LinuxFW VS CISCO PIX

Dalam sebuah jaringan dengan jumlah user sekitar 150 orang, terdapat 2 firewall, masing-masing adalah Cisco PIX dan Linux FW.

PIX dibangun guna untuk melakukan filtering dari internet ke user, dan linux firewall dibangun untuk melakukan fungsi filtering dari user ke internet.

Awalnya dibangun seperti itu, untuk memenuhi kebutuhan beberapa server yang harus melakukan mapping. seiring berjalannya waktu, server-server tersebut sudah tidak digunakan lagi, sehingga penetapan 2 firewall, khususnya linux firewall dirasa tidak efektif, selain itu, proses pembacaan dari user ke internet meupun ke server-server lainnya yang masih aktif, menjadi lebih lambat, karena ada proses double translasi.

Melihat kondisi seperti itu, maka design jaringan sedikit demi sedikit berubah, yaitu menghilangkan fungsi linux firewall, dan menjadikan PIX menjadi 3 interface yaitu : outside, dmz dan inside.

Selain lebih cepat karena tidak double translasi, tingkat keamanan juga lebih terjamin. walaupun tidak ada system yang sempurna, namun menjadikan system se aman mungkin.

 

Dan berikut ini adalah tahap-tahap yang dilakukan.
1. Kabel yang terhubung di inside eth PIX (192.168.1.1/22) dilepas, dan tempatkan di DMZ eth PIX (192.168.200.1/24) (Diagram Logic Network Before)
2. kabel yang terhubung ke inside di Linux FW dilepas dan tempatkan ke inside eth PIX (Diagram Logic Network After).
3. Matikan Linux Firewall (Diagram Logic Network Before).
4. Berikan nama bagi setiap interface dan tingkat keamanannya (Diagram Logic Network After)
#nameif ethernet0 outside security0

#nameif ethernet2 dmz security50

#nameif ethernet1 inside security100

5. Aktifkan DMZ eth PIX

#interface ethernet0 100full

#interface ethernet1 100full

#interface ethernet2 100Full shutdown
menjadi
#interface ethernet2 100full

6. Membuat global Outside menggunakan ip public (200.x.x.x)
7. Membuat global DMZ menggunakan ip dmz (192.168.200.x)
8. Membuat nat DMZ (192.168.200.x)
9. Membuat nat Inside (192.168.1.0)
10. Membuat mapping address dari “Outside ke DMZ” dan “Inside ke DMZ”.
11. Mengaktifkan command mapping dan mendefinisikan port apa saja yang boleh lewat dengan Conduit.
12. Membuat route ke Outside melalui IP Public Eth Router
13. Membuat route ke Inside melalui IP Inside PIX (jika dalam jaringan terbagi menjadi vlan).

Selanjutnya proses testing dan monitoring dilakukan, jika semua device dan aturannya sudah berjalan sesuai dengan fungsinya masing-masing.

Wassalam

Adi Maulana

Migrasi ISP

Rencana migrasi dari isp C ke isp B akhirnya di lakukan juga pada hari jumat tanggal 16 maret 2007 dimulai jam 10-an, dan berlangsung selama 3 jam termasuk masa monitoring ditempat.

Rencana migrasi isp ini bukanlah tanpa persiapan, sudah sekitar 1 bulan masa trial jalur internet isp B digunakan oleh customer B. sebelum akhirnya dilakukan migrasi ini, ada beberapa tahap yang harus dilakukan.

1. Tahap Assessment
Saya menganggap tahap awal ini adalah tahap assessment karena pada tahap ini yang dilakukan adalah :
1.1 Pemasangan jalur fiber optik oleh team isp B, dan memberikan masa trial selama 30 hari, yang pada akhirnya nanti akan digunakan untuk mengganti jalur frame relay.

1.2. Pencarian masalah dalam jaringan local area network, pencarian ini dirasa perlu karena berdasarkan analisis penggunaan internet pada saat menggunakan ISP C, koneksi internet dirasa sangat lambat, sampai akhirnya dibuat installasi SARG, yang pernah dibahas pada posting sebelumnya, dan berdasarkan hasil trafik menggunakan cacti, bahwa jalur smtp digunakan oleh oleh public, hal ini menyebabkan jalur internet hampir 60% digunakan oleh pihak luar, hal tersebut yang menyebabkan koneksi internet begitu lambat pada saat digunakan oleh user customers B, tentu saja kondisi diatas bukan satu-satunya penyebab, banyaknya user yang akses ke website-website yang berbau porn dan sex, juga menjadi urutan 10 besar dalam kategori link website yang sering diakses.

