Kategori: Firewalls dan Keamanan Data

Menghitung Resiko (Risk)

mk.keamanan.jaringan.dan.sistem.informasi

Manajemen resiko dibutuhkan ketika suatu keputusan akan diambil dalam suatu organisasi. Dalam keamanan sistem informasi pun diperlukan analisa terhadap resiko yang mungkin terjadi ketika suatu sistem baru akan diterapkan. Resiko merupakan akumulasi perkalian antara seberapa besar konsekuensi terhadap seberapa seringnya terjadi.

Pada rumus di atas ada variabel m yang merupakan faktor-faktor resiko. Faktor-faktor ini harus dirumuskan oleh orang yang ingin menghitung skor resiko. Faktor resiko diperoleh lewat:

  • Sejarah
  • Analisa
  • Pengetahuan

Contoh Perhitungan

Misalnya ada kebijakan untuk merubah sistem akademik dari manual menjadi online. Bagaimana menghitung skor resikonya? Pertama-tama tentu merinci faktor-faktor resikonya. Tiap orang tentu saja berbeda-beda tergantung pengalamannya. Makin berpengalaman seseorang maka makin akurat perhitungan skor resikonya. Misalnya faktor resikonya antara lain:

  • Jadwal perkualiahan kacau di awal, sehingga mahasiswa banyak yang salah masuk kelas, bahkan bisa terjadi demonstrasi. Untuk faktor ini misalnya konsekuensi=4 dan frequency=4 dengan alasan sangat berdampak pada reputasi kampus. Sementara frekuensi besar mengingat kampus tersebut suka sekali demonstrasi.
  • Banyak dosen yang tidak bisa mengajar sesuai jadwal karena sistem bisa saja kesulitan mengaturnya. Konsekuensi=2 dan frekuensi=3. Dalam hal ini misalnya kampus dengan mudah mencari dosen pengganti dan tidak terlalu berdampak. Sementara frekuensi 3 karena kejadian tersebut jarang terjadi dan sudah biasa ditangani oleh pihak tata usaha.
  • Reputasi pembuat sistem dipertanyakan karena baru dua kali menangani sistem, itu pun tidak serumit yang akan diterapkan di kampus tersebut. Di sini konsekuensi=5 (maksimal) dan frekuensi juga 5 karena berdasarkan informasi kampus-kampus lain banyak yang harus disinkronkan antara sistem dengan pengembang, sehingga butuh pengembang yang berpengalaman.

Misalnya hanya tiga faktor saja yang dibahas, dengan skor dari 1 hingga maksimal 5. Maka total resikonya diperoleh dengan mengalikan konsekuensi dengan frekuensi di tiap-tiap faktor: 4×4 + 2×3 + 5×5 = 47 yang jika dirata-ratakan = 15,7. Perhatikan tabel di bawah ini, maka skor resiko masuk dalam kategori High Risk. Sekian, semoga bermanfaat.

Iklan

Konversi Kode String ke ASCII di Matlab

Iseng-iseng buka tulisan yang lalu tentang enkripsi karena materi mulai masuk ke pemrosesan teks, ternyata banyak yang lupa. Salah satunya adalah konversi dari string ke kode ASCII. Kode ini sangat diperlukan ketikan mengkonversi dari satu ASCII ke yang lainnya dalam rangka enkripsi.

Menambah dengan Nol

Dulu pernah belajar kode ASCII pada mata kuliah bahasa rakitan ketika membahas masalah interupt. Ternyata hingga saat ini tidak berubah.

Bagaimana mengetahui kode ASCII selain dengan tabel di atas jika menggunakan Matlab? Caranya mudah yaitu tambahkan saja string dengan nol, beres sudah. Misal huruf ‘A’ maka:

  • >> teks=’A’
  • teks =
  • A
  • >> ascii=teks+0
  • ascii =
  • 65

Di sini 65 merupakan kode HTML, yang berbeda dengan HEXA (41). Jika sudah, kita dengan mudah mengenkripsi suatu kata, misalnya “Rahmadya” dengan algoritma “tambahkan kode ASCII tiap huruf dengan satu”.

Mengenkripsi Kata

Fungsi yang diperlukan adalah CHAR untuk menampilkan kode ASCII ke string. Masukan ke command window instruksi berikut ini.

  • >> teks=’Rahmadya’
  • teks =
  • Rahmadya
  • >> enkripsi=teks+1
  • enkripsi =
  • 83 98 105 110 98 101 122 98
  • >> char(enkripsi)
  • ans =
  • Sbinbezb

Perhatikan Sbinbezb itu adalah kode enkripsi yang dihasilkan. Untuk mendekripsi caranya mudah, yaitu dengan mengurangkan satu kode tersebut.

  • >> dekripsi=ans-1
  • dekripsi =
  • 82 97 104 109 97 100 121 97
  • >> char(dekripsi)
  • ans =
  • Rahmadya

Perhatikan kode aneh “Sbinbezb” setelah dienkripsi adalah “Rahmadya”. Semoga hal sepele ini bermanfaat.

Persiapan Ujian Akhir Semester Firewall dan Keamanan Data

Pengumuman:

Hari ini adalah pertemuan terakhir menjelang UAS untuk Mata Kuliah Firewall dan Keamanan Data. Harap yang belum mengumpulkan tugas segera mengumpulkan lewat email. Pastikan saat mengirimkan email lampiran / attachment disertakan serta email sampai ke saya.

