Harry Chan Putra. SP. MTCNA

Presentasi berjudul: "Harry Chan Putra. SP. MTCNA"— Transcript presentasi:

1 Harry Chan Putra. SP. MTCNA
Mengoptimalkan Keamanan Jaringan Kecil Internet Services With Harry Chan Putra. SP. MTCNA

2 Introduction . Name : Harry Chan Putra. SP. MTCNA
. Country : Indonesia --- Graduate at Agronomi 2005 --- Work : Engginering On Site PT. Telkom. Tbk --- Administrator of --- Aktivis : a. Kelompok Pengguna Linux Indonesia Padang b. MinangCrew --- Advisor : -- Telkom Security Report -- Bug Report to securitytracker.com with MinangCrew --- Certificate : -- Basic and Advance Linux Training Apkomindo -- Mikrotik Fundamental With Citraweb -- Fundamental Cisco Inixindo

3 Materi Konsep Konfigurasi Security Membangun router

4 KONSEP

5 Timbulnya masalah keamanan
Kerahasiaan Integritas Ketersediaan

6 Pelakunya Eksternal Internal Hackers & Crackers White Hat Hackers
Scripts Kiddies Cyber terrorists Black Hat Hackers Internal Pengguna Layanan Accidents

7 Tipe Serangan Denial of Services (DoS)‏ Buffer overflows Malware
Network flooding Buffer overflows Software error Malware Virus, worm, trojan horse Social Engineering Brute force

8 Langkah rutin cracking…
Information gathering Port scanner Network enumeration Gaining & keeping root / administrator access Using access and/or information gained Leaving backdoor Covering his tracks

9 Cara management proses keamanan
Support dari owner usaha Bicara dengan Pemodal Usaha Sewa white hat hackers ( Admin Network )‏ Pengalaman dari kejadian yang sudah2 Baca2 di internet masalah kemanan

10 Bagaimanan Cara Mengamankan

11 Membuat aturan keamanan
Komitmen dari Manajemen dan Staf Konsep jaringan dan terapan secara teknis dan non teknis Kontrak kerja dengan staf yang jelas

12 KONFIGURASI

13 Konsep Disain Jaringan

14 Secure Network Layouts

15 Secure Network Layouts (2)‏

16 Secure Network Layouts (3)‏

17 Security

18 Mengapa ?

19 Resiko tak terduga

20 Aktivitas yang berlebihan

21 Apa yang dilakuan

22 Keamanan Secara Fisik Amakan komputer dari penguntil hardware dan data
Monitoring with cameras Amankan masalah pelistrikan

23 Firewall Packet filter Stateful Application proxy firewalls
Implementation: Iptables dengan linux Ipfw dan pf dari BSD Antivirus + Firewall server dari windows

24 Firewall rules

25 Contoh Packet filter menggunakan IPTABLES linux di jaringan

26 Contoh Packet filter menggunakan firewall filter mikrotik di jaringan Lan

27 File & Dir permissions Chown Chmod Chgrp

28 Amankan Information gathering

29 Bagaimana Social Engineering Electronic Social engineering: phising
Apa username dan passwordnya ? Electronic Social engineering: phising

30 Menggunakan Informasi Umum
Dig Host whois

31 Port scanning Nmap Which application running

32 Network Mapping Icmp Ping traceroute

33 Limiting Published Information
Disable unnecessary services and closing port netstat –nlptu Xinetd Opening ports on the perimeter and proxy serving edge + personal firewall

34 Amankan dari Rootkit, Spoofing, DoS

35 Rootkit Bebahaya karena : Orang bisa masuk kapan saja
Server jadi terbuka untuk serangan Semua yang berbau kegiatan hacking dikerjakan oleh rootkit :

36 Spoofprotect Linux untuk protek spoofing /etc/network/options
Spoofprotect=yes /etc/init.d/networking restart

37 Tindakan Pengatisipasian DDOS
IDS IPS Honeypots firewall

38 Akibat DDOS

39 Intrusion Detection Software (IDS)‏
Examining system logs (host based)‏ Examining network traffic (network based)‏ A Combination of the two Implementation: Snort

