Pages

Jumat, 20 Agustus 2010

Admin Server (WEB Server)


Web server adalah software yang menjadi tulang belakang dari world wide web(www). Web server menunggu permintaan dari client yang menggunakan browser seperti Netscape Navigator, Internet Explorer, Modzilla, dan program browser lainnya. ika ada permintaan dari browser, maka web server akan memproses permintaan itu kemudian memberikan hasil prosesnya berupa data yang diinginkan kembali ke browser. Data ini mempunyai format yang standar, disebut dengan format SGML (standar general markup language). Web server, untuk berkomunikasi dengan client-nya (web browser) mempunyai protokol sendiri, yaitu HTTP (hypertext transfer protocol).

HTTP

HTTP adalah sebuah protokol meminta/menjawab antara klien dan server. Sebuah klien HTTP (seperti web browser atau robot dan lain sebagainya), biasanya memulai permintaan dengan membuat hubungan ke port tertentu di sebuah server webhosting tertentu (biasanya port 80).

Virtual host

Virtual Host atau juga dikenal sebagai shared hosting memiliki pengertian bahwa sebuah server melayani lebih dari 1 (satu) domain. Dengan adanya teknologi virtual hosting ini, siapa saja yang ingin memiliki situs web atau layanan internet lainnya (mail, file storage, multimedia, dll) tidak perlu membangun server sendiri; yang tentu saja membangun server sendiri memakan lebih banyak biaya diantaranya: biaya perangkat keras & lunak (hardware & software), koneksi internet khusus, dan juga staf khusus.

Konfigursi virtual host

Langkah – langkah yang di gunakan :

1. edit file pada file forward di /etc/bind/db.[namafile] misalnya db.example.com. dengan perintah :

#nano /etc/bind/example.com

2. kemudian setelah itu edit file tersebut misalnya menambah host dengan nama coba. Seperti berikut [paling bawah]

3. setelah itu, restart dengan perintah

#/etc/ini.d/bind9 restart

4. buat directory baru di /var/www dengan cara :

#mkdir /var/www/nama_directory

#mkdir /var/www/coba

5. kemudian copy file yang berada di /etc/apache2/sites-available/default ke file /etc/apache2/sites-available/coba dengan perintah :

#cp /etc/apache2/sites-available/default /etc/apache2/sites-available/coba

6. kemudian edit file tersebut dengan perintah :

#nano /etc/apache2/sites-available/coba

7. setelah muncul edit seperti berikut :

8. setelah keterangan tersebut di save, maka kita dapat mengubah isi halaman virtual host dengan cara:

#nano /index.html

9. untuk mengaktifkan virtual host yang telah dibuat, maka dapat dilakukan dengan cara :

#a2ensite coba

10. kemudian restart apache dengan cara :

#/etc/init.d/apache2 restart

11. hal yang terakhir yang dilakukan untuk memastikan bahwa virtual host yang dibuat dapat berfungsi dengan baik. Maka lakukan edit file host dengn perintah :

#nano /etc/host

12. Tambahkan baris berikut : 127.0.0.1 coba.example.com

13. kemudian simpan hasil konfigurasi tersebut.

14. Lakukan pengujian dengan cara mengetik coba.example.com pada addressbar.


HTTPS

HTTPS adalah versi aman dari HTTP,protokol komunikasi dari World Wide Web. Ditemukan oleh Netscape Communications Corporation untuk menyediakan autentikasi dan komunikasi tersandi dan penggunaan dalam komersi elektris.

Selain menggunakan komunikasi plain text, HTTPS menyandikan data sesi menggunakan protokol SSL (Secure Socket Layer) atau protokol TLS (Transport Layer Security). Kedua protokol tersebut memberikan perlindungan yang memadai dari serangan eavesdroppers, dan man in the middle attacks. Pada umumnya port HTTPS adalah 443.


