Mengoptimalkan Keamanan Jaringan Kecil Internet Services

With
Harry Chan Putra. SP. MTCNA

harrychanputra.sp@gmail.com http://harrychanputra.web.id

Introduction
. Name : Harry Chan Putra. SP. MTCNA . Country : Indonesia --- Graduate at Agronomi 2005 --- Work : Engginering On Site PT. Telkom. Tbk --- Administrator of http://www.harrychanputra.web.id --- Aktivis : a. Kelompok Pengguna Linux Indonesia Padang b. MinangCrew --- Advisor : -- Telkom Security Report -- Bug Report to securitytracker.com with MinangCrew --- Certificate : -- Basic and Advance Linux Training Apkomindo -- Mikrotik Fundamental With Citraweb -- Fundamental Cisco Inixindo

Materi 
  

Konsep Konfigurasi Security Membangun router

KONSEP

Timbulnya masalah keamanan 
 

Kerahasiaan Integritas Ketersediaan

Pelakunya 

Eksternal
Hackers & Crackers White Hat Hackers Scripts Kiddies Cyber terrorists Black Hat Hackers 

Internal
Pengguna Layanan Accidents

Tipe Serangan 

Denial of Services (DoS)
Network flooding 

Buffer overflows
Software error 

Malware
Virus, worm, trojan horse 



Social Engineering Brute force

Langkah rutin cracking« 
     

Information gathering Port scanner Network enumeration Gaining & keeping root / administrator access Using access and/or information gained Leaving backdoor Covering his tracks

Cara management proses keamanan 

Support dari owner usaha
Bicara dengan Pemodal Usaha Sewa white hat hackers ( Admin Network ) Pengalaman dari kejadian yang sudah2 Baca2 di internet masalah kemanan

Bagaimanan Cara Mengamankan

Membuat aturan keamanan  

Komitmen dari Manajemen dan Staf
Konsep jaringan dan terapan secara teknis dan non teknis 

Kontrak kerja dengan staf yang jelas

KONFIGURASI

Konsep Disain Jaringan

Secure Network Layouts

Secure Network Layouts (2)

Secure Network Layouts (3)

Security

Mengapa ?

Resiko tak terduga

Aktivitas yang berlebihan

Apa yang dilakuan

Keamanan Secara Fisik  



Amakan komputer dari penguntil hardware dan data Monitoring with cameras Amankan masalah pelistrikan

Firewall 
  

Packet filter Stateful Application proxy firewalls Implementation:
Iptables dengan linux Ipfw dan pf dari BSD Antivirus + Firewall server dari windows

Firewall rules

Contoh Packet filter menggunakan IPTABLES linux di jaringan

Contoh Packet filter menggunakan firewall filter mikrotik di jaringan Lan

File & Dir permissions 
 

Chown Chmod Chgrp

Amankan Information gathering

Bagaimana 

Social Engineering 

Apa username dan passwordnya ?

Electronic Social engineering: phising

Menggunakan Informasi Umum 
 

Dig Host whois

Port scanning 

Nmap
Which application running

Network Mapping 

Icmp
Ping traceroute

Limiting Published Information 

Disable unnecessary services and closing port
netstat ±nlptu Xinetd 

Opening ports on the perimeter and proxy serving
edge + personal firewall

Amankan dari Rootkit, Spoofing, DoS

Rootkit
Bebahaya karena :  Orang bisa masuk kapan saja  Server jadi terbuka untuk serangan  Semua yang berbau kegiatan hacking dikerjakan oleh rootkit :

Spoofprotect
Linux untuk protek spoofing  /etc/network/options 

Spoofprotect=yes /etc/init.d/networking restart 

Tindakan Pengatisipasian DDOS 
  

IDS IPS Honeypots firewall

Akibat DDOS

Intrusion Detection Software (IDS) 
  

Examining system logs (host based) Examining network traffic (network based) A Combination of the two Implementation:
Snort

Modem ADSL IDS
Date/Time Facility user Severity alert Message kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=122.116.17.144 DST=125.162.87.79 Jan 1 04:07:23 LEN=40 TOS=0×00 PREC=0×00 TTL=113 ID=336 PROTO=TCP SPT=10391 DPT=1080 WINDOW=32 RES=0×00 SYN URGP=0 Jan 1 04:17:35 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.62.229 DST=125.162.87.79

LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=2257 DF PROTO=TCP SPT=3072 DPT=139 WINDOW=64800 RES=0×00 SYN URGP=0 Jan 1 04:25:33 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=195.5.116.234 DST=125.162.87.79

LEN=48 TOS=0×00 PREC=0×00 TTL=114 ID=54968 PROTO=TCP SPT=48832 DPT=1080 WINDOW=65535 RES=0×00 SYN URGP=0 Jan 1 04:36:02 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.232.145.249 DST=125.162.87.79