Ujian akhir berisi soal-soal latihan minggu lalu dan sebelumnya, hanya saja diacak dan tiap siswa tidak memiliki soal yang sama. Oleh karena itu diharapkan tiap kelompok saling berbagi penyelesaian soalnya, dan koreksi jika jawaban dari kelompok lain ada yang kurang tepat menurut Anda.

Coba cari informasi berikut ini untuk UAS nanti:

  1. Jika Anda membuat program penyusup, virus, dan sejenisnya, menurut UU ITE Republik Indonesia, berapa tuntutan yang diberikan oleh pasal tersebut?
  2. Pencemaran nama baik di internet lewat blog, media sosial, dan lain-lain menurut UU ITE terkena pasal berapa dengan tuntutan apa saja?
  3. Apa yang telah dilakukan oleh Edward Snowden sehingga ia dicari / buron oleh pemerintah Amerika Serikat.


(Sumber: http://www.csmonitor.com/var/ezflow_site/storage/images/media/content/2013/0609/0609-edward-snowden.jpg/16009647-1-eng-US/0609-edward-snowden.jpg_full_600.jpg)

 

NB:

Berikut yang sudah mengumpulkan tugas Firewall dan Keamanan Data: Kelompok 2 (Muhammad Imam Muarif, Lukman Hadi, Doni M. Kohar), Kelompok 1 (Lussy), dan Kelompok 4 (Agung Nugroho dan Arif Bayu).

Tugas II Firewall & Keamanan Data

Yang sudah menyelesaikan tugas firewall:

  1. M Imam Muarif
  2. Agung Nugroho
  3. Tomi Sukma Nugraha
  4. Arif Bayu
  5. M Ali
  6. Asep
  7. Irfan Supian

Jawablah pertanyaan berikut ini untuk nilai tugas kedua (Kelompok bebas maks 2 orang, atur agar tidak ada soal yang sama antara satu kelompok dengan kelompok yang lain):

Kelompok 1:

  1. Aspek keamanan jaringan terdiri dari privacy, integrity, authentication, availability, access control dan non-repudiation. Jelaskan dengan kata-kata Anda sendiri.
  2. Jelaskan apa yang dimaksud Steganografi dan Kriptografi.
  3. Sebutkan kelemahan-kelemahan enkripsi.
  4. Sebutkan port-port standard HTTP, POP3 dan DNS !

Kelompok 2:

  1. Apa yang dimaksud dengan serangan Denial of Service (DOS)
  2. Jelaskan dengan kata-kata sendiri istilah Socket Secure Layer (SSL) yang sering dipergunakan oleh institusi perbankan.
  3. Jelaskan perbedaan yang mencolok antara Virus, Trojan dan Worm.
  4. Sebutkan dua jenis teknik yang dipergunakan oleh engine antivirus!

Kelompok 3:

  1. Jelaskan pengertian dari istilah-istilah Hacker, Cracker, Sniffer dan Spoofing !
  2. Jelaskan prinsip dasar enkripsi yang melibatkan chipper text dan enchiper !
  3. Sebutkan kelemahan-kelemahan enkripsi.
  4. Sebutkan port-port standard HTTP, POP3 dan DNS !

Kelompok 4:

  1. Apa yang dimaksud dengan serangan Denial of Service (DOS) dan Distributed Denial of Service (DDOS)?
  2. Jelaskan langkah-langkah untuk mencegah terserang virus komputer !
  3. Jelaskan perbedaan yang mencolok antara Virus, Trojan dan Worm.
  4. Sebutkan 10 contoh antivirus yang ada saat ini !

Jawaban di kirim ke alamat email: rahmadya_trias@yahoo.com paling lambat hari ini jam 24.00 WIB.

Virus Trojan

Firewall dan Keamanan Data/01.05.2013/Teknik Komputer

Istilah trojan berasal dari kuda trojan yang merupakan strategi Yunani untuk memasuki Troy. Kuda patung yang berisi prajurit akhirnya bisa masuk dan menguasai Troya (http://en.wikipedia.org/wiki/Trojan_Horse). Prinsip ini digunakan oleh hacker untuk memasuki kumputer yang dituju. Caranya adalah membuat sebuah program yang biasanya menarik dan gratis. Ketika diinstal di komputer, ternyata membuka port tertentu yang digunakan untuk memasukan virus.

Prinsip trojan sebenarnya tidak selalu negatif. Kebanyakan software yang ada unsur “UPDATE” selalu membuka port ketika diinstal. Misalnya program XAMMP berikut ini yang akan membuka port: 3306 ketika dijalankan. Untuk mengetahui port apa saja yang terbuka di komputer kita dapat dilakukan dengan mengetik netsat di command prompt.


Sekarang coba jalankan XAMPP dengan menekan tombol XAMMP start. Hingga server apache dapat berfungsi dengan masuk ke http://localhost. Masuk ke menu phpmyadmin untuk mengakses database mysql.


Karena apache pada XAMPP disertai dengan akses terhadap database Mysql, maka diperlukan port tertentu untuk komunikasi Client dengan Mysql. Sekarang kembali ke Command Prompt, dan jalankan lagi netstat untuk melihat port baru yang terbentuk ketika XAMPP dijalankan.