Konfigurasi HTTPS


Langkah –langkah yang digunakan untuk menginstal HTTPS adalah

  1. masuk terlebih dahulu sebagai root pada ubuntu

#sudo su

  1. kemudian aktifkan modul apache SSL dengan perintah :

#a2nmod ssl

  1. kemudian restart

#/etc/inid.d/apache2 restart

  1. HTTPS berada pada port 443 sehingga harus memastikan apache berada pada port tersebut. Dapat dilakukan dengan mengetik perintah :

#netstat –tap | grep https

Tcp6 0 0 [::]:https [::]:* LISTEN 1238/apache2

root@server1: ~#

  1. kemudian setting virtual host dengan membuat directory baru, seperti berikut :

#mkdir /var/www/www.frengk1.com

  1. apache dilengkapi dengan virtual host default SSL konfigurasi di dalam file /etc/apache2/sites-available/default-ssl. Kita gunakan file tersebut sebagai template untuk vhost www.frengk1.com dengan mengetikkan perintah :

#cp /etc/apache2/sites-available/default-ssl /etc/apache2/sites-available/www.frengk1.com-ssl

  1. kemudian buka file tersebut dengan perintah :

#nano /etc/apache2/sites-available/www.frengk1.com

Pastikan IP address yang ada di sama adlah IP address kita, apabila sudah benar, maka tambahkan ServerName www.frengk1.com:443

Seperti di bawah ini :


pastikan document root kita sudah berada pada tempat dimana dia di simpan.

  1. pada virtual host kali ini menggunakan default self-signed snakeoil certificate yang ada pada ubuntu yaitu :

SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem

SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key

  1. sekarang non aktifkan virtual host default SSL. Kemudian aktifkan www.frengk1.com dan reload apache dengan perintah berikut :

#a2dissite default-ssl

#a2ensite www.frengk1.com-ssl

#/etc/init.d/apache2 reload

  1. kemudian buka situs dengan ketik :

https://www.frengk1.com

Jumat, 06 Agustus 2010

Admin Server (DNS Security)

DNS SECURITY

Pada tingkat mikro, layanan DNS sangat penting untuk pengoperasian Internet. Pada mikro atau ditingkat lokal, layanan DNS sangat penting bagi operasi suatu perusahaan atau dalam pencarian website tercinta. Dalam semua kasus, investasi yang tepat dalam keamanan harus dilakukan untuk memastikan efektivitas dan keamanan dari sistem DNS. DNS yang bersifat publik system. Artikel ini memperkenalkan keamanan DNS, dengan tujuan memungkinkan pembaca untuk memilih teknik yang sesuai untuk tingkatan yang dianggap merupakan ancaman. Sayangnya, istilah DNSSEC (DNS Security) memiliki reputasi buruk karena kompleksitas yang dirasakan, dan sering digunakan untuk menutupi seluruh baigan keamanan DNS. Ada banyak aspek DNS keamanan, mulai dari yang relatif sederhana untuk mengimplementasikan untuk yang lebih kompleks. artikel ini membagi keamanan menjadi empat bagian:

1. Administrative Security: bagian dari artikel ini yang mencakup penggunaan hak akses file, konfigurasi server, konfigurasi BIND, dan sandboxes (atau chroot jail’s).

2. Transfer Zone: Kecuali sistem konfigurasi multimaster yang sedang digunakan, transfer Zone sangat penting untuk beroprasi secara Normal.

3. Dynamic Updates: selalu update mengekspos file master zone dari kemungkinan terjadi korup, kehancuran, atau keracunan.

4. Zona integrity: sangat penting, bahwa zona data yang digunakan oleh salah satu DNS lain atau end User(klient) benar (yaitu, tanggapan query belum dirusak dan kembali data hanya berasal dari pemilik zona), maka DNSSEC diperlukan.

Setiap alur data merupakan sumber potensial ancaman.
DNS Aliran Data Normal

Setiap aliran data -yaitu, setiap nomor baris dalam Gambar merupakan sumber potensi ancaman.

Dalam Tabel mendefinisikan hasil potensi ancaman pada setiap titik dan kemungkinnan solusinya.

Klasifikasi Keamanan



1. Local threats

2. Server-Server

3. Server-Client

4. Client-Clinet

Deny All, Allow Selectively

Sewaktu mengijinkan Oprasi, misal dalam notifikasi atau Zone Transfer, itu mungkin menjadi berharga dalam melarang serentak oprasi dan meng-Enable kan dengan selektif

options {

....

allow-transfer {none;}; // no transfer by default

....

};

....

zone "example.com in{

....

allow-transfer {10.0.1.2;}; // this host only

....

