Jump to content
Sign in to follow this  
Shanai

Firewall Untuk Server Putera.com

Recommended Posts

Assalamualaikum,

saya nak tanya pendapat sapa2 yg biasa dalam hal-hal yg berkaitan firewall.

Buat masa ni, server putera.com dan beberapa server lain dihubungkan ke Internet dgn line Jaring 2MBs (rasanya SDSL - sebab guna modem/router Aztech Turbo DSL) melalui firewall Cisco PIX506E.

Beberapa hari yg lepas, mungkin anda perasan, ada masalah dengan network sehingga menyebabkan putera.com tak dapat di akses.

Hasil siasatan consultant (dia letak IPS untuk trace aktiviti), dia menemui bahawa ada satu server yg telah dimasuki penggodam dan diletakkan script tertentu yg menyebabkan router dan/atau firewall menjadi pening (salah satunya ialah terlalu banyak ARP broadcast).

Dia mencadangkan supaya firewall diganti dgn high-end product iaitu Juniper 500series model SSG550 yg berharga 45k. Nanti kalau setuju, campur pulak dgn fee dia ada dalam 20k lagi.

Data center ni agak kecil je, ada 12 server dgn external IP yang di NAT oleh firewall.

Persoalannya, berbaloikah untuk ambik Juniper tu? atau ada solution lain, ataupun PIX506E pun sebenarnya boleh tampung trafik 2MBs untuk 12 server tu? 12 server ni taklah busy sangat, mungkin 2 atau 3 server je termasuk putera.com yg busy.

ada sesiapa yg familiar dgn PIX?

Share this post


Link to post
Share on other sites

Assalamualaikum,

saya nak tanya pendapat sapa2 yg biasa dalam hal-hal yg berkaitan firewall.

Buat masa ni, server putera.com dan beberapa server lain dihubungkan ke Internet dgn line Jaring 2MBs (rasanya SDSL - sebab guna modem/router Aztech Turbo DSL) melalui firewall Cisco PIX506E.

Beberapa hari yg lepas, mungkin anda perasan, ada masalah dengan network sehingga menyebabkan putera.com tak dapat di akses.

Hasil siasatan consultant (dia letak IPS untuk trace aktiviti), dia menemui bahawa ada satu server yg telah dimasuki penggodam dan diletakkan script tertentu yg menyebabkan router dan/atau firewall menjadi pening (salah satunya ialah terlalu banyak ARP broadcast).

Dia mencadangkan supaya firewall diganti dgn high-end product iaitu Juniper 500series model SSG550 yg berharga 45k. Nanti kalau setuju, campur pulak dgn fee dia ada dalam 20k lagi.

Data center ni agak kecil je, ada 12 server dgn external IP yang di NAT oleh firewall.

Persoalannya, berbaloikah untuk ambik Juniper tu? atau ada solution lain, ataupun PIX506E pun sebenarnya boleh tampung trafik 2MBs untuk 12 server tu? 12 server ni taklah busy sangat, mungkin 2 atau 3 server je termasuk putera.com yg busy.

ada sesiapa yg familiar dgn PIX?

Tak mungkin pix boleh di peningkan, kecualilah pix os ver. sebelum 6.xx , memang vulnerable. Kalau boleh melumpuhkan pix OS 6.4 atau memecah masuk, memang dahsyat tu atau cara configurationnya yg tidak selamat. Untuk 12 server nak guna high end firewall? rasanya macam tak berbaloi, sebab pix 506e sudah cukup menampung 12 server tu. click link ni untuk maklumat lebih lanjut

http://www.cisco.com/en/US/products/hw/vpn...0080091b13.html

Boleh aku tau pix version braper dia guna?

Share this post


Link to post
Share on other sites

version dia masih 3.6(4)

kalau nak upgrade os, boleh upgrade sampai mana? berape kos software?

oooo... thats too old.. no wonder, sekarang untuk pix506e ialah version 6.3.(5), kalau encik shanai nak, saya boleh download kat website cisco OS tu, free jek... untuk upgrade, setup 1 TFTP server.

:D

Share this post


Link to post
Share on other sites

bantuan saudara sangat2 saya perlukan.

Saya cuba register kat cisco punya website tapi tak boleh nak download gitu2 je kalau bukan cisco partners.

TFTP server tu kena setup untuk proses upgrade saje kan?

satu lagi nak tanya.. kalau macam web based management software tu, dia akan bagi sekali tak dgn OS?

dia ada nak kena update firmware jugak tak?

Share this post


Link to post
Share on other sites

satunya ialah terlalu banyak ARP broadcast).

ARP Poisoning.. atau ARP spoofing.. Sini ade sket info pada sape2 yang tak tau tentang ARP Poisoning nie..

Link 1 : http://www.watchguard.com/infocenter/editorial/135324.asp

Link 2 : http://en.wikipedia.org/wiki/ARP_poisoning

LInk 3 : http://www.oxid.it/downloads/apr-intro.swf <- nie lagi detail.. siap ade flash tu.. lagi senang korang nak faham..

p/s : Maaf Bro Shanai menyebuk kat sini..