Perhatikan Localhost:3306 berarti pada PC localhost (127.0.0.1) terdapat port 3306. Coba matikan kembali XAMPP untuk membuktikan jika port 3306 itu muncul akibat XAMPP.

Aplikasi lain seperti antivirus, windows, dan lain-lain yang membutuhkan update, pasti memiliki port tertentu yang terbuka ketika dijalankan. Untuk menghindari virus trojan, sebaiknya tidak sembarangan menginstall program (biasanya game).


 

Mendisable USB Data

Firewalls dan Keamanan Data/10.04.2013/Teknik Komputer

Salah satu sumber penyebaran virus yang saat ini sering terjadi dan sangat merusak adalah lewat flashdisk yang ditancapkan ke USB. Beberapa institusi melarang pengguna menancapkan alat tersebut, selain khawatir terkena virus, juga kemungkinan tercurinya data berukuran besar dan rahasia. Membuat aturan prosedur penggunaan kepada user perlu akan tetapi membatasinya secara sistem akan lebih menjamin keamanan data, mengingat tidak semua pengguna tekun membaca standar operasi.

Salah satu teknik lama yang sering dilakukan untuk menonaktifkan USB adalah dengan mematikan port USB lewat Basic Input Output System (BIOS) yang muncul ketika kita menekan tombol tertentu seperti “dell”, “F1”, dan lain-lain tergantung vendor pembuat BIOS. Akan tetapi cara ini memiliki kelemahan yaitu port USB tidak akan bisa digunakan sama sekali, padahal tidak semua port USB digunakan untuk flashdisk, mungkin saja digunakan untuk scanner, printer, dan mouse. Oleh karena itu diperlukan cara yang lain agar bisa mengakomodir perangkat tersebut.

Windows menyediakan sarana registry editor (regedit) yang dapat dimanfaatkan oleh administrator untuk melakukan setting terhadap software dan hardware. Untuk menjalankannya ketik regedit di menu run. Ketika muncul editor registry, arahkan ke HOT KEY LOCAL MACHINE – SYSTEM – CurrentControlSet – Services – USBSTOR. Pada isian Start, dobel klik dan ganti menjadi nol yang berarti menonaktifkan.

Cara ini cukup berhasil, tetapi terkadang ketika ditancapkan USB baru, registry akan reset kembali dan dapat terbaca lagi. Akhirnya dilakukan dengan cara lain yang lebih ampuh yaitu menghapus folder USBSTOR. Tetapi alangkah baiknya untuk melakukan backup registry terlebih dahulu.

Simpan dan beri nama. Jika ingin kembali ke kondisi sebelum dirubah, Import lagi file reg tersebut. Selamat mencoba.

Membatasi Hak Akses User

Firewall dan Keamanan Data/05.04.2013/Tek. Komputer

Selain menggunakan Active Directory pada Windows server, hak akses untuk user lokal dapat digunakan dengan membuka Group Policy Editor (gpedit) yang dapat diakses di C:\windows\System32. Atau dengan mengetik “mmc” di Run.

Pada institusi yang membutuhkan keamanan tinggi seperti perbankan, militer, dan sejenisnya perlu dilakukan setting terhadap hak akses agar tidak merusak sistem atau penyalahgunaan oleh user yang tidak berhak. Beberapa policy yang sering diterapkan antara lain:

  • Larangan mengakses control panel
  • Larangan menjalankan program tertentu (notepad, command prompt, dan lain-lain)
  • Mengarahkan document ke tempat tertentu, dll.

Misalnya kita akan menghilangkan menu “RUN” di toolbar. Pada gpedit arahkan ke folder “user configuration”,” Administrative Template”, dan “Start Menu and Taskbar”. Dobel klik pada aturan yang akan anda setting, perhatikan kata kunci di depan. Jika “Prohibit”, maka Anda harus menekan “Enabled” jika melarang.

Yang sedikit rumit adalah melarang user dalam menjalankan program tertentu, misalnya notepad. Anda harus mengenal nama program secara rinci, misalnya notepad.exe, cmd.exe, dan sebagainya. Masuk ke “User Configuration”, “Administrative Tempate”, dan “System”. Dobel klik “Don’t run specific Windows Application” . Klik “Show” yang berisi file-file yang dilarang untuk dijalankan oleh user. Tambahkan, misalnya notepad.exe. Perhatikan jika Anda salah mengetik, maka gpedit tidak berfungsi.

Selamat mencoba.

Kunci Enkripsi Symmetric

Kunci ini disebut simetris karena bisa digunakan untuk enkripsi dan dekripsi. Contohnya adalah membalik suatu kata. Misalnya ABCD, dienkripsi menjadi DCBA. Perhatikan, jika DCBA didekripsi dengan kunci yang sama dengan enkripsi hasilnya ABCD.

Perhatikan listing di atas dimana huruf terakhir dikonversi menjadi huruf pertama. Buat GUI untuk masukannya dengan GUIDE (File – New – GUI). Sehingga jika dijalankan menghasilkan tampilan sebagai berikut:

Tapi enkripsi ini mudah ditebak, coba tebak kalimat asli dari:

?ay rubil ag naped tamuj apanek .. bisan .. bisaN

 

Contoh Hasil Enkripsi

Pertanyaan: Kira-kira apa algoritma system enkripsi berikut ini ya?