};

Melihat apakah Proses Bind telah beroprasi
gunakan perintah :
# PS aux |grep named

Mensetting Bind untuk beroprasi secara Runtime

# groupadd -r named # useradd -c 'Bind daemon' -d /var/named -s /sbin/nologin -g named -r named
Untuk membuat dan mengatur hak akses serta menulis file run time (log dan PID), gunakan berikut perintah:

# cd /var/log
# mkdir named
# touch named/example.log
# chown named:dnsadmin named/*
# chmod 0660 named/*
# cd /var/run
# mkdir named
# touch named/named.pid
# chown named:named/*
# chmod 0664 named/*

Set hak akses pada setiap direktori kunci, seperti ditunjukkan pada berikut

# cd /var/named
# chown named:named keys/*
# chmod 04000 keys/*

Set hak akses pada setiap file zona pribadi

# cd /var/named
# chown -R dnsadmin:root master/private/*
# chmod -R 0660 master/private/*

Set hak akses pada setiap file zona DDNS:

# cd /var/named
# chown -R named:root masters/ddns/*
# chmod -R 0660 masters/ddns

Set hak akses pada tampilan-private menyertakan file:

#cd /var/named
#chown -R dnsadmin:root views/*
#chmod -R 0660 views/*

DNSSEC

DNSSEC mendefinisikan sebuah proses dimana name server dikonfigurasi secara suitably configured yang dapat memverifikasi dan integritas hasil query dari sebuah signed zone.

DNSKEY, dan Next Secure (NSEC) RRs, digunakan oleh DNSSEC. Untuk mengaktifkan security-aware, menerima name server untuk melakukan hal berikut :

1. Authentication bahwa data yang diterima hanya bisa berasal dari zona yang diminta.
2. Verifikasi integritas data. Data yang diterima di server nama query adalah data yang dikirim dari tanya bernama server. Isi data yang dilindungi, bukan saluran komunikasi.
3. Verifikasi bahwa jika sebuah respons negatif (NXDOMAIN) diterima untuk permintaan tuan rumah, yang menargetkan catatan tidak ada.

Island of Security

Implementasi DNSSEC

Untuk mengilustrasikan proses pelaksanaan DNSSEC, prosedur berikut ini akan dijelaskan dengan contoh:

1.Mengamankan example.com zona menggunakan ZSK terpisah dan KSK
2.Membuat terpercaya jangkar untuk example.com di server nama di ns1.example.net
3.Mengamankan zona sub.example.comMenambahkan RR DS untuk sub.example.com ke example.com untuk menciptakan zona aman delegasi dalam rantai kepercayaan
4. Rolling yang ZSK dan KSK untuk example.com


Mengamankan Zona example.com
Zona example.com, yang akan ditandai selama proses ini, adalah sebuah
Island Security dan file zone seperti yang ditunjukkan di sini :


Minggu, 01 Agustus 2010

Virtual LAN

VLAN

Virtual Local Area Network (VLAN) adalah metode untuk menciptakan jaringan-jaringan yang secara logika tersusun sendiri-sendiri. VLAN sendiri berada dalam jaringan Local Area Network (LAN), sehingga dalam jaringan (LAN) bisa terdapat satu atau lebih VLAN. Dengan demikian kita dapat mengambil kesimpulan bahwa dalam dalam suatu jaringan, kita dapat membuat lagi satu atau lebih jaringan (jaringan di dalam jaringan).
Konfigurasi VLAN itu sendiri dilakukan melalui perangkat lunak (software), sehingga walaupun komputer tersebut berpindah tempat, tetapi ia tetap berada pada jaringan VLAN yang sama.
Vlan bekerja dengan cara melakukan pembagian network secara logika ke dalam beberapa subnet.
Contoh penerapan teknologi VLAN.



Beberapa keuntungan dari VLAN, yaitu :
1. Keamanan – keamanan data dari setiap divisi dapat dibuat tersendiri, karena segmennya bisa dipisah secarfa logika. Lalu lintas data dibatasi segmennya.
2. Menghemat biaya – pembagian jaringan layer ke dalam beberapa kelompok broadcast domain yang lebih kecil, yang tentunya akan mengurangi lalu lintas packet yang tidak dibutuhkan dalam jaringan.
3. Higher performance - pembagian jaringan layer 2 ke dalam beberapa kelompok broadcast domain yang lebih kecil, yang tentunya akan mengurangi lalu lintas packet yang tidak dibutuhkan dalam jaringan.
4. Broadcast storm mutigation – pembagian jaringan ke dalam VLAN-VLAN akan mengurangi banyaknya device yang berpartisipasi dalam pembuatan broadcast storm. Hal ini terjadinya karena adanya pembatasan broadcast domain.
5. Improved IT staff efficiency – VLAN memudahkan manajemen jaringan karena pengguna yang membutuhkan sumber daya yang dibutuhkan berbagi dalam segmen yang sama.
6. Simpler project or application management - VLAN menggabungkan para pengguna jaringan dan peralatan jaringan untuk mendukung perusahaan dan menangani permasalahan kondisi geografis.