40

41

42 Modem ADSL IDS Date/Time Facility Severity Message
Jan 1 04:07: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST= LEN=40 TOS=0×00 PREC=0×00 TTL=113 ID=336 PROTO=TCP SPT=10391 DPT=1080 WINDOW=32 RES=0×00 SYN URGP=0 Jan 1 04:17: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST= LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=2257 DF PROTO=TCP SPT=3072 DPT=139 WINDOW=64800 RES=0×00 SYN URGP=0 Jan 1 04:25: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST= LEN=48 TOS=0×00 PREC=0×00 TTL=114 ID=54968 PROTO=TCP SPT=48832 DPT=1080 WINDOW=65535 RES=0×00 SYN URGP=0 Jan 1 04:36: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST= LEN=52 TOS=0×00 PREC=0×00 TTL=50 ID=23868 DF PROTO=TCP SPT=12513 DPT=139 WINDOW=60352 RES=0×00 SYN URGP=0 Jan 1 04:46: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST= LEN=48 TOS=0×00 PREC=0×00 TTL=111 ID=21235 DF PROTO=TCP SPT=2084 DPT=1433 WINDOW=65535 RES=0×00 SYN URGP=0 Jan 1 04:55: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST= LEN=48 TOS=0×00 PREC=0×00 TTL=125 ID=50280 DF PROTO=TCP SPT=2456 DPT=445 WINDOW=64800 RES=0×00 SYN URGP=0 Jan 1 05:05: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST= LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=46298 DF PROTO=TCP SPT=1545 DPT=135 WINDOW=64800 RES=0×00 SYN URGP=0 Jan 1 05:16: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST= LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=21198 DF PROTO=TCP SPT=3555 DPT=135 WINDOW=64800 RES=0×00 SYN URGP=0 Jan 1 05:28: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST= LEN=48 TOS=0×00 PREC=0×00 TTL=126 ID=11916 DF PROTO=TCP SPT=2536 DPT=135 WINDOW=16384 RES=0×00 SYN URGP=0 Jan 1 05:36: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST= LEN=48 TOS=0×00 PREC=0×00 TTL=127 ID=61656 DF PROTO=TCP SPT=3036 DPT=445 WINDOW=64800 RES=0×00 SYN URGP=0 Jan 1 05:47: user alert kernel: Intrusion -> IN=ppp_8_81_1 OUT= MAC= src= DST=

43 Mikrotik IDS

44 Intrusion Preventions Software (IPS)‏
Upgrade application Active reaction (IDS = passive)‏ Implementation: Portsentry hostsentry

45 Honeypots (http://www.honeynet.org)‏

46 Amankan dari Malware

47 Malware Virus Worm Trojan horse Spyware On email server :
Spamassassin, ClamAV, Amavis On Proxy server Content filter using squidguard

48 Monitoring network

49 Firewall Check

50 Tips mengantisipasi masalah viruses & worms:
Tidak membuka attachment yang diragukan isinya, dikirimkan oleh pihak yang tidak dikenal, atau tidak mengharapkan mendapatkan tersebut Menghapus “junk mails” (SPAM), kecuali Anda memang mengharapkannya Tidak mendownload file dari orang yang tidak Anda kenal Selalu meng-update anti-virus dan gunakan antivirus network untuk komputer yang terhubung kejaringan Melakukan backup & restore secara berkala terhadap data penting yang Anda miliki Jangan pernah membuka web site yang tidak penting Gunakan deepfrezee dan deepfree semua partisi dan gunakan passwordnya lebih dari 6 karakter

51 Amankan user and password

52 User and password Aturan Password Penggunaan karakter password
Password file security /etc/passwd, /etc/shadow Password audit John the ripper Password management software Centralized password Individual password management

53 router# cat /etc/passwd
# $FreeBSD: src/etc/master.passwd,v /08/01 21:33:47 markm Exp $ # root:*:0:0:Charlie &:/root:/bin/csh toor:*:0:0:Bourne-again Superuser:/root: daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin operator:*:2:5:System &:/:/usr/sbin/nologin bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin news:*:8:8:News Subsystem:/:/usr/sbin/nologin man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin _pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin areksitiung:*:1001:0:senthod:/home/areksitiung:/bin/tcsh squid:*:1002:1002:User &:/home/squid:/bin/sh

54

55 Amankan Remote Access

56 Remote access Telnet vs SSH VPN Ipsec CIPE PPTP OpenVPN Freeswan
Racoon CIPE PPTP OpenVPN

57 Melindungi remote login
1. Ganti port yang tidak biasanya untuk ssh standar 22 jadi ke 222 2. Jangan langsung izinkan remote pakai user admin atau root 3. Jangan izinkan blank password 4. Batasi waktu login

58 ROUTER

59 Apa itu Router ? sebuah alat jaringan komputer yang mengirimkan paket data melalui sebuah jaringan atau Internet menuju tujuannya, melalui sebuah proses yang dikenal sebagai routing. Vendor router contohnya : mikrotik,cisco, vertex, juniper, huwawei, 3com, dlink. Anda beli produk atau kegunaannya tergantung anda ?