The process of neural network design consists of four phases:

  1. arranging neurons in various layers,
  2. determining the type of connections between neurons (inter-layer and intra-layer
  3. connections),
  4. determining the way neuron receives input and produce output, and
  5. determining the learning rule for adjusting the connection weights.

 

Hasil enkripsi:

 

Vjg”rtqeguu”qh”pgwtcn”pgvyqtm”fgukip”eqpukuvu”qh”hqwt”rjcugu<“30
cttcpikpi”pgwtqpu”kp”xctkqwu”nc{gtu.”40
fgvgtokpkpi”vjg”v{rg”qh”eqppgevkqpu”dgvyggp”pgwtqpu”*kpvgt/nc{gt”cpf”kpvtc/nc{gt”50
eqppgevkqpu+.”60
fgvgtokpkpi”vjg”yc{“pgwtqp”tgegkxgu”kprwv”cpf”rtqfweg”qwvrwv.”cpf”70
fgvgtokpkpi”vjg”ngctpkpi”twng”hqt”cflwuvkpi”vjg”eqppgevkqp”ygkijvu0″

 

Hasil dekripsi

 

The process of neural network design consists of four phases: 1.arranging neurons in various layers, 2.determining the type of connections between neurons (inter-layer and intra-layer 3.connections), 4.determining the way neuron receives input and produce output, and 5.determining the learning rule for adjusting the connection weights.

Menutup Akses Flashdisk

Sumber datangnya virus untuk perkantoran biasanya berasal dari flash disk, selain kekhawatiran terhadap tercurinya data rahasia. Beberapa institusi seperti bank, data center, dan sebagainya kebanyakan dilarang menggunakan flashdisk. Tugas Anda adalah menutup akses flashdisk suatu PC yang berbasis windows.

  • Start – RUN. Ketik ‘regedit
  • Sebelumnya ada baiknya kita melakukan backup terhadap registri.

  • Klik: File – Export: untuk gampangnya letakkan di desktop. Beri nama, misal: “usb_on”
  • Maka kita telah menyimpan registry default dari komputer tersebut.
  • Buka (bongkar) HKEY_LOCAL_MACHINE – SYSTEM – CurrentControlSet – Services – USBSTOR

(NOTE: Walaupun kita dapat mengganti nilai Start dengan harga tertentu agar flashdisk OFF, tetapi cara tersebut masih bisa ditembus. Cara yang kuat adalah dengan men-delete USBSTOR)

  • Klik kanan pada USBSTOR – Delete.
  • Coba masukkan flashdisk, pastikan tidak terbaca.

Untuk mengembalikan, dobel klik pada usb_on.reg hasil backup registry.

Windows 2000 Firewalling

 Karena situs aslinya malah sudah tutup, saya share lagi, sayang ilmunya:

Windows 2000 as well as Windows XP Professional both allow the end user to construct a IPSec Firewall without having to rely on canned or “for purchase” third-party solutions. I myself am amazed when paging through industry journals that spend most of their time painting most Firewall systems as half-baked because those systems only prevent ingress packets and not egress packets. I must admit that after witnessing Windows XP’s sorry excuse for Firewalling (this indeed is half-baked), I was heartened to see that Microsoft left the IPSec functionality alone while upgrading Windows. The only sin Microsoft is guilty of in this regard is burying the IPSec system so very deep in the system, where in Windows 2000 it’s nearly at the surface. Windows 9x is completely helpless in this regard and Linux uses a different system altogether so this is primarily going to just concentrate on Windows IPSEC Firewall security.

IPSec Firewalling begins at a blank MMC console:


From here, we will click these items in order:

  1. Console
  2. Add/Remove Snap-in
  3. Add
  4. Select “IP Security Policy Management”
  5. Add
  6. Finish
  7. Close
  8. Ok

To get to our starting screen:


Alternately, there is a faster way within Windows XP (maybe also 2000) and that is: Start, Run, secpol.msc. Thanks for the comments, sorry that the MMC intro is a little labyrinthine, Win2k (when I wrote this page initially) didn’t have a lot in the way of guides.

Windows 2000 initially ships with all these nifty MMC extensions and snap-ins to make your life easier, and it’s one of the most overlooked “cool features” that Microsoft never really hyped enough when they initially released Windows 2000. IPSec lacks some defaults, but this lack of attention on Microsofts part is easily patched over. IPSec lacks the ability to block any ports, even though blocking is something that you can eventually establish for rules and such, I’ve found adding to the IPSec Filter Actions an entry called “Block” makes life much easier later on. To establish a “Block” Filter Action, follow these steps:

  1. Click on the “plus symbol” next to “IP Security Policies…” under the Console Root folder in the left-hand pane
  2. Right-click on “IP Security Policies…” in the left-hand pane
  3. Click “Manage IP Filter Lists and Filter Actions”
  4. Click on the tab “Manage Filter Actions”
  5. Click Add
  6. Click Next
  7. Set Name field to “Block” and set the description to “Block Access”
  8. Click Next
  9. Click the radio-button next to “Block” in the “Filter Action” dialog box
  10. Click Next
  11. Click Finish

This will be how it looks when you are done with establishing a Blocking rule:


Microsoft has never explained why they included “Permit”, “Request Security (Optional)”, and “Require Security” in this by default but never even gave a thought to including “Block” when it seems to be an obvious default to include, but, that’s Redmond Logic for ya. In the beginning we start with this screen:

The firewall we will design will be a member in the right-hand pane of this window, and because I couldn’t think of anything better to call it, I refer to it as “Firewall”. I don’t change any of the other entries and it’s good advice to follow when I say ignore anything about Kerberos. Mostly because I’ve yet to see anyone seriously use it and frankly I think Microsoft has done naughty things making their little private extensions to the Kerberos standard, oh well, they don’t call it the Beast of Redmond for nothing.

