Addresses server pada firewall Palo Alto

Catatan kali ini adalah tentang Addresses server pada firewall Palo Alto .

dari kalimatnya sudah jelas ya, Addresses berarti memberikan alamat, atau aliases untuk Server pada palo alto. hal ini berfungsi untuk melakukan NAT dari IP lokal server ke IP Publik server. selain itu juga digunakan untuk fitur security pada Firewall Palo Alto.

Untuk dapat melakukan ini, pastikan kamu sudah login.

login palo alto

login palo alto

Kemudian pilih menu Object,

Object palo alto

Object palo alto

klik menu Addresses, kemudian Add.

menu tambah address palo alto

menu tambah address palo alto

hal pertama, kamu tambah Address untuk IP lokal server,

ip lokal server

ip lokal server

kemudian, menambahkan IP server publik, nah, triknya untuk mendapatkan IP publik yaitu dengan melihat Address IP terakhir yang di pakai, kemudian bisa menggunakan IP setelahnya. untuk meyakinkan, bisa di lakukan ping atau telnet, ini untuk memastikan IP benar-benar belum di pakai oleh server / mesin lain. pastikan ping atau telnetnya dari jaringan luar ya.

ip publik server

ip publik server

setelah IP itu ada /32 , maksudnya disana adalah hanya satu IP tertuju. ya pokoknya gitu deh, saya sedikit bingung menjelaskan ini 😀

setelah di klik OK , selanjutnya jangan lupa Commit. commit ini artinya melakukan save konfigurasi yang telah kita lakukan.

commit pada palo alto

commit pada palo alto

saya pernah konfigurasi panjang lebar, tapi lupa untuk Commit dan langsung close, hasilnya, semua konfig saya tidak tersimpan dan harus konfig ulang 😀

sampai disini, sudah berhasil untuk memberikan Addresses pada IP server atau mesin. selanjutkan membuat NAT dan security. akan saya bahas di artikel berikutnya.

Bagikan saja, itu tidak berat

Hardening Server #2 Instalasi dan konfigurasi Malware Detect pada linux server

Pengalaman kali ini bercerita tentang instalasi dan konfigurasi Malware Detect pada server linux.

akhir-akhir ini jadi konsentrasi sama security karena salah satu server terkena RootKit. jadi Parno 😀

oke, malware detect ini berfungsi untuk mendeteksi script malware yang berada pada server. biasanya, script itu nempelnya di folder website.

oke, berikut langkah-langkahnya.

pertama-tama mari ucapkan do’a, kemudian, download malware detect :

ant@linux:~$ wget http://www.rfxn.com/downloads/maldetect-current.tar.gz

ant@linux:~$ tar -xvf maldetect-current.tar.gz

ant@linux:~$ cd maldetect-1.6.4

ant@linux:~$ ./install.sh

lakukan konfigurasi maldetect dengan perintah :

ant@linux:~$ nano /usr/local/maldetect/conf.maldet

sesuiakan script dengan perintah ini :

email_alert=1
email_addr=gacanepa@localhost
email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"
quar_hits=1
quar_clean=1
quar_susp=1
clam_av=1

setelah di sesuaikan, instalasi clamav , clamav ini anti virus, jadi cara kerja malware detect ini membuat Perjanjian Kerja Sama ( PKS ) antara malware detect dengan clamav.

ant@linux:~$ apt install clamav

selesai, instalasi dan konfigurasi selesai, gampang kan ? banget.

sekarang saya uji coba scan di server saya :

ant@linux:~$ maldet –scan-all /var/www/

hasilnya :

cara install malware detect

tiga file terjaring razia malware detect dan langsung dikarantina, otomatis, fungsi dari aplikasi yang didalamnya terdapat file tersebut, tidak bisa berjalan sesuai fungsi sebelum file tersebut dihapus dari folder karantina.

/usr/local/maldetect/quarantine

Bagikan saja, itu tidak berat

Bagaimana bisa sih server terserang Rootkit ? begini kronologinya.

Beberapa waktu lalu, salah satu Virtual Private Server terserang Rootkit.