2. Tahap Persiapan
Tahap ini adalah tahap yang boleh dibilang tahap yang sangat panjang, mengapa ?…karena dalam tahap ini banyak melibatkan pihak-pihak terkait termasuk direktur utama IT.
adapun pihak-pihak terkait itu adalah : Depkominfo, ISP C, ISP B, Direktur utama IT customer B.
Adapun tugas-tugas pihak terkait tersebut adalah :
ISP C : yang akan memutuskan jalur koneksi internet yang menggunakan Frame-Relay

ISP B : yang menyediakan jalur koneksi internet menggunakan Fiber-Optik

Depkominfo : yang bertugas dalam memberikan username dan password dan akses mode priviledge dalam rangka merubah ip address domain yang menunjuk ke ip address lama ISP C untuk diubah ke ip address baru di ISP B.

Direktur IT customer B : bertugas memberikan tanda tangan dari surat kuasa dan surat pernyataan yang diminta oleh Depkominfo.

3. Tahap Migrasi
Dalam tahap migrasi ini, tahap-tahap yang dilakukan adalah:
3.1. Mengganti jalur isp dari ISP C ke ISP B yang terhubung melalui modem dengan kabel V35.
3.2. Mengganti Router Cisco 1600 yang sebelumnya digunakan untuk trial ISP B menjadi Router cisco 3600 yang sebelumnya digunakan oleh ISP C.
3.3. Mengganti konfigurasi di Router Cisco 3600 dan PIX Firewall sesuai dengan ip address ISP B.
3.4. Mengganti konfigurasi ip address dalam DNS local
3.5. Mengganti ip address dari domain customer B dari ISP C yang lama, menjadi ip address dari ISP B yang baru. di https://register.net.id.
3.6. Melakukan test DNS di http://www.dnsreport.com dengan hasil

Category StatusTest NameInformation Parent PASSMissing Direct Parent checkOK. Your direct parent zone exists, which is good. Some domains (usually third or fourth level domains, such as example.co.us) do not have a direct parent zone (‘co.us’ in this example), which is legal but can cause confusion. INFONS records at parent serversYour NS records at the parent servers are:

domain customer B. [X.X.X.X] [TTL=13300] [ID]
dns1 ISP B [X.X.X.X (NO GLUE)] [ID]
dns2 ISP B [X.X.X.X (NO GLUE)] [ID]

Maksud dari test dns diatas adalah bahwa pada saat melakukan pergantian ip address ini, ip address baru sudah dikenal dan ip address lama sudah tidak digunakan, namun perlu diketahui bahwa Kondisi diatas masih intermitten, artinya kadang ip address customer B sudah dikenal dan tidak, atau malah kembali ke ip address lama ISP C. Kondisi ini dirasa normal, berhubung ada masa jeda, sesuai kondisi link, paling lama satu hari atau 24 jam

4. Tahap Monitoring
Merupakan tahap untuk memantau setelah proses migrasi berlangsung, tahap ini adalah tahap untuk memastikan semua server baik mail server, domain atau fungsi server-server lain dapat bekerja sebagaimana mestinya, dan dapat diakses baik dari inside maupun outside dengan baik dan benar.

Dalam tahap monitoring ini, yang dilakukan adalah :
4.1. Mengacu kepada http://www.dnsreport.com, ip address domain customer B harus sudah berubah dari ip address ISP C menjadi ip address ISP B.
4.2. Memastikan domain http://www.[domain customer B] dapat diakses dari outside.
4.3. Mengacu kepada http://www.dnsreport.com, ip address mail customer B harus sudah berubah dari ip address ISP C menjadi ip address ISP B.
4.4. Memastikan mail customer B dapat diakses dari outside.
4.5. Melaporkan dan mendaftarkan domain customer B sebagai secondary di isp B, jika ip address dns primary customer B down.

Tahap monitoring adalah tahap akhir dari Project ini, dengan selesainya tahap ini, serah terima sudah bisa dilakukan, tidak lupa saya ucapkan terima kasih pada pihak-pihak yang membantu selama proses migrasi isp ini, yaitu team dari Customer B, ISP B, dan Depkominfo, serta perhargaan sebesar-besarnya kepada ISP C yang telah banyak membantu selama menggunakan jalur frame relay.

Wassalam
Adi Maulana

Qmail Server

Qmail merupakan mail transfer agent yang berjalan di linux.

Qmail mendukung penggunaan mail seperti
1.Format maildir, untuk menyimpan message.
2.Quick Mail Trasport Protocol (QMTP) merupakan protokol transmisi email yang memiliki fitur lebih secure dibandingkan smtp.
3.Quick Mail Queueing Protocol merupakan protokol yang dibuat untuk proses queue email diantara beberapa host.