Jenis VLAN

Berdasarkan per bedaan pemberian membership, maka VLAN bisa dibagi menjadi empat :
1. Port based
Dengan melakukan konfigurasi pada port dan memasukkannya pada kelompok VLAN sendiri. Apabila port tersebut akan dihubungkan dengan beberapa VLAN maka port tersebut harus berubah fungsi menjadi port trunk (VTP)
2.MAC based
Membership atau pengelompokan pada jenis ini didasarkan pada MAC Address . Tiap switch memiliki tabel MAC Address tiap komputer beserta kelompok VLAN tempat komputer itu berada
3.Protocol based
Karena VLAN bekerja pada layer 2 (OSI) maka penggunaan protokol (IP dan IP Extended) sebagai dasar VLAN dapat dilakukan.
4.IP Subnet Address based
Selaij bekerja pada layer 2, VLAN dapat bekerja pada layer 3, sehingga alamat subnet dapat digunakan sebagai dasar VLAN
5. Authentication based
Device atau komputer bisa diletakkan secara otomatis di dalam jaringan VLAN yang didasarkan pada autentifikasi user atau komputer menggunakan protokol 802.1x

Koneksi VLAN

Sedangkan dari tipe koneksi dari VLAN dapat di bagi atas 3 yaitu :
1. Trunk Link
2. Access Link
3. Hibrid Link (Gabungan Trunk dengan Access)

Prinsip kerja VLAN

Terbagi atas :
1. Filtering Database : Berisi informasi tentang pengelompokan VLAN. Terdiri dari
A. Static Entries

a.Static Filtering Entries :
Mespesifisifikasikan apakah suatu data itu akan dikirim atau dibuang atau juga di masukkan ke dalam dinamic entries
b.Static Registration Entries
Mespesifisifikasikan apakah suatu data itu akan dikirim ke suatu jaringan VLAN dan port yang bertanggung jawab untuk jaringan VLAN tersebut

B. Dynamic Entries

a.Dynamic Filtering Entries
Mespesifisifikasikan apakah suatu data itu akan dikirim atau dibuang
b.Group Registration Entries
Mespesifisifikasikan apakah suatu data yang dikirim ke suatu group atau VLAN tertentu akan dikirim/diteruskan atau tidak
c.Dynamic Registration Entries
Menspesifikasikan port yang bertanggung jawab untuk suatu jaringan VLAN

Tagging

Saat sebuah data dikirimkan maka harus ada yang menyatakan Tujuan data tersebut (VLAN tujuan). Informasi ini diberikan dalam bentuk tag header , sehingga:
a. informasi dapat dikirimkan ke user tertentu saja (user tujuan)
b. dan didalam nya berisi format MAC Address

jenis dari tag header
a. Ethernet Frame Tag Header
b. Token Ring and Fiber Distributed Data Interface (FDDI) tag header

VLAN ID

Untuk memberi identitas sebuah VLAN digunakan nomor identitas VLAN yang dinamakan VLAN ID. Dua range VLAN ID adalah:
a. Normal Range VLAN (1 – 1005)
b. Extended Range VLANs (1006 – 4094)

Termologi VLAN

a. VLAN Data
VLAN Data adalah VLAN yang dikonfigurasi hanya untuk membawa data-data yang digunakan oleh user.
b. Native VLAN
Native VLAN dikeluarkan untuk port trunking 802.1Q
c. VLAN Manajemen
VLAN Manajemen adalah VLAN yang dikonfigurasi untuk memanajemen switch.
d. VLAN Voice
VLAN yang dapat mendukung Voice over IP (VoIP). VLAN yang dikhusukan untuk komunikasi data suara

