23 Desember 2009

Firestarter dan openVPN client

Notebook gue pake firewall instant. Tentunya pake Firestarter aja. Tinggal klik klik klik udah ready secure firewall untuk personal. Dan langsung ready di gunakan. Keren bukan? Sapa bilang linux susah??? :-D

Sekarang giliran VPN-nya. Karena kebutuhan personal jadi meninggi, gue pake ADSL. Lumayan kenceng. Tapi ente tau sendiri deh. Kerjaan di network terpisah, tentu jadi ribet. Terutama kalo mau mengakses client dan server internal office nggak semudah dulu. Sekarang notebook gue di luar network office. Jadi VPN sangat menunjang banget.

Setelah setting openVPN di network-manager, dan berhasil koneksi ke VPN server office. Rupanya nggak ada hasil real. Bener koneksi, tapi ping ke server office nggak berhasil. Ternyata Firestarter belum ndukung VPN client. Komunikasi VPN-nya jadi ditolak. Setelah cek sana-sini, akhirnya nemu solusi simple aja.

Nggak perlu rubah setting GUI di Firestarter. Cukup jalankan ini saja:

sudo echo "iptables -A INPUT -i tun+ -j ACCEPT" >> /etc/firestarter/user-post
sudo echo "iptables -A OUTPUT -o tun+ -j ACCEPT" >> /etc/firestarter/user-post


Lalu restart service Firestarter:

sudo service firestarter restart


Coba lagi udah ok sekarang.


15 Desember 2009

Buat system yang tahan virus

Bukan masalah Linux. Tapi network dengan banyak OS, disini kelihatan manfaat Linux dan kehandalannya terhadap virus. Dan karena network gue disini ada banyak juga Windows client, jadi akan keliahatan deh gemana gue menghandle ke duanya. Eh 3 deh. Mac OS juga ada 2 notebook client :-D

Sebenernya nggak susah sih bikin sistem yang tahan virus. Asal kita tau sumbernya dari mana, lalu kita tahan atau bentengi disitu. At least, umumnya saat ini ada 3 sumber yang plaing sering jadi penyebaran virus (umumnya berefek pada Windows client):
  • Email
  • Web
  • USB flashdrive
Dari ke 3 nya sumber diatas, mungkin paling simple di bagi lagi jadi 2 aja:
  • External/Internet (Email dan web)
  • Internal (USB flashdrive dan network local)
OK. Sekarang hal ini akan kita pilah lagi lebih jauh.

Pertahanan disisi Server
  1. Virus dari web: usahakan buat proxy server (squid misalnya) dan kawinkan dengan antivirus (HAVP+clamav). Sehingga semua web request akan di scan dengan antivirus terlebih dulu.
  2. Virus dari email: usahakan buat mail server (postfix misalnya) dan kawinkan dengan antivirus juga antispam (amavis+clamav+spamassin)
  3. Gateway pake firewall: Tutup semua port!!! Dan buka yang diperlukan saja. Kalo ada penggunaan mail server diluar office, ada baeknya di intercept dengan antivirus.
Dari ke 3 hal diatas, berusahalan untuk memblok file2 versi M$ yang beresiko bervirus (EXE, COM, PIF, SCR, dll). Restriction ini lumayan ketat emang. Tapi akan sangat bermanfaat mengurangi kerja server dan antivirusnya. Karena tanpa banyak pertimbangan, file2 yang beresiko itu langsung di TOLAK !!!

Pertahanan disisi Client

Linux client
  1. Jangan gunakan root (atau level root/administrator). Berilah user level aja. Semua software di Linux bisa jalan dengan user level saja. It's perfect ;-)
  2. Always update system. Kalo sudah mulai banyak Linux client, kalo perlu sediakan repo sendiri. Jadi updatenya lebih cepet.
  3. Hindari penggunaan Wine !!!
Windows client (more complicated)
  1. Jangan gunakan administrator (atau level poweruser/administrator) untuk kerja sehari-hari. Terus terang hal ini rumit di Windows. Karena banyak skali software yang hanya berfungsi jika running dengan level administrator. Tapi .... itu bukan pilihan. Alias harus dihindari !!! :-p
    Kalo software nggak mau jalan di level user, coba gunakan utility Steel RunAs. User tetep harus kerja di level user, dan software bisa running dengan level admin. No choice on Windows. Paling nggak, virus/spyware/trojan nggak bisa langsung terintall lagi (karena user kan nggak pake level admin lagi) :-p
  2. Disable autorun/autoplay di setiap computer. Ini akan kurangin virus dari USB flashdrive. Coba gunakan software USBVaccine untuk hal ini.
  3. Windows update penting banget. Kalo mulai banyak Windows client, saatnya mikirin bikin WSUS server sendiri. Keuntungannya, loe bisa pantau mana client yang update and mana yang nggak mau update (alias ngambek). Windows client yan nggak terupdate, beresko jadi zombie. Ini paling gampang tertular virus via network (seperti conficker) !!!
  4. Install antivirus di semua Windows client. Dan harus selalu update juga. Kalo mulai banyak Windows client, saatnya mikirin antivirus server sendiri.
Gak jamin 100% Windows akan aman dr virus. Tapi cara ini bisa memberikan hasil nyata. Udah lebih 1 tahun disini gak ada virus yg lolos ;-)

Oya, kebutuhan network bisa beda. Dan solusi bisa disesuaikan lagi. Itupun kita harus slalu mempelajari virus dan antivirusnya. Kalo ada perkembangan baru, sistem kita harus disesuaikan untuk mengcover hal terbaru itu.

OK, pren. Good luck.