request dari proxy
server akan menginterpretasikan request-request tersebut seolah-olah request itu datang secara
langsung dari komputer klien, bukan dari proxy server.

Keuntungan menggunakan autentifikasi proxy adalah anda dapat mengendalikan keamanan


middle-tier applications ( dalam Three-tier systems ) dengan cara membatasi pengguna proxy
tersebut dalam menggunakan aplikasi web dan mendatabase semua tindakan yang dilakukan oleh
client.
 Di Squid tersedia beberapa pilihan authentication yang bisa dipakai, diantarana :

=> NCSA: Uses an NCSA-style username and password file.


=> LDAP: Uses the Lightweight Directory Access Protocol
=> MSNT: Uses a Windows NT authentication domain.
=> PAM: Uses the Linux Pluggable Authentication Modules scheme.
=> SMB: Uses a SMB server like Windows NT or Samba.
=> getpwam: Uses the old-fashioned Unix password file.
=> SASL: Uses SALS libraries.
=> NTLM, Negotiate and Digest authentication

NCSA AUTHENTICATION
Saat ini perkembangan internet sudah sangat pesat, sehingga sangat mudah untuk melakukan
pencurian terhadap password milik seseorang yang berada pada jaringan yang sama dengan
menggunakan sniffer tool biasa. Karena itulah sangat dibutuhkan sebuah sistem autentikasi untuk
menjaga keamanan dan kerahasiaan data yang dikirimkan melalui sebuah proxy server.
Terdapat berbagai jenis autentikasi yang dapat digunakan pada sistem squid server, tetapi yang
paling sederhana dari kesemua sistem autentikasi tersebut adalah NCSA authentication. NCSA
authentication merupakan autentikasi berbasis httpd (web server) password yang memungkinkan
seorang client melakukan koneksi setelah melakukan autentikasi berupa username dan password.
Username dan password ini telah tersimpan di server dengan format yang telah ditentukan
sebelumnya.
Cara kerja NCSA authentication adalah :
1. Client mengirimkan username dan password kepada sistem, yang telah terenrkripsi.
2. Sistem akan melakukan decoding ulang dari password dan membandingkan dengan berkas
passwd yang ada pada server.
3. Jika password dan username cocok, maka client akan diizinkan untuk melakukan koneksi
internet melalui proxy.

 Konfigurasi NCSA authentication:


Setelah Squid berhasil terinstall maka selanjutnya mengubah sebagian atau menambah baris pada
file /etc/squid/squid.conf. Sebelum itu file user dan password harus dibuat terlebih dahulu dengan
style penulisan NCSA. Tahapan konfigurasinya :
1. Buka terminal, masuk ke mode super user dan ketikan perintah:
# htpasswd /etc/squid/passwd usersquid

Perintah tersebut digunakan untuk membuat file usersquid yang berisi username dan password,
setelah itu maka akan muncul tulisan:
New password:
Re-type new password:
Adding password for user usersquid

2. Setelah itu ketikan perintah untuk mencari binary ncsa_auth :


# dpkg -L squid | grep nsca_auth

Hasilna :
/usr/lib/squid/ncsa_auth

3. Setelah itu buka file squid.conf dan masukkan baris-baris baru seperti dibawah ini:
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server

Lalu cari tag http_access dan tambahkan ACL(Access Control List) seperti di bawah ini:
acl ncsa_users proxy_auth REQUIRED
http_access allow ncsa_users
4. Restart Squid dan lakukan pengecekan pada browser client maka akan muncul kotak dialog
untuk melakukan autentifikasi sebelum bisa terkoneksi.
Contoh:

BANDWIDTH LIMITER DENGAN SQUID PROXY

Tambahkan baris dibawah ini pada squid.conf :

acl all src 0.0.0.0/0.0.0.0

# jaringan yang tak dibatasi bandwidthnya


acl admin src 192.168.1.0/255.255.255.248

# jaringan lokal yang dibatasi


acl lokal src 192.168.1.0/24

# pembatasan untuk download file2 dengan extensi dibawah :


acl filegede url_regex -i \.exe
acl filegede url_regex -i \.mp3
acl filegede url_regex -i \.vqf
acl filegede url_regex -i \.gz
acl filegede url_regex -i \.rpm
acl filegede url_regex -i \.zip
acl filegede url_regex -i \.rar
acl filegede url_regex -i \.avi
acl filegede url_regex -i \.mpeg
acl filegede url_regex -i \.mpe
acl filegede url_regex -i \.mpg
acl filegede url_regex -i \.qt
acl filegede url_regex -i \.ram
acl filegede url_regex -i \.rm
acl filegede url_regex -i \.iso
acl filegede url_regex -i \.raw
acl filegede url_regex -i \.wav

# jumlah jenis pembatasan ada tiga


delay_pools 3

# pembatasan pertama untuk download file dengan extensi diatas dengan aturan
# dalam keadaan normal sebesar 1000=1KB=8Kbps dan
# dalam keadaan kosong 2000 (2000 = 2KB = 16Kbps)
delay_class 1 3
delay_parameters 1 32000/32000 6000/8000 1000/2000
delay_access 1 allow lokal filegede
delay_access 1 deny all