Mengkonfigurasi VLAN

Terdapat 3 tipe VLAN dalam konfigurasi, yaitu:
a. Static VLAN – port switch dikonfigurasi secara manual.
Konfigurasi:
SwUtama#config Terminal
Enter configuration commands, one per line. End with CNTL/Z.
SwUtama(config)#VLAN 10
SwUtama(config-vlan)#name VLAN_Mahasiswa
SwUtama(config-vlan)#exit
SwUtama(config)#Interface fastEthernet 0/2
SwUtama(config-if)#switchport mode access
SwUtama(config-if)#switchport access VLAN 10
a. Dynamic VLAN – Mode ini digunakan secara luas di jaringan skala besar. Keanggotaan port Dynamic VLAN dibuat dengan menggunakan server khusu yang disebut VLAN Membership Policy Server (VMPS). Dengan menggunakan VMPS, kita dapat menandai port switch dengan VLAN? secara dinamis berdasar pada MAC Address sumber yang terhubung dengan port.
b. Voice VLAN - port dikonfigurasi dalam mode voice sehingga dapat mendukung IP phone yang terhubung.
Konfigurasi:
SwUtama(config)#VLAN 120
SwUtama(config-vlan)#name VLAN_Voice
SwUtama(config-vlan)#exit
SwUtama(config)#Interface fastEthernet 0/3
SwUtama(config-if)#switchport voice VLAN 120

Berikut ini diberikan sedikit command untuk konfigurasi dasar VLAN pada Swicth Cisco Catalyst
Langkah 1:Membuat VLAN
(secara default, hanya ada satu VLAN, yaitu VLAN 1)
syntax
Switch#configure terminal
Switch(config)#vlan NomorVLAN
Switch(config-vlan)#name NamaVLAN
contoh: untukmembuat VLAN dengan ID nomor 10 nama marketing.
Switch#configure terminal
Switch(config)#vlan 10
Switch(config-vlan)#name marketing
Switch(config-vlan)#end
Langkah 2: Verifikasi VLAN yang sudah dibuat:
Command: Switch#sh vlan brief
Langkah 3: Memasukkan Port menjadi anggota suatu VLAN
(secara default semua port dalam switch menjadi anggota VLAN 1)
Contoh: memasukkan Port Fa0/1 menjadi anggota VLAN 10:
Switch#configure terminal
Switch(config)#interface fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#end
Jika Anda ingin memasukkan beberapa port bersama-sama menjadi anggota port 10, bisa juga menggunakan interface range. misal Anda ingin memasukkan port Fa0/1 sampai dengan Fa0/6, maka urutan perintahnya adalah:
Switch#configure terminal
Switch(config)#interface range fa0/1 - fa0/6
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 10
Langkah 4: Verifikasi Pengaturan Port Menjadi anggota VLAN:
Switch#sh vlan brief
VLAN Name Status Ports
—- ——————————– ——— ——————————-
1 default active Fa0/7, Fa0/8, Fa0/9, Fa0/10
Fa0/11, Fa0/12, Fa0/13, Fa0/14
Fa0/15, Fa0/16, Fa0/17, Fa0/18
Fa0/19, Fa0/20, Fa0/21, Fa0/22
Fa0/23, Fa0/24, Gig1/1, Gig1/2
10 marketing active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
Menghapus VLAN: Bila Anda Menghapus sebuah VLAN, Anda dapat menggunakan perintah “no vlan NomorVlan.
contoh: perintah untukmenghapus VLAN 10:
Switch#configure terminal
Switch(config)#no vlan 10

Pada ubuntu :
Install aplikasi pendukung VLAN menggunakan perintah
# apt-get install vlan
Bagi kita yang menggunakan Ubuntu mungkin akan lebih baik menggunakan perintah vconfig. Program vconfig memungkinkan kita untuk membuat dan membuang VLAN di kernel yang sudah siap VLAN.
Untuk menambahkan VLAN ID 5 lakukan perintah berikut ke network card kita, misalnya eth0,
# vconfig add eth0 5
Perintah add di atas akan membuat interface VLAN eth0.5. Kita dapat menggunakan perintah ifconfig biasa untuk melihat interface tersebut,
# ifconfig eth0.5
Untuk mengalokasikan IP address kita dapat menggunakan perintah ifconfig,
# ifconfig eth0.5 192.168.1.100 netmask 255.255.255.0 broadcast 192.168.1.255 up

Untuk melihat informasi lebih detail tentang interface VLAN yang kita buat dapat menggunakan perintah,
# cat /proc/net/vlan/eth0.5
Jika kita ingin membuang / men-delete interface VLAN dapat menggunakan perintah,
# ifconfig eth0.5 down
# vconfig rem eth0.5