Share this post


Link to post
Share on other sites

Memang tak dapat download gitu2, TFTP server lepas siap upgrade boleh buang dia, web base management (pix device manager) dia tak bagi sekali OS, download berasingan, sizenya kira2 3MB, saya bagi sekalilah dua2 file ni, nak hantar gi email mana? [email protected] ?

:D

Share this post


Link to post
Share on other sites

memang kalau firewall lagi mahal, lagi bagus, masalahnya kalau sistem di belakangnya yang dilindungi tu pun tak secure, tak guna. melainkan ko nak sekat semua akses masuk, tak jadi hal la. tapi kalau ada 1 servis masuk sekali pun, http/80 misalnya, dan kalau webserver tu sendiri buat hal, apa jenis firewall pun takkan mampu sekat. oleh itu, bersedialah untuk membaca security update/bug update dari pembekal sistem operasi anda :D

Share this post


Link to post
Share on other sites

Memang sudah hakikat web server camtu, tambah lagi putera ni web yg popular, ehehehe, avatar tak dapat upload mungkin kerana access-list kat pix tu, ok jugaklah... satu cara untuk mengurangkan risiko :D

apa yg kita leh buat cuma prevent setakat yg kita mampu....

:D

Share this post


Link to post
Share on other sites

Ok Brader.... aku dah send pagi ni.

:D

Ok, received.

Nanti nak gi tengok, benda tu cukup memori ke tidak. Kalu tak cukup kena tambah dulu la nampaknya.

ni nak tanya firmware dengan OS pix ni benda yg sama ke benda lain2?

Share this post


Link to post
Share on other sites

Firmware ngan OS pix benda yg sama, eheheh, dalam cisco mereka tak panggil firmware, mereka bagi nama yg unik untuk firmware mereka, contohnya untuk IOS, catOS. Kalau PDM (Pix Device Manager) web management hanyalah interface jadi tak perlu taip command, just click2 here and there, automatic pdm tu tolong ko taip command. Tapi kebanyakkan network engineer tak suka guna pdm sebab ada command2 tertentu yg PDM tak support, tambah lagi PDM tu ialah aplikasi java menggunakan https untuk access, kalau policy yg restrict access ke https atau download java, kan susah tu.

Benda tu cukup memori, flash 8MB, RAM 32MB, dia akan replace Pix OS yg lama & PDM

:D

Share this post


Link to post
Share on other sites

Hasil siasatan consultant (dia letak IPS untuk trace aktiviti), dia menemui bahawa ada satu server yg telah dimasuki penggodam dan diletakkan script tertentu yg menyebabkan router dan/atau firewall menjadi pening (salah satunya ialah terlalu banyak ARP broadcast).

Dia mencadangkan supaya firewall diganti dgn high-end product iaitu Juniper 500series model SSG550 yg berharga 45k. Nanti kalau setuju, campur pulak dgn fee dia ada dalam 20k lagi.

Data center ni agak kecil je, ada 12 server dgn external IP yang di NAT oleh firewall.

mana punya consultant yang keluarkan statement macamtu ye? hokhokhokhokhok, tu semua business minded. well-configured firewall camana sekalipun, kalau 12 bijik server dibelakangnya tu banyak yang vulnerable, tak guna jugak. PIX tu sebenarnya dah cukup power untuk menahan serangan paket bertalu talu kalau configure bebetul. malangnya itu tidak berlaku, sebab aku ada test bebaru ni hantar beberapa kilogram data :D tepat masuk ke putera.com dan amat menyedihkan, putera.com down seketika, semasa proses penghantaran UDP tersebut. kira dalam lingkungan waktu 10 saat takboleh akses. aku test dalam 10 saat je, jadi minta admin supaya tanya semula orang yang setting firewall tu, betul ke dia dah tutup habis ICMP dan UDP port yang tidak berkenaan? dan minta diorang untuk tapis paket ke port ssh (22) memandangkan cubaan meneka password secara bruteforce ke ssh boleh jugak menyebabkan system down. samada ko setting dalam pixfirewall, ataupun dalam OS tu sendiri, memana pun boleh.

Share this post


Link to post
Share on other sites

dah install dah.. rupa-rupanya PDM ni tak support NAT, bila run dia kata ada command tak compatible dan hanya running on monitoring mode.

Actually version os PIX ni takdelah lama sangat, saya tersilap tengok, bukan 3.6(4) tapi 6.3(4) dan PDM 3.02.

azuan,

Sekarang ni org yg setup2 firewal tu dah tak ada sebab org2 ni adalah dalam satu company yg dah tutup, so sebagai kawan, saya lah yg ambil tanggungjawab tu.

Yg kau test hantar data berkilo2 tu bila? adakah dalam tempoh 7 hari yang lalu? Dalam tempoh 7 hari yg lepas security dilonggarkan sedikit untuk tujuan testing.

So sekarang ni aku nak cari apa konfigurasi yg optimal untuk mengukuhkan benteng pertahanan ni. Ada idea?

Lagi satu, cisco ada sdsl router tak? skrng ni guna aztech turbo dsl router, ingat nak tukar kalau ada yg lebih baik.