Moving on…

We start our firewall off by these steps:

  1. Right-clicking on the “IP Security Policies on…” item in the left-hand pane
  2. Click on “Create IP Security Policy”
  3. Click Next
  4. In the Name field, type in “Firewall”, and in Description type in “Firewall”
  5. Click Next
  6. Click Next (the default will do fine)
  7. Click Next (the default will do fine)
  8. If you are not part of a domain, like me, a Warning will pop up, ignore it, if it doesn’t, then ignore this line. Click Yes if you get it.
  9. Click Finish

This screen is now were we concentrate our activities, you’ll have to uncheck “Use Add Wizard” because I found it tacky and slow, and you might too! Anyhow, the screenshot:

For my firewall I ignore the <Dynamic> rule.

I’ve defined several rules that I found very useful and I’ll detail them all below, following some examples I set here to show how to insert them and make them work for you.

First lets create a basic rule that denies all TCP/IP traffic and all ICMP traffic. We build the firewall with the idea of a leperous network, as many protocols that we can turn off the better, and blocking protocol types is the best place to start because at least in the case of TCP/IP it terminates egress and ingress on ALL PORTS from 0 to 65,535. To achieve this follow these steps below:

 
 

  1. Click Add
  2. Two Filter Lists come predefined, All IP Traffic and All ICMP Traffic
  3. Click the round circle to the left of “All IP Traffic” and then click on the tab named “Filter Action” and click the circle to the left of “Blocked”
  4. Click OK.
  5. Click Add
  6. Click on the tab named “IP Filter List”
  7. Click the round circle to the left of “All ICMP Traffic” and then click on the tab named “Filter Action” and click the circle to the left of “Blocked”
  8. Click on the tab named “IP Filter List”
  9. Click OK.

These steps effectively block all IP and ICMP traffic from both egress and ingress to your system once the “Firewall” package has been assigned. At this point in the game, your computer is almost as good as unconnected to the network, no port scanning on your IP address will reveal any ports open and as an added bonus, since you’ve also cut off ICMP traffic as well, all port scanning to your IP Address will behave as if it is a TCP/IP black hole, packets get sent out but they never get accepted or refused right out, so the scanner will have to wait for timeouts to pass for each scanned port, that seriously slows any scanning program right down, good for you and the WH, bad for the BH.

However, in this state it does suck for the user. Since no traffic can enter or leave based on IP or ICMP protocols it’s just as if we had unplugged the poor person from the network. This basic firewall is a great way to deny a user a path to the Internet while still allowing them the benefit of knowing the Ehternet cable is plugged into their NIC. At this point we have to start poking holes in our firewall to let the ports we know pass through in the ways we wish.

The general form that I follow depends on what filter definition you use, these shots coming up will show how to limit a popular port, like 80/tcp by ingress, or egress, or just from a particular subnet. Then at the end I’ll discuss what ports I do let through and why.

To Allow Port 80/tcp ingress (Opening your Webserver)

Starting from the top:


I’ve already created an “Example Firewall” and stocked it with all the options in order to achieve the objective, wihch is to provide 80/tcp ingress. The definition on the “Example Firewall” on the left, and when you double-click on “Example”, you see the screen on the right:

So far, we have a IP Filter List that we’ve selected, and also allowed for it’s traffic to pass by selecting Permit in the “Filter Action” screen. Next we will go back to the IP Filter List called “Example” and show in a series of shots how to create a hole in our firewall (covered above) so that the HTTP port, 80/tcp is allowed open and given the rights for ingress, so that a webserver on our machine can be seen on the general internet. Note that this example doesn’t make use of the subnet rules to define sections of network as friendly or unfriendly. Examples follow…

  

 
 

Essentially that is all there is to it, beyond being particular about subnetting and deciding ports and protocols the rest of the firewalling is up to you, the administrator. If you prepare a system like I have then you eventually find yourself developing a firewall that protects people while still allowing them to use the services they have come to depend on without risking ingress or egress on any other port that might eventually become useful to a BH agent. I simply leave ICMP totally alone except for opening it up to the local LAN, this provides ICMP messages (ping and tracer) information to flow across my LAN with ease but prevents any other ICMP packets from actually being processed by any of the Windows 2000 systems on my LAN. More of course, is coming up as I describe the ports and the why’s behind my selections.

