15 Desember 2009

Buat system yang tahan virus

Bukan masalah Linux. Tapi network dengan banyak OS, disini kelihatan manfaat Linux dan kehandalannya terhadap virus. Dan karena network gue disini ada banyak juga Windows client, jadi akan keliahatan deh gemana gue menghandle ke duanya. Eh 3 deh. Mac OS juga ada 2 notebook client :-D

Sebenernya nggak susah sih bikin sistem yang tahan virus. Asal kita tau sumbernya dari mana, lalu kita tahan atau bentengi disitu. At least, umumnya saat ini ada 3 sumber yang plaing sering jadi penyebaran virus (umumnya berefek pada Windows client):
  • Email
  • Web
  • USB flashdrive
Dari ke 3 nya sumber diatas, mungkin paling simple di bagi lagi jadi 2 aja:
  • External/Internet (Email dan web)
  • Internal (USB flashdrive dan network local)
OK. Sekarang hal ini akan kita pilah lagi lebih jauh.

Pertahanan disisi Server
  1. Virus dari web: usahakan buat proxy server (squid misalnya) dan kawinkan dengan antivirus (HAVP+clamav). Sehingga semua web request akan di scan dengan antivirus terlebih dulu.
  2. Virus dari email: usahakan buat mail server (postfix misalnya) dan kawinkan dengan antivirus juga antispam (amavis+clamav+spamassin)
  3. Gateway pake firewall: Tutup semua port!!! Dan buka yang diperlukan saja. Kalo ada penggunaan mail server diluar office, ada baeknya di intercept dengan antivirus.
Dari ke 3 hal diatas, berusahalan untuk memblok file2 versi M$ yang beresiko bervirus (EXE, COM, PIF, SCR, dll). Restriction ini lumayan ketat emang. Tapi akan sangat bermanfaat mengurangi kerja server dan antivirusnya. Karena tanpa banyak pertimbangan, file2 yang beresiko itu langsung di TOLAK !!!

Pertahanan disisi Client

Linux client
  1. Jangan gunakan root (atau level root/administrator). Berilah user level aja. Semua software di Linux bisa jalan dengan user level saja. It's perfect ;-)
  2. Always update system. Kalo sudah mulai banyak Linux client, kalo perlu sediakan repo sendiri. Jadi updatenya lebih cepet.
  3. Hindari penggunaan Wine !!!
Windows client (more complicated)
  1. Jangan gunakan administrator (atau level poweruser/administrator) untuk kerja sehari-hari. Terus terang hal ini rumit di Windows. Karena banyak skali software yang hanya berfungsi jika running dengan level administrator. Tapi .... itu bukan pilihan. Alias harus dihindari !!! :-p
    Kalo software nggak mau jalan di level user, coba gunakan utility Steel RunAs. User tetep harus kerja di level user, dan software bisa running dengan level admin. No choice on Windows. Paling nggak, virus/spyware/trojan nggak bisa langsung terintall lagi (karena user kan nggak pake level admin lagi) :-p
  2. Disable autorun/autoplay di setiap computer. Ini akan kurangin virus dari USB flashdrive. Coba gunakan software USBVaccine untuk hal ini.
  3. Windows update penting banget. Kalo mulai banyak Windows client, saatnya mikirin bikin WSUS server sendiri. Keuntungannya, loe bisa pantau mana client yang update and mana yang nggak mau update (alias ngambek). Windows client yan nggak terupdate, beresko jadi zombie. Ini paling gampang tertular virus via network (seperti conficker) !!!
  4. Install antivirus di semua Windows client. Dan harus selalu update juga. Kalo mulai banyak Windows client, saatnya mikirin antivirus server sendiri.
Gak jamin 100% Windows akan aman dr virus. Tapi cara ini bisa memberikan hasil nyata. Udah lebih 1 tahun disini gak ada virus yg lolos ;-)

Oya, kebutuhan network bisa beda. Dan solusi bisa disesuaikan lagi. Itupun kita harus slalu mempelajari virus dan antivirusnya. Kalo ada perkembangan baru, sistem kita harus disesuaikan untuk mengcover hal terbaru itu.

OK, pren. Good luck.


4 komentar:

mazyayan mengatakan...

manteb tips2nya. lama ga posting lg bos..

yuta mengatakan...

tq banget tips-tipsnya...

ditunggu postingan2 berikutnya...

rindu juga neh dah lama mas lutfi ga posting2...

hehehe...

budiwijaya mengatakan...

Kalo gak salah, wsus itu harus pake AD ya? jadi semua komputer harus terdaftar ke ADnya?

Lutfi mengatakan...

Official sih WSUS harus pake AD (Active Directory). Karena dr AD sptnya MS pgen dpt byk duit tuh :-p

Kalo gak mau pake AD, coba googling. Ntar byk solusi WSUS tanpa AD bs loe pake.