LEN=52 TOS=0×00 PREC=0×00 TTL=50 ID=23868 DF PROTO=TCP SPT=12513 DPT=139 WINDOW=60352 RES=0×00 SYN URGP=0 Jan 1 04:46:22 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.58.133.210 DST=125.162.87.79

LEN=48 TOS=0×00 PREC=0×00 TTL=111 ID=21235 DF PROTO=TCP SPT=2084 DPT=1433 WINDOW=65535 RES=0×00 SYN URGP=0 Jan 1 04:55:22 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.100.157 DST=125.162.87.79

LEN=48 TOS=0×00 PREC=0×00 TTL=125 ID=50280 DF PROTO=TCP SPT=2456 DPT=445 WINDOW=64800 RES=0×00 SYN URGP=0 Jan 1 05:05:26 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.58.77 DST=125.162.87.79

LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=46298 DF PROTO=TCP SPT=1545 DPT=135 WINDOW=64800 RES=0×00 SYN URGP=0 Jan 1 05:16:50 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.58.104 DST=125.162.87.79

LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=21198 DF PROTO=TCP SPT=3555 DPT=135 WINDOW=64800 RES=0×00 SYN URGP=0 Jan 1 05:28:43 user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src=125.162.62.51 DST=125.162.87.79

LEN=48 TOS=0×00 PREC=0×00 TTL=126 ID=11916 DF PROTO=TCP SPT=2536 DPT=135 WINDOW=16384 RES=0×00 SYN URGP=0

Mikrotik IDS

Intrusion Preventions Software (IPS) 
 

Upgrade application Active reaction (IDS = passive) Implementation:
Portsentry hostsentry

Honeypots
(http://www.honeynet.org)

Amankan dari Malware

Malware 
  

Virus Worm Trojan horse Spyware On email server :
Spamassassin, ClamAV, Amavis  

On Proxy server
Content filter using squidguard

Monitoring network

Firewall Check

Tips mengantisipasi masalah viruses & worms:
Tidak membuka attachment e-mail yang diragukan isinya, dikirimkan oleh pihak yang tidak dikenal, atau tidak mengharapkan mendapatkan e-mail tersebut Menghapus ³junk mails´ (SPAM), kecuali Anda memang mengharapkannya Tidak mendownload file dari orang yang tidak Anda kenal Selalu meng-update anti-virus dan gunakan antivirus network untuk komputer yang terhubung kejaringan Melakukan backup & restore secara berkala terhadap data penting yang Anda miliki Jangan pernah membuka web site yang tidak penting Gunakan deepfrezee dan deepfree semua partisi dan gunakan passwordnya lebih dari 6 karakter

Amankan user and password

User and password 
 

Aturan Password Penggunaan karakter password Password file security
/etc/passwd, /etc/shadow 

Password audit
John the ripper 

Password management software
Centralized password Individual password management

router# cat /etc/passwd # $FreeBSD: src/etc/master.passwd,v 1.39 2004/08/01 21:33:47 markm Exp $ # root:*:0:0:Charlie &:/root:/bin/csh toor:*:0:0:Bourne-again Superuser:/root: daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin operator:*:2:5:System &:/:/usr/sbin/nologin bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin news:*:8:8:News Subsystem:/:/usr/sbin/nologin man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin _pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin areksitiung:*:1001:0:senthod:/home/areksitiung:/bin/tcsh squid:*:1002:1002:User &:/home/squid:/bin/sh

Amankan Remote Access

Remote access 


Telnet vs SSH VPN
Ipsec 


Freeswan Racoon

CIPE PPTP OpenVPN

Melindungi remote login
1. Ganti port yang tidak biasanya untuk ssh standar 22 jadi ke 222 2. Jangan langsung izinkan remote pakai user admin atau root 3. Jangan izinkan blank password 4. Batasi waktu login

ROUTER

Apa itu Router ?
sebuah alat jaringan komputer yang mengirimkan paket data melalui sebuah jaringan atau Internet menuju tujuannya, melalui sebuah proses yang dikenal sebagai routing. Vendor router contohnya : mikrotik,cisco, vertex, juniper, huwawei, 3com, dlink. Anda beli produk atau kegunaannya tergantung anda ?

PC - Router
Pc yang di installkan system operasi yang memiliki fungsi sebagai router/gw atau dedicated router.

Fungsi dan Manfaat PC-Router ?
1. Firewall untuk antisipasi aktivitas vandalisme
( virus , worm dan hacking 2. Bandwith Management untuk mengatur alokasi bandwith dan prioritas trafik agar optimal 3. Mengatur routing di antar network untuk memudahkan memanajemen semua host di jaringan 4. Proxy Server untuk cache web. Sehingga bandwith yang ada dapat dimanfaatkan alokasinya untuk trafik yang lain.