Firewall Port Selection

Previously I stated that having the basic no-traffic-allowed firewall was the simplest to implement, it was also the most impossible to use. Because no packets can egress or ingress at all, no services that use network components ultimately fail. Items such as Netscape Navigator, Internet Explorer, DNS, NetBIOS, and even the Novell Client32 cannot work properly under these conditions. I faced this exact question when I first started working on this firewalling project. Initially I wanted only to provide firewall holes for services I knew about and I knew my users would absolutely need for core business processes. Because Windows 2000 IPSec firewalling prevents egress as well as ingress, I realized an unforseen benefit from employing these firewalls, unauthorized software that is internet enabled and uses unique TCP/IP ports are rendered useless without the user requesting help, and with slightly educated users, help with turning on ports, which leads to questions and a very useful way to protect people from their own shortsightedness. Anyhow, on with the Parade of Ports:

Service Name

Port Numbers Used

Notes/Comments

Ingress/Egress

HTTP

80/tcp

  

Egress

DNS

53/tcp & 53/udp

Only Allowed for 192.168.0.0

Egress

Wins (TCP)

42/tcp & 42/udp

  

Egress

NNTP

119/tcp

  

Egress

Network Time Protocol

123/udp

  

Egress

Groupwise (IMAP)

143/tcp

Only Allowed to IMAP server alone

Egress

Server Location (TCP)

427/tcp & 427/udp

  

Egress

SSL (TCP)

443/tcp

  

Egress

Hi-Wins

1512/tcp & 1512/udp

  

Egress

Groupwise

1677/tcp

Only allowed for 192.168.0.0

Egress

NetMeeting Gate Discovery

1718/tcp & 1718/udp

  

Egress

NetMeeting Gate Stats

1719/tcp & 1719/udp

  

Egress

NetMeeting Host Call

1720/tcp & 1720/udp

  

Egress

NetMeeting Connector

1503/tcp & 1503/udp

  

Egress

NetMeeting MSICCP

1731/tcp & 1731/udp

  

Egress

VNC

5800/tcp & 5801/tcp

  

Egress

VNC

5900/tcp & 5901/tcp

  

Egress

NetMeeting IN

1503/tcp & 1503/udp

  

Ingress

NetMeeting IN

1718/tcp & 1718/udp

  

Ingress

NetMeeting IN

1719/tcp & 1719/udp

  

Ingress

NetMeeting IN

1720/tcp & 1720/udp

  

Ingress

NetMeeting IN

1731/tcp & 1731/udp

  

Ingress

FTP

21/tcp

  

Egress

FTP Datastream

20/tcp

  

Egress

Netware

213/tcp

  

Egress

Netware

396/tcp

  

Egress

Netware

524/tcp

  

Egress

Real Time Streaming Proto

554/tcp

  

Egress

RealPlayer

7070/tcp

  

Egress

RealPlayer

6970/udp

  

Egress

Novell Portal

8008/tcp

  

Egress

Novell Portal

8009/tcp

  

Egress

Defrag

3090/tcp

  

Egress

Defrag

139/tcp

  

Egress

Defrag

445/tcp

  

Egress

Telnet

23/tcp

  

Egress

Wins

135/tcp

Only allowed for 192.168.1.0 & 192.168.2.0

Ingress

NetBIOS-NS

137/udp

Only allowed for 192.168.1.0 & 192.168.2.0

Ingress

NetBIOS-DGM

138/udp

Only allowed for 192.168.1.0 & 192.168.2.0

Ingress

NetBIOS-SSN

139/tcp

Only allowed for 192.168.1.0 & 192.168.2.0

Ingress

SMB over TCP

445/tcp

Only allowed for 192.168.1.0 & 192.168.2.0

Ingress

ICMP Ports for LAN

all/icmp

Only allowed for 192.168.1.0 & 192.168.2.0

Ingress

All other TCP/IP and ICMP ports are left closed, and all NetBIOS ports (nee, read SMB) are specifically closed to all network locations except for 192.168.1.0 and 192.168.2.0 class subnets. I spend extra time defining SMB protections because after analyzing the Windows 2000 logs I detected an inordinate amount of browsing going on thru Network Neighborhood in relationship to a popular subnetwork of ours called ResNet. While I cannot estimate how many of these browsers were bent for some BH purpose, my task was very clear, block everyone except those that must have SMB abilities from engaging in any activities related to SMB. The most sensitive ingress points are likewise protected by the extra definition of the subnet filter, no machine on our LAN outside of our two common subnets may engage these ingress points. The proof comes in the logs, the amount of detected browsing has sharply fallen off and those that do are local users for which I have implicit trust. The only technically unprotected ingress points are those surrounding NetMeeting, however Microsoft provides certificate and username/password controls on NetMeeting so I am not as greatly concerned about protecting those ingress points with so many rules – that and I prefer to leave those particular ingress points free so that I may have the convenience of connecting from remote locations off of our 192.168.0.0 home network.

Download Example Firewall IPSEC file here. (Hint: Use “Save Link As…” or “Save Target As…” to download this file) 

Download Basic Example Firewall IPSEC file here.

How to Install *.IPSEC files:

The file isn’t meant for MMC console, instead it’s meant for the IP Security Policy snap-in. Follow these steps:

  1. Open MMC
  2. Click on File
  3. Click on Add/Remove Snap-In, add the IP Security Policy snap-in, click ok.
  4. When back to the MMC console, click the plus to the left of “IP Security Policies on Local Computer” in the left-hand pane, then click on “IP Security Policies on Local Computer” itself, in the left-hand pane.
  5. Right click on the IP Security Policy icon and click “All Tasks” then click on “Import Policies”, then find the firewall.ipsec file and click ok.