60 PC - Router Pc yang di installkan system operasi yang memiliki
fungsi sebagai router/gw atau dedicated router.

61 Fungsi dan Manfaat PC-Router ?
1. Firewall untuk antisipasi aktivitas vandalisme ( virus , worm dan hacking 2. Bandwith Management untuk mengatur alokasi bandwith dan prioritas trafik agar optimal 3. Mengatur routing di antar network untuk memudahkan memanajemen semua host di jaringan 4. Proxy Server untuk cache web. Sehingga bandwith yang ada dapat dimanfaatkan alokasinya untuk trafik yang lain.

62 System Operasi 1. Free Software
- Linux distro ( Redhat, Suse, Mandrake )‏ - BSD distribusinya ( FreeBSD,NetBSD, OpenBSD )‏ - Open Solaris 2. Propritiary Software - Windows ( Windows 2000, Windows 2003 )‏ - Mikrotik ( version 2.xxx – 3.xxx ) dan berdasarkan level lisensi

63 LINUX dan BSD adalah System Operasi komputer yang
merupakan clonning UNIX Yang membuat beroperasinya sebuah Mesin ( Personal Computer ).

64 Bagaimana Linux berkembang ?
Ditemukan Oleh Linux Torvald tahun 1991 Menggunakan pengembangan Open Source Berlisensi GPL (GNU Public License) dan Free Software Didistribusikan oleh banyak perusahaan: RedHat, SuSE, TurboLinux, Mandrake, CorelLinux, Trustix, RedFlag, Slackware, Debian, dst Dukungan Vendor besar: IBM, Intel, Compaq, dll

65 Bagaimana BSD berkembang ?
sistem operasi bertipe Unix bebas yang diturunkan dari UNIX AT&T lewat cabang Berkeley Software Distribution (BSD) yaitu sistem operasi 386BSD dan 4.4BSD. FreeBSD berjalan di atas sistem Intel x86 (IA-32) (termasuk Microsoft Xbox[1], DEC Alpha, Sun UltraSPARC, IA-64, AMD64, PowerPC dan arsitektur NEC PC-98. Dukungan untuk arsitektur ARM dan MIPS sedang dalam pengembangan. Berlisensi GPL (GNU Public License) dan Free Software Didistribusikan oleh Komunitas FreeBSD, NetBSD, Open BSD )‏ Dukungan Vendor besar: IBM, Intel, Compaq, dll

66 Apa itu FREE ? FREE tidak sama dengan GRATIS FREE artinya Kebebasan :
Bebas di Duplikasi/Copy Bebas di Ubah/Modifikasi Bebas di distribusi/jual/sewa LINUX and BSD is FREE SOFTWARE Konsep free software dapat dilihat di:

67 Bagaimana dg Software Aplikasi di Linux dan BSD?
Aplikasi Server Web server : Apache (Free) digunakan > 60 % seluruh dunia Mailserver: Sendmail, Qmail; FTP Server; Fileserver, Router, Gateway, dst Aplikasi desktop Staroffice (Free), mirip dengan Ms Office The Gimp mirip dengan Photoshop dst

68 Desktop : KDE

69 Shell BOX linux/BSD

70 Bagaimana dengan VIRUS, Security, Kestabilan ?
Linux/ BSD relatif jauh lebih tahan terhadap Virus dibanding dengan sistem operasi Microsoft Windwos/NT/2000 Linux / BSD mewarisi sistem keamanan yang paling tinggi dari sistem operasi UNIX, jauh sebelum Microsoft Windows dikenal orang Berbagai pengalaman telah membutktikan kestabilan Linux dan BSD, perlakuan 'restart' hampir tidak pernah ditemui. NO Blue Screen

71 Membangun Pc-router Clackconect Standar
Tahapan Instalasi Tahapan Konfigurasi Tahapan Optimalisasi Monitoring router

72 Tahapan Instalasi Masukan CD INSTALASI BOOT di bios menjadi boot ke cdrom. Akan keluar dua pilihan boot disk atau boot cd

73 Booting Proses

74 Pemilihan Bahasa

75 Pemilihan Type Keyboard

76 Pemilihan Setup

77 Pemilihan Media Instalasi

78 Pemiliahan Partisi Hardisk

79 Pemilihan Gateway / Standalone
Gateway mode jika kita ingin menginstall system menjadi jembatan dua network dengan mengaktifkan firewall Standalone mode ditujukan untuk server local network, hanya satu network card disarankan pada mode ini.