System Operasi
1. Free Software - Linux distro ( Redhat, Suse, Mandrake ) - BSD distribusinya ( FreeBSD,NetBSD, OpenBSD ) - Open Solaris 2. Propritiary Software - Windows ( Windows 2000, Windows 2003 ) - Mikrotik ( version 2.xxx ± 3.xxx ) dan berdasarkan level lisensi

LINUX dan BSD adalah
System Operasi komputer yang merupakan clonning UNIX Yang membuat beroperasinya sebuah Mesin ( Personal Computer ).

Bagaimana Linux berkembang ?
Ditemukan Oleh Linux Torvald tahun 1991 Menggunakan pengembangan Open Source Berlisensi GPL (GNU Public License) dan Free Software Didistribusikan oleh banyak perusahaan: RedHat, SuSE, TurboLinux, Mandrake, CorelLinux, Trustix, RedFlag, Slackware, Debian, dst Dukungan Vendor besar: IBM, Intel, Compaq, dll

Bagaimana BSD berkembang ?
sistem operasi bertipe Unix bebas yang diturunkan dari UNIX AT&T lewat cabang Berkeley Software Distribution (BSD) yaitu sistem operasi 386BSD dan 4.4BSD. FreeBSD berjalan di atas sistem Intel x86 (IA-32) (termasuk Microsoft Xbox[1], DEC Alpha, Sun UltraSPARC, IA-64, AMD64, PowerPC dan arsitektur NEC PC-98. Dukungan untuk arsitektur ARM dan MIPS sedang dalam pengembangan. Berlisensi GPL (GNU Public License) dan Free Software Didistribusikan oleh Komunitas FreeBSD, NetBSD, Open BSD ) Dukungan Vendor besar: IBM, Intel, Compaq, dll

Apa itu FREE ?
FREE tidak sama dengan GRATIS FREE artinya Kebebasan : 
 

Bebas di Duplikasi/Copy Bebas di Ubah/Modifikasi Bebas di distribusi/jual/sewa

LINUX and BSD is FREE SOFTWARE
Konsep free software dapat dilihat di: http://www.fsf.org

Bagaimana dg Software Aplikasi di Linux dan BSD?
Aplikasi Server  

Web server : Apache (Free) digunakan > 60 % seluruh dunia Mailserver: Sendmail, Qmail; FTP Server; Fileserver, Router, Gateway, dst Staroffice (Free), mirip dengan Ms Office The Gimp mirip dengan Photoshop dst

Aplikasi desktop 
 

Desktop : KDE

Shell BOX linux/BSD

Bagaimana dengan VIRUS, Security, Kestabilan ?
Linux/ BSD relatif jauh lebih tahan terhadap Virus dibanding dengan sistem operasi Microsoft Windwos/NT/2000 Linux / BSD mewarisi sistem keamanan yang paling tinggi dari sistem operasi UNIX, jauh sebelum Microsoft Windows dikenal orang Berbagai pengalaman telah membutktikan kestabilan Linux dan BSD, perlakuan 'restart' hampir tidak pernah ditemui. NO Blue Screen

Membangun Pc-router Clackconect Standar
Tahapan Instalasi Tahapan Konfigurasi Tahapan Optimalisasi Monitoring router

Tahapan Instalasi
Masukan CD INSTALASI BOOT di bios menjadi boot ke cdrom.

Akan keluar dua pilihan boot disk atau boot cd

Booting Proses

Pemilihan Bahasa

Pemilihan Type Keyboard

Pemilihan Setup

Pemilihan Media Instalasi

Pemiliahan Partisi Hardisk

Pemilihan Gateway / Standalone

Gateway mode jika kita ingin menginstall system menjadi jembatan dua network dengan mengaktifkan firewall Standalone mode ditujukan untuk server local network, hanya satu network card disarankan pada mode ini.

Memilih interface network

Set Ip Addres interface ke internet

192.168.1.2 255.255.255.0 192.168.1.1 192.168.1.1

Set Ip Addres To LAN

192.168.0.254 255.255.255.0

Set Hostname PC

proxy e-com.war.net.id

Pemilihan Date/Time

Pengisian Passowrd root

Tempat penginstalan

Pemilihan paket instalasi

Tahapan Penginstalan

Format partisi dan instalasi paket

Finish dan BooT

Menu Login

Tahapan Konfigurasi
Running IE or Mozilla and access ip lan router https://192.168.0.254:81