Updated: 6/15/2007

 
 

Security vs Educating User

Security is main concern for microsoft coorporation. Since windows Xp sp 2, it included firewalls on its product, even though in sp 1 windows had used firewalls even must be set manually. After launch windows 7, microsoft introduce anti virus which have a life time lisence. But microsoft sometimes could not educate user well, for example in windows 7 there is suggestion when entering the hot spot area to push the button on the router. Can you imagine if your staff do this at your office?

Internet Connection Sharring (ICS)

Sumber: http://support.microsoft.com/kb/306126/id-id

Artikel ini menjelaskan cara mempersiapkan dan menggunakan fitur Internet Connection Sharing dalam Microsoft Windows XP. Dengan Internet Connection Sharing, Anda dapat menggunakan komputer yang memiliki jaringan untuk berbagi sambungan tunggal ke Internet.

Cara menggunakan Internet Connection Sharing

Menggunakan Internet Connection Sharing untuk berbagi sambungan Internet, komputer host harus memiliki adapter jaringan yang telah dikonfigurasi untuk menyambungkan ke jaringan internal, dan satu adapter jaringan atau modem telah dikonfigurasi untuk menyambungkan ke Internet.
Pada komputer host

Pada komputer host, ikuti langkah-langkah untuk berbagi sambungan Internet:

  1. Log on ke komputer host sebagai Administrator atau sebagai Pemilik.
  2. Klik Mulai menjalankan, dan kemudian klik Panel Kontrol.
  3. Klik Sambungan Jaringan dan Internet.
  4. Klik Sambungan Jaringan.
  5. Klik kanan sambungan yang Anda gunakan untuk menyambungkan ke Internet. Contohnya, apabila Anda tersambung ke Internet dengan menggunakan modem, klik kanan sambungan yang Anda kehendaki di bawahDial-up.
  6. Klik Properti.
  7. Klik tab Lanjut.
  8. Di bawah Internet Connection Sharing, pilih kotak centang Izinkan pengguna jaringan lain untuk tersambung melalui sambungan Internet komputer ini.
  9. Apabila Anda berbagi sambungan Internet dial-up, pilih kotak centang Melakukan sambungan dial-up kapan saja komputer di jaringan berusaha mengakses Internet jika Anda ingin komputer tersambung ke Internet secara otomatis.
  10. Klik OK. Anda menerima pesan berikut ini:

    Saat Internet Connection Sharing aktif, adapter LAN akan disetel untuk menggunakan IP
    alamat 192.168.0.1. Komputer Anda bisa saja kehilangan konektivitas dengan komputer lainnya di
    dalam jaringan. Apabila komputer lainnya memiliki alamat IP yang tetap, sebaiknya disetel
    untuk memunculkan alamat IP secara otomatis. Anda yakin ingin mengaktifkan Internet
    Connection Sharing?

  11. Klik Ya.

Sambungan ke Internet dibagi ke komputer lainnya pada jaringan area lokal (LAN). Adapter jaringan yang disambungkan ke LAN telah dikonfigurasi dengan alamat IP tetap 192.168.0.1 dan penutup subnet 255.255.255.0
Untuk menyambungkan ke Internet dengan menggunakan sambungan terbagi, Anda harus mengkonfirmasi konfigurasi IP adapter LAN, kemudian mengkonfigurasi komputer klien. Untuk mengkonfirmasi konfigurasi IP adapter LAN, ikuti langkah-langkah berikut ini:

  1. Log on ke komputer klien sebagai Administrator atau sebagai Pemilik.
  2. Klik Mulai menjalankan, dan kemudian klik Panel Kontrol.
  3. Klik Sambungan Jaringan dan Internet.
  4. Klik Sambungan Jaringan.
  5. Klik kanan Sambungan Area Lokal, kemudian klik Properti.
  6. Klik tab Umum, klik Protokol Internet (TCP/IP) di dalam daftar Sambungan ini menggunakan item berikut ini, kemudian klik Properti.
  7. Di dalam kotak dialog Properti Protokol Internet (TCP/IP), klik Munculkan alamat IP secara otomatis (jika belum dipilih), kemudian klik OK.

    Catatan Anda juga dapat menetapkan alamat IP tetap tertentu di dalam kisaran 192.168.0.2 sampai 192.168.0.254. Contohnya, Anda dapat menetapkan alamat IP tetap, penutup subnet, dan gateway default berikut ini:

  8. Alamat IP 192.168.0.2
  9. Penutup Subnet 255.255.255.0
  10. Gateway default 192.168.0.1            
  11. Di dalam kotak dialog Properti Sambungan Area Lokal, klik OK.
  12. Tutup Panel Kontrol.

Untuk mengkonfigurasi komputer klien agar dapat menggunakan sambungan Internet terbagi, ikuti langkah-langkah berikut ini:

  1. Klik Mulai menjalankan, dan kemudian klik Panel Kontrol.
  2. Klik Sambungan Jaringan dan Internet.
  3. Klik Opsi Internet.
  4. Pada kotak dialog Properti Internet, klik tab Sambungan.
  5. Klik tombol Persiapan.
    Wisaya Sambungan Baru mulai berjalan.
  6. Pada halaman Selamat Datang di Wisaya Sambungan Baru, klik Berikutnya.
  7. Klik Sambungkan ke Internet, dan kemudian klik Berikutnya.
  8. Klik Persiapkan sambungan secara manual, dan kemudian klik Berikutnya.
  9. Klik Sambungkan dengan menggunakan sambungan broadband yang selalu aktif, kemudian klik Berikutnya.
  10. Pada halaman Melengkapi Wisaya Sambungan Baru, klik Selesai.
  11. Tutup Panel Kontrol.