Banyak artikel dan petunjuk dalam membangun mail server menggunakan qmail Mail Transfer Agent, salah-satunya dalam qmailrock,

4 alasan memilih qmail
1. Security
Security bukan saja tujuan, namun sudah kebutuhan wajib yang harus dipenuhi, Mail Delivery merupakan hal yang “critical” bagi user, yang tidak bisa di disable, jadi harus benar benar aman.
2. Reliable
Qmail akan memberikan garansi setiap message yang masuk, setelah email masuk ke system itu artinya email tidak akan hilang, karena qmail support maildir, super reliable user mailbox format Maildir, tidak akan rusak jika system mengalami crash selama proses pengiriman.
3. Effisien
Dibawah Pentium saja, qmail server mampu mengandle 200000 local message per hari dan itu terpisah dari email yg ditolah dan terkirim ke mailbox, secara bersamaan qmail mampu mengirim sampai dengan 20 email defaultnya.
4. Simple
Sangat simple dibandingkan dengan MTA internet mail lainnya.

Proses instalasi tidak akan saya uraikan disini, karena pada saat instalasi qmail server ini, saya mengarah petunjuk di http://www.qmailrocks.com/ sesuai linux fedora 6 yang saya gunakan.

Namun saya akan berbagi masalah yang timbul dan solusi yang sekiranya dapat membantu, pada saat proses instalasi qmail server ini. (more…)

Princess Hours

ga…ga..ga…gw bukan penggemar sinetron, gw cuman suka aja ma aktris nya.

download soundtract disini

Mikrotik Eui

Sebenarnya ga berniat tuk belajar dan mengetahui lebih dalam tentang mikrotik ini, tapi…admin kantor tiba-tiba harus dipindah sementara ke kantor cabang, ya…mau ga mau harus tau juga tentang mikrotik ini, berhubung, segala kebutuhan mengenai buka tutup port, system Nat, selalu diperlukan guna melakukan simulasi team RnD, pa lagi belakangan internet kabel sering bermasalah, selain itu petir yang mengganggu sampe beberapa aktive device bermasalah, sehingga berdampak ke mikrotik ini, seperti pergantian ethernet card, yg secara otomatis harus merubah dimikrotiknya pula (cuman mac address doang c).

Perlu diketahui bahwa mikrotik merupakan sistem operasi under Linux/Unix dan perangkat lunak yang di install di komputer yang dapat dijadikan sebagai sebuah router, banyak fitur-fitur yang terdapat dalamnya, seperti membuat vlan, membangun sebuah firewall, mengatur bandwidth atau dikenal dengan bandwidth management, dapat melakukan fungsi routing seperti router, dapat bertindak sebagai dhcp server maupun client, dapat memberikan layanan authentikasi, support untuk user wireless…dan banyak fitur lainnya.

Hhmmm…ga kan banyak cerita mengenai mikrotik ini, namun ada beberapa command dasar yang harus tahu, jika akan menggunakan mikrotik ini.

Skenario Static Address
####################
Membuat interface vlan :
add name=104 vlan-id=104 interface=ether2 disabled=no arp=enable

Membuat address vlan :
ip address add address=10.1.3.1/30 interface=103

Membuat firewall
ip firewall nat add src-address=10.1.3.2/32 action=masquerade chain=srcnat

Membuat bridge
inteface bridge add name=bridge1 disable=no

Menjadikan vlan sebagai anggota bridge
interface bidge prort set 101 bridge=bridge1

Mendisable akses antar vlan anggota bridge
interface bridge filter add chain=forward in-bridge=bridge1 out-bridge=bridge1 action=drop

Skenario Dinamic Address
######################

ip pool add name=101 range=10.1.1.2
ip pool add name=102 range=10.1.2.2
ip pool add name=103 range=10.1.3.2
ip pool add name=104 range=10.1.4.2

ip dhcp-server add name=101 interface=101 address-pool=101 disable=no
ip dhcp-server add name=102 interface=102 address-pool=102 disable=no
ip dhcp-server add name=103 interface=103 address-pool=103 disable=no
ip dhcp-server add name=104 interface=104 address-pool=104 disable=no

ip dhcp-server network add address=10.1.1.0/30 gateway=10.1.1.1
ip dhcp-server network add address=10.1.3.0/30 gateway=10.1.3.1
ip dhcp-server network add address=10.1.4.0/30 gateway=10.1.4.1

Menambahkan port 5050 dan 5010 untuk gaim di mikrotik
#############################################

#/ip firewall nat add chain=srcnat out-interface=ether2 protocol=tcp dst-port=5050 action=masquerade disabled=no
#/ip firewall nat add chain=srcnat out-interface=ether2 protocol=tcp dst-port=5010 action=masquerade disabled=no

Menampilkan translasi ip nat firewall
##############################

#/ip firewall nat print

chain=srcnat out-interface=ether2 protocol=tcp dst-port=5010 action=masquerade

chain=srcnat out-interface=ether2 protocol=tcp dst-port=5050 action=masquerade

Membuka semua port (yg dinat)
###########################

#/ip firewall nat add chain=srcnat action=masquerade

Wassalam

Adi Maulana