Share this post


Link to post
Share on other sites

bukan. yang aku test ni malam tadi dalam pukul 12-1 pagi. tak lama pun dalam 10-15 saat je tapi dah cukup untuk kasik timeout dan orang takboleh akses web. jadi aku bajet kes sebelum ni MUNGKIN ada orang yang hantar serangan macamni ke server bertalu talu selama berjam jam. ni baru guna sebijik pc, bayangkan orang lain yang hantar guna 10 pc, 10 connection. firewall tu ada option untuk block serangan macamtu. aku tak mahir guna pix, tapi aku penah tengok orang buat. mat_tenuk mungkin ada idea.

Share this post


Link to post
Share on other sites

azuan... alang2 hang test firewall tu... try la pulak load ke firewall kat opis aku ni... nak tau keberkesanan ..mmg secara biasa kita ada firewall tapi mcm mana atau fungsi ape guna kat firewall tu blum tentu semua org tau handle..

Share this post


Link to post
Share on other sites

Paket ARP memang senang nak dilencungkan ke tempat lain sebab MAC address boleh di'spoof'kan.

Aku ada satu cadangan murah utk counter ARP poisoning ni. Guna je static ARP. Kemudian install arpwatch. Arpwatch akan monitor interface tu kalau-kalau ada benda yang cuba nak usik MAC address. Kalau ada perubahan berlaku, terus arpwatch akan report kepada mr.shanai melalui email. Kekurangan cara ni, network kena monitor selalu utk detect anomalous activity.

Ini cuma cadangan je daripada belanja berpuluh-puluh ribu untuk dapatkan firewall tu.

Edited by puteranetwork

Share this post


Link to post
Share on other sites

Tu lah aku tak suka guna pdm, satu command yg tak compatible dgnnya, terus jadi monitoring mode. Kalau version tu yg terbaru, tapi taklah baru sangat 6.3.4, dapat dilumpuhkan Dos attack, memang ada configuration yg silap atau tak buat, Jadi, aku nak minta output firewall(config)#write terminal, pm kat aku or email, aku cuba kaji tang mana silapnya.

Share this post


Link to post
Share on other sites

aku nak minta output firewall(config)#write terminal, pm kat aku or email, aku cuba kaji tang mana silapnya.

aiseh, saya dah print dah tapi lupa la pulak nak save malam tadi. Lepas raya ni pulak baru sambung. Yg print pun simpan kat tempat tu. Nak akses dari luar mmg takleh. Nanti saya cuba minta dia orang dapatkan kalau ofis belum cuti.

Share this post


Link to post
Share on other sites

aku tertarik dengan thread ni,

berkenaan dengan penggunaan firewall

yang ramai dah tahu akan kerjanya

cuma jika putera ingin menjimatkan kos

pelaksanaan/penyelenggaraan apa salahnya jika menggunakan

firewall dari sumber OSS. mungkin ramai yang dah tahu cuma tak nak

beritahu disini :(

apa yang aku nak cadangkan ialah pengunaan LRP sebagai firewall.

LRP iaitu Linux Router Project merupakan satu linux diatas satu disket "linux-on-a-floppy" pada asalnya.

LRP adalah berdasarkan kepada distro debian.

apa LRP boleh buat? anda boleh jadikan nya router dengan sambungan kepada UTP cable :lol:

tapi tidak kepada serial cable seperti PIX atau branded firewall yang lain. dengan erti kata lain LRP boleh diletakkan antara modem/router dengan network dalaman dan boleh berfungsi sebagai firewall.

dengan menggunakan pakej IPROUTE2, LRP boleh melakukan proses routing,vlan(subnet), serta arahan pecahan network kepada destinasi tertentu.

image LRP boleh didapati dalam internet atau sesapa yang nak boleh pm aku untuk aku antorkan imagenya

walaupun LRP tidaklah cantik dengan GUInya. peluang kepada pengguna untuk memahami konsep networking menerusi TCP/IP dengan idea dan pengalaman amat menarik.

ipchains digunakan sebagai filtering tools atau iptables ada pada Coyote(LRP versi GUI - tapi ada kelemahannya kalau yang free :lol: )

nanti aku citer balik pasal kos, sambung kijer dulu :D

Share this post


Link to post
Share on other sites

kalau nak ikutkan, memang banyak software-based, masalahnya dia mampu menahan serangan bertubi tubi ke?

memang la kos efektif, kalau nak ikutkan free pun dapat. masalahnya tujuan firewall yang dibincangkan ni untuk mengatasi serangan yang software-based dengan hardware yang murah tak mampu tahan. kalau software-based boleh capai keupayaan macamtu, tak perlu la hosting company beli hardware sampai beratus ribu dolar. baik install software firewall je terus.

cisco router yang biasa pun boleh dijadikan sebagai "ala-ala-firewall" dengan beberapa rules dalam access-list. tapi belum dapat menyaingi kekebalan PIX (betulkan aku kalau salah).

kalau benar ada software firewall (dengan harga yang mahal) yang mampu beroperasi sebijik macam hardware firewall, dari segi ciri-ciri, keupayaan, aku berminat nak tau! :D

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
Sign in to follow this  

×
×
  • Create New...