Sekarang saat Anda menjalankan Microsoft Internet Explorer, komputer klien akan mencoba menyambungkan ke Internet dengan menggunakan komputer host dengan sambungan Internet yang terbagi.


 

Windows 2000/Xp Firewalling

Pengumuman: Untuk Bahan UAS Firewalls kelas Pagi akan diadakan di LAB DISAIN (Praktek):

Download TUTORIAL tutorial, atau minta file sama Arif (Brandal’s C’marang).

Windows 2000 serta Windows XP Professional keduanya membolehkan pengguna akhir untuk membuat sebuah Firewall IPSec tanpa harus bergantung pada pihak ketiga. Jika firewalls ini diaktivasi akan mengakibatkan suatu port tertutup. Tutorial kali ini bermaksud mencoba menutup suatu port dengan bantuan Microsoft Management Console. Dalam hal ini port yang akan kita tutup adalah port internet (port 80). Waspadalah, karena untuk orang yang tidak mengerti pasti akan keheranan mengapa network oke tetapi tidak bisa internetan? Jika menemukan kasus tersebut, jangan langsung diinstall ulang, coba dulu cek MMC apakah ada setting untuk menutupnya.

Ada sedikit perbedaan antara windows 2000/Xp dengan windows 7, tetapi pada prinsipnya sama.


Dari sini, kita akan mengklik item tersebut:

  1. Add/Remove Snap-in
  2. Add
  3. Select “IP Security Policy Management”
  4. Add
  5. Finish
  6. Close
  7. Ok


Ikuti langkah-langkah berikut ini untuk menambah filter action:

  • Right-click on “IP Security Policies…” in the left-hand pane
  • Click “Manage IP Filter Lists and Filter Actions”
  • Click on the tab “Manage Filter Actions”
  • Click Add
  • Click Next
  • Set Name field to “Block” and set the description to “Block Access”
  • Click Next
  • Click the radio-button next to “Block” in the “Filter Action” dialog box
  • Click Next
  • Click Finish
  • This will be how it looks when you are done with establishing a Blocking rule:


Microsoft tidak pernah menjelaskan mengapa mereka termasuk “Izin”, “Permintaan Keselamatan (Pilihan)”, dan “Require Keselamatan” di ini dengan default tetapi tidak pernah berfikir memberi anda termasuk “Blok” ketika tampaknya menjadi default jelas untuk memasukkan, tapi, itu Redmond Logik untuk ya. Pada awalnya kita mulai dengan paparan ini:


Selengkapnya lihat: http://homepages.wmich.edu/~mchugha/w2kfirewall.htm

Pertemuan XII: Instalasi Software Enkripsi PGP

Hari/Tgl/Ruang/Mt.Kuliah/Dosen: Senin/07-06-2010/Lab.Design/Firewalls dan Keamanan Data/Rahmadya Trias H., ST, MKom.

Pertemuan kali ini membahas teknik enskripsi, dekripsi, tanda tangan digital dan manajemen keamanan terhadap data penting. Software yang digunakan merupakan software gratis PGP Software 6.0. Berbeda dengan sistem password, pada enkripsi, data yang kita miliki diolah terlebih dahulu menjadi chipper text yang harus didekripsi terlebih dahulu sebelum dibaca. Sehingga untuk membongkarnya kita terlebih dahulu harus memiliki “Kunci” yang dibuatkan oleh software tersebut. KLIK DI SINI, untuk melihat cara instalasi.

Setelah software terinstall, fasilitas yang tersedia lumayan banyak antara lain: encrypt, decrypt, digital signature, wipe dan sebagainya. Pada software itu diperkenalkan juga kunci privat dan kunci public yang disebarkan ke lingkungan yang akan menggunakan software PGP. Tiap anggota lingkungan berkewajiban menyerahkan kunci public yang akan digunakan untuk tujuan jika ada seseorang yang akan mengirimkan file terenkripsi ke kita. Jadi tiap lingkungan memiliki kumpulan kunci public yang diberi istilah “Ring”. Kunci private hanyalah dimiliki tiap individu. KLIK DI SINI, untuk membuat RING.

Yang menarik adalah digital signature sebagai pengganti tanda tangan konvensional. Perlu diketahui, bahwa tanda tangan tidak bisa dengan cara meng-capture gambar/image tanda tangan. Karena fungsinya (authentication and repudiation) tidak berjalan. Sebagai gantinya, kita bisa menempelkan digital signature kita via software tersebut, dan lingkungan (RING) akan mengetahui bahwa file/data tersebut bener-benar ditulis oleh si penanda tangan. KLIK DI SINI, untuk melihat proses digitalisasi tanda tangan (digital signature).

Salah satu hal menarik dari software ini adalah teknik menghapus suatu file dengan enkripsi tertentu (secure delete) sehingga file yang telah kita hapus tidak dapat dibaca via recovery software sehingga data aman dari pihak lain yang berniat mencuri data. KLIK DI SINI untuk download software tersebut.