Rootkit ini adalah kode jahat atau didalam dunia IT biasa disebut Malware. melakukan pekerjaan di server yang terinfeksi sesuai dengan perintah programmernya. ya pokoknya kalau mau tau lengkap tentang rootkit, bisa brosing-brosing yaks.

setelah di telusuri dari log, baik log firewall maupun log sistem operasi. kemungkinan besar rootkit itu masuk melalui port default SSH , yaitu 22.

metode yang digunakan adalah Brute Force, yaitu sebuah teknik mencocokkan kombinasi username dan password untuk akses ke remote SSH.

Brute Force Attack

nah, kok bisa masuk melalui port tersebut ? setelah di telusuri, kombinasi username dan password server yang terjangkir Rootkit untuk remote SSH itu sangat default, dengan loginnya root ( user tertinggi pula ).
username : root
passwd : rahasia

berikut bukti bahwa ada ribuan kali percobaan untuk login,

Brute Force 3

tidak butuh waktu lama untuk Script Brute Force tersebut mampu menebak kombinasi loginnya.

Brute Force Attack 1setelah berhasil masuk ke server, scipt tersebut menanamkan Malware, melakukan Sync Flood ke IP luar Negeri.

ini malwarenya :

Brute Force 5

Screenshot_535

dan ini kegiatannya :

Brute Force 5

ini bisa terjadi juga dikarenakan konfigurasi firewall yang kurang tepat, sehingga mengijinkan trafik yang dinilai tidak lazim untuk melewati jaringan.

sekian, mitigasi dari saya. semoga kejadian ini tidak terjadi lagi. amin.

Bagikan saja, itu tidak berat

Hardening Server #1 . merubah default port akses SSH pada linux

Halo , mau cerita sedikit.

yang pertama mau cerita tentang pekerjaan saya ya, jadi pekerjaan saya adalah sebagai penyedia Hosting dan Virtual Private Server bagi client-client yang membutuhkan.

Hosting digunakan untuk user-user yang menitipkan file aplikasi atau website yang tidak membutuhkan spesifikasi dan konfigurasi khusus. jadi, pengelolaan server dan jaringannya sepenuhnya ditanggung oleh kami, mulai dari konfigurasi, backup sampai dengan maintenance.

berbeda dengan hosting, Virtual Private Server atau yang di singkat VPS adalah server virtual yang biasanya di minta karena user membutuhkan spesifikasi dan konfigurasi khusus. seharusnya dan memang semestinya, urusan konfigurasi, security, backup dan maintenance di kelola oleh user tersebut. ini secara virtual lo ya, kalau secara fisik, masih di kelola oleh penyedianya ( kami ).

jadi itu cerita singkat pekerjaan saya, selain pekerjaan-pekerjaan lagi yang ditugaskan oleh atasan.

lanjut ceritanya, beberapa hari yang lalu, salah satu VPS yang di kelola oleh client terserang rootkit, rootkit ini berjalan di user root , melakukan sync flood ke IP luar negeri

bagaimana bisa terserang rootkit, saya jelaskan pada artikel ini :

Bagaimana bisa sih server terserang Rootkit ? begini kronologinya.

mengandalkan firewall saya tidak cukup, jika itu yang menyerang script, mungkin bisa diatasi oleh firewall, tapi jika yang menyerang manusia ? tidak bisa.

maka dari itu perlu pengamanan tambahan seperti judul diatas. begini teknisnya :

setelah masuk ke server, rubah konfigurasi SSH kamu.

rubah default port ssh

menggunakan perintah editor, kemudian, hapus tanda pagar, dan rubah menjadi port yang unik dan tidak standar terserah kamu.

rubah default port ssh 2

lalu save , kemudian jangan lupa restart service ssh nya

rubah default port ssh 3

dengan begini, port ssh telah berubah. sedikit lebih aman karena biasanya script Brute Force disana menggunakan port default dari service SSH server.

pesan moral : TIDAK ADA SYSTEM YANG AMAN DI DUNIA INI, WALAUPUN ITU BERADA DI LOCALHOSTMU.

Bagikan saja, itu tidak berat