80 Memilih interface network

81 Set Ip Addres interface ke internet

82 Set Ip Addres To LAN

83 Set Hostname PC proxy e-com.war.net.id

84 Pemilihan Date/Time

85 Pengisian Passowrd root

86 Tempat penginstalan

87 Pemilihan paket instalasi

88 Tahapan Penginstalan

89 Format partisi dan instalasi paket

90 Finish dan BooT

91 Menu Login

92 Tahapan Konfigurasi Running IE or Mozilla and access ip lan router

93 Menu Awal

94 Setup Proxy Server

95 Setup DANSGUARDIAN

96 Bandwith Management

97 Firewall

98 Blocking Peer-To-Peer

99 Tahapan Optimalisasi Matikan services yang tidak perlu untuk mengurangi proses backgound agar pemakaian memory lebih hemat Tambahkan firewall tambahan jika di butuhkan jika di rasa dengan firewall bawaan dari clackconect masih kurang Perubahan settingan pada proxy jika di perlukan untuk pengoptimalan jalannya proxy

100 Monitoring System

101 Monitoring Trafik

102 Untuk mencek situs yang di akses oleh pc client
#tail -f /var/log/squid/access.log

103

104 Cek Koneksi #ipstate

105 Membangun Pc-router Mikrotik Standar
Tahapan Instalasi Tahapan Configuration Tahapan Pengoptimalan Monitoring Router

106 Tahapan Instalasi Masukan CD INSTALASI BOOT di bios menjadi boot ke cdrom. Akan keluar dua pilihan boot disk atau boot cd

107 Pemilihat paket instalasi

108 Running instalasi dan reboot

109 Menu Shell

110 Tahapan Configurasi Set Interface with shell and Winbox

111 Set Interface Name

112 Setup Interface Name /interface set 0 name=Public /Interface Set 1 name=Local

113 Set Ip Address

114 Set Ip Address /ip address add address= netmask= interface=Public Comment=Link To Modem /ip address add address= netmask= interface=Local Comment=Link Lan

115 Set Ip route to Gw

116 Set ip route ke gw ke modem
/ip route add gateway= comment=Link Ke Modem

117 Set Dns server

118 Set DNS Server /ip dns primary-dns= secondary-dns= allow-remote-request=yes

119 Set sharing access

120 Set Nat Sharing Access /ip firewall nat add chain=dst-nat ouput-interface=Public Comment=Nat Sharing

121 Set Ip-WebProxy

122

123 Setup Ip-Web-Proxy ​ ip web-proxy set enabled=yes port= hostname="proxy.admin.war.net.id" transparent-proxy=yes parent-proxy= :0 max-object-size=4096KiB cache-drive=system max-cache-size= KiB max-ram-cache-size=unlimited

124 Transparan proxy

125 Set proxy Tranparan / ip firewall nat add chain=dstnat protocol=tcp dst-port=80 action=redirect to-ports= comment="Proxy MIx" disabled=yes add chain=dstnat protocol=tcp dst-port=3128 action=redirect to-ports=8080 comment="" disabled=yes add chain=dstnat protocol=tcp dst-port=8080 action=redirect to-ports= comment="" disabled=yes

126 Blocking Situs Terlarang

127 Setup Blocking Situs terlarang
/ ip web-proxy access add dst-port=23-25 action=deny comment="block telnet & spam relaying" disabled=no add url="**suck***" action=deny comment="P O R N O" disabled=no add url="*nude*" action=deny comment="" disabled=no

128 Setup Cache Situs

129 Setup File Cache web proxy
/ ip web-proxy cache add url=":cgi-bin \\?" action=deny comment="don't cache dynamic http pages" disabled=no add url="\\.exe\$" action=allow comment="" disabled=no add url="\\.zip\$" action=allow comment="" disabled=no add url="\\.mpeg\$" action=allow comment="" disabled=no

130 Bandwith Manajemen

131 Simple Script to Queues
/queues simple add name="QOS" dst-address= /0 interface=all parent=none direction=both \ priority=8 queue=default-small/default-small limit-at=0/0 \ max-limit= / total-queue=default-small disabled=no :for z from 2 to 254 do={/queue simple add name=(0. . $z) target-addresses=( $z) \ parent="QOS" interface=all priority=4 queue=default/default max-limit=128000/ \ total-queue=default}

132 Tahapan Optimalisasi Instal pakat sesuai kebutuhan sajan atau standar2 saja seperti admintool, security paket, webproxy Matikan services yang tidak perlu untuk mengurangi proses backgound agar pemakaian memory lebih hemat kalau mau dipakai juga mesti memperhitungkan jumlah memory dan hardisk. Tambahkan firewall tambahan jika di butuhkan jika di rasakan perlu. Perubahan settingan pada proxy jika di perlukan untuk pengoptimalan jalannya proxy dan juga memperhitungkan cpu load dan resource pcnya

133 Monitoring Trafik

134

135

136 http://harrychanputra.web.id Harrychanputra.sp@gmail.com Thanks to :
- Primadonal - - Harinto - - Tommy – Owner Central.Net - Hengky – Owner Vega.Net - All Team C4 and EOS Telkom Atas uji coba router2nya dan tempat usahanya KELOMPOK PENGGUNA LINUX PADANG

137 The End Bye-Bye