Menu Awal

Setup Proxy Server

Setup DANSGUARDIAN

Bandwith Management

Firewall

Blocking Peer-To-Peer

Tahapan Optimalisasi
Matikan services yang tidak perlu untuk mengurangi proses backgound agar pemakaian memory lebih hemat Tambahkan firewall tambahan jika di butuhkan jika di rasa dengan firewall bawaan dari clackconect masih kurang Perubahan settingan pada proxy jika di perlukan untuk pengoptimalan jalannya proxy

Monitoring System

Monitoring Trafik

Untuk mencek situs yang di akses oleh pc client #tail -f /var/log/squid/access.log

Cek Koneksi #ipstate

Membangun Pc-router Mikrotik Standar
Tahapan Instalasi Tahapan Configuration Tahapan Pengoptimalan Monitoring Router

Tahapan Instalasi
Masukan CD INSTALASI BOOT di bios menjadi boot ke cdrom.

Akan keluar dua pilihan boot disk atau boot cd

Pemilihat paket instalasi

Running instalasi dan reboot

Menu Shell

Tahapan Configurasi
Set Interface with shell and Winbox

Set Interface Name

Setup Interface Name /interface set 0 name=Public name=Local

/Interface Set 1

Set Ip Address

Set Ip Address /ip address add address=192.168.1.2 netmask= 255.255.255.0 interface=Public Comment=Link To Modem /ip address add address=192.168.0.254 netmask= 255.255.255.0 interface=Local Comment=Link Lan

Set Ip route to Gw

Set ip route ke gw ke modem /ip route add gateway=192.168.1.2 comment=Link Ke Modem

Set Dns server

Set DNS Server /ip dns primary-dns=203.130.193.74 secondary-dns=202.134.0.155 allowremote-request=yes

Set sharing access

Set Nat Sharing Access /ip firewall nat add chain=dst-nat ouput-interface=Public Comment=Nat Sharing

Set Ip-WebProxy

Setup Ip-Web-Proxy ip web-proxy set enabled=yes port=8080 hostname="proxy.admin.war.net.id" transparentproxy=yes parent-proxy=0.0.0.0:0 cache-administrator="webmaster@admin.war.net.id" maxobject-size=4096KiB cache-drive=system max-cache-size=1048576KiB max-ram-cachesize=unlimited

Transparan proxy

Set proxy Tranparan / ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports=8080 comment="Proxy MIx" disabled=yes add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080 comment="" disabled=yes add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports=8080 comment="" disabled=yes

Blocking Situs Terlarang

Setup Blocking Situs terlarang / ip web-proxy access add dst-port=23-25 action=deny comment="block telnet & spam e-mail relaying" add url="**suck***" action=deny comment="P O R N O" disabled=no add url="*nude*" action=deny comment="" disabled=no

disabled=no

Setup Cache Situs

Setup File Cache web proxy / ip web-proxy cache add url=":cgi-bin \\?" action=deny comment="don't cache dynamic http pages" add url=":cgi-bin \\?" action=deny comment="don't cache dynamic http pages" add url="\\.exe\$" action=allow comment="" disabled=no add url="\\.zip\$" action=allow comment="" disabled=no add url="\\.mpeg\$" action=allow comment="" disabled=no

disabled=no disabled=no

Bandwith Manajemen

Simple Script to Queues
/queues simple add name="QOS" dst-address=0.0.0.0/0 interface=all parent=none direction=both \ priority=8 queue=default-small/default-small limit-at=0/0 \ max-limit=1000000/1800000 total-queue=default-small disabled=no :for z from 2 to 254 do={/queue simple add name=(0. . $z) targetaddresses=(192.168.0. . $z) \ parent="QOS" interface=all priority=4 queue=default/default maxlimit=128000/530000 \ total-queue=default}

Tahapan Optimalisasi
Instal pakat sesuai kebutuhan sajan atau standar2 saja seperti admintool, security paket, webproxy Matikan services yang tidak perlu untuk mengurangi proses backgound agar pemakaian memory lebih hemat kalau mau dipakai juga mesti memperhitungkan jumlah memory dan hardisk. Tambahkan firewall tambahan jika di butuhkan jika di rasakan perlu. Perubahan settingan pada proxy jika di perlukan untuk pengoptimalan jalannya proxy dan juga memperhitungkan cpu load dan resource pcnya

Monitoring Trafik

http://harrychanputra.web.id
Harrychanputra.sp@gmail.com
Thanks to : - Primadonal - http://primadonal.wordpress.com - Harinto - http://harinto.wordpresss.com - Tommy ± Owner Central.Net - Hengky ± Owner Vega.Net - All Team C4 and EOS Telkom Atas uji coba router2nya dan tempat usahanya

KELOMPOK PENGGUNA LINUX PADANG

The End
Bye-Bye

Sign up to vote on this title
UsefulNot useful