# pembatasan kedua agar jaringan mendapatkan bandwidth total dalam


# keadaan normal 32000=32KB=128Kbps dan dalam
# keadaan kosong 64000=64KB=512Kbps dan untuk
# masing-masing host mendapat jatah normal 6000=6KB=48Kbps serta
# jatah dalam jalur keadaan #kosong 8000=8KB=64Kbps
delay_class 3 2
delay_parameters 3 32000/64000 6000/8000
delay_access 3 allow lokal
delay_access 3 deny all

# pembatasan untuk alamat komputer admin dengan jalur total tak terbatas
# dan jalur masing-masing juga tidak terbatas
delay_class 2 1
delay_parameters 2 -1/-1 -1/-1
delay_access 2 allow billing
delay_access 2 deny all

Setelah itu restart squid dan selesai

PEMBATASAN SITUS DENGAN PROXY


1. Bikin file baru untuk simpan list dari alamat situs yang akan kita blok aksesnya, disini saya
menggunakan “vi” karena memang editor favorit saya..
# vi /etc/squid/porn.block.txt
2. Tambahkan list alamat situs yang sudah kita data untuk di blok pada file
“/etc/squid/porn.block.txt“, contoh penulisannya adalah sbb :
playboy.com
penthouse.com
duniasex.com
17tahun.com
bangbros.com
Jumlah baris dari alamat tersebut, tergantung dari jumlah situs yang ingin anda blok, untuk database
situs porno lainnya bisa anda ambil dari squidguard.org. Kemudian simpanlah file tersebut.
3. Edit file “/etc/squid/squid.conf” dan tambahkan konfigurasi ACL url_regex berikut :
acl porn url_regex “/etc/squid/porn.block.txt”
konfigurasi ini ditambahkan pada bagian acl dari file “squid.conf” nya, contohnya spt dibawah ini :
—–potongan file squid.conf ——
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl Lan src 192.168.10.0/24
acl porn url_regex “/etc/squid/porn.block.txt” <— ACL ditambahkan pada baris ini
—–potongan file squid.conf ——
Penjelasan terhadap acl ini adalah, kita mendefinisikan “porn” sebagai nama access listdengan tipe
“url_regex“, dimana list dari url tersebut disimpan pada file dengan nama “/etc/squid/porn.block.txt”
4. Setelah acl porn kita definisikan, kita lanjutkan dengan definisi http_access terhadap list url dari acl
porn tadi, dengan cara kita tambahkan lagi pada file “squid.conf” konfigurasi berikut :
http_access deny porn
konfigurasi ini ditambahkan pada bagian http_access dari squid.conf, contohnya spt dibawah ini :
—– potongan file squid.conf —–
http_access deny porn <— ditambahkan pada urutan paling atas dari http_access nya
http_access allow manager localhost
http_access allow lan
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow CONNECT !irc_ports
http_access deny all
—– potongan file squid.conf —–
penjelasan dari http_access ini adalah, akses http terhadap acl dengan nama “porn” akan diblok (deny),
dimana isi dari acl porn ini adalah alamat-alamat situs porno yang memang ingin kita blok.
Contoh file squid.conf setelah dikonfigurasi akan seperti ini :
—–potongan file squid.conf ——
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl Lan src 192.168.10.0/24
acl porn url_regex “/etc/squid/porn.block.txt”
http_access deny porn
http_access allow manager localhost
http_access allow lan
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow CONNECT !irc_ports
http_access deny all
—–potongan file squid.conf ——
5. Selanjutnya kita instruksikan supaya squid untuk membaca ulang file konfigurasi “squid.conf” nya,
kita lakukan dengan perintah berikut ini :
# squid -k reconfigure
6. Sekarang kita ujicoba blok akses ke situs pornonya, buka browser favorit kamu misalnya Firefox,
kemudian ketikkan salah satu alamat situs yang ada pada file acl porn, misalnya “www.playboy.com“.
Jika muncul halaman error “acess denied” maka blokir situs dengan squid nya sukses..
kalo masih bisa diakses..coba di croscheck lagi langkah-langkah diatas…Good Luck..!
MEMBATASI AKSES INTERNET DARI IP TERTENTU
Misal, dalam satu jaringan kantor, semua diperbolehkan mengakses internet via proxy. Kecuali
beberapa komputer di meja penerima tamu atau front office.
acl jaringan_kantor src 192.168.1.0/24
acl front_office src 192.168.1.21 # komputer1 di front office
acl front_office src 192.168.1.22 # komputer2 di front office
acl front_office src 192.168.1.23 # komputer3 di front office

http_access deny front_office


http_access allow jaringan_kantor

Sekalian untuk format penulisan acl di atas, Anda bisa juga menuliskannya seperti di bawah ini.
Format inline, jadi IP dituliskan ke samping, tanpa menekan enter atau penanda baris baru.

acl jaringan_kantor src 192.168.1.0/24


acl front_office src 192.168.1.21 192.168.1.22 192.168.1.23

http_access deny front_office


http_access allow jaringan_kantor

Format rentang, karena kebetulan IP si komputer front office berurutan.


acl jaringan_kantor src 192.168.1.0/24
acl front_office src 192.168.1.21-192.168.1.23/32

http_access deny front_office


http_access allow jaringan_kantor