Firewall Untuk Server Putera.com

LucentAmar · November 7, 2006

Hehe Mr Admin, ingatkan putera sajer yang bermasalah. Kawe pun sama gaks ngan PIX506e kawe ni. TMNet punyer line OK. Bila masukkan firewall jer, network jadi slow giler. Tensen woo jadi camni. Test ping slalu jadik Request Time Out. Bypass jer, cun giler network kawer.

Hush, kawe nyaris2 panggilkan Mesiniaga sediakan DMZ Firewall yang baru. Ingatkan external port dia rosak. Kawe raser cam network port dia rosak jer. Test ping ke local IP, cun giler time dia.

Mat Tenuk, leh analysis sikik ker Firewall kawe ni? Kawe pun belajar gak sampe CCNA. Tapi tak terer2 pun, sbb banyak terlibat dengan peringkat Server2 jer. Jarang2 sentuh PIX ni. Dapek gak blajo ngasah bakat ngan ko erk.

Email sini erk: [email protected]. Kawe nak gak email ko. Tapi ko nyer email kawe dak dok.

Lagipun, kawe punyer configuration ni macam redundant jer. Kalo ada mamat yang buat test macam azuan buat tu. Mampuslah firewall kawe nih. :lol:

Ehc · November 8, 2006

Hehe Mr Admin, ingatkan putera sajer yang bermasalah. Kawe pun sama gaks ngan PIX506e kawe ni. TMNet punyer line OK. Bila masukkan firewall jer, network jadi slow giler. Tensen woo jadi camni. Test ping slalu jadik Request Time Out. Bypass jer, cun giler network kawer.
Hush, kawe nyaris2 panggilkan Mesiniaga sediakan DMZ Firewall yang baru. Ingatkan external port dia rosak. Kawe raser cam network port dia rosak jer. Test ping ke local IP, cun giler time dia.

pendapat aku, kalau dah firewall tu mendatangkan kemudaratan kepada proses kijer harian di company/jabatan, mungkin perlu dicari alternatif lain untuk menggantikan firewall tersebut. cuma tinggal lagi mungkin anda tak berani atau takut untuk mencuba.

mungkin anda boleh mencubanya dengan menggunakan LRP . tapi kalau kuasa bukan ditangan anda,

keputusan kepadanya pula bukan yang anda boleh pengaruhi, tunggulah "support" yang dikatakan boleh diharapkan terhadap firewall itu.

tapi anda masih ada dua pilihan study firewall tersebut atau buang je dalam "longkang".

p/s: perit jerih bekerjasama dengan "company" ini telah menjadi Kenangan terindah dalam hidupku.

crypto.md5 · November 8, 2006

Aisehhmen, jangan guna conduit command, sebab command tu dah hampir pupus. Ok, begini, bermula dari static nat dulu, katakan dalam rangkaian awak ada 3 server.

Server 1= 192.168.1.2 (web server) , Public IP= 200.200.200.202

Server 2= 192.168.1.3 (mail server) , Public IP= 200.200.200.203

Server 3= 192.168.1.4 (dns server) , Public IP= 200.200.200.204

!

Guna Static Command dengan syntax ni: Selepas guna static command kena taip clear xlate, jika tak, semua translation akan berhenti.

static (real_ifc,mapped_ifc) {mapped_ip | interface} {real_ip [netmask

mask]} | {access-list access_list_name} [dns] [norandomseq [nailed]] [[tcp]

[max_conns [emb_lim]] [udp udp_max_conns]

!

Untuk server 1

firewall(config)#static (inside,outside) 200.200.200.202 192.168.1.2 netmask 255.255.255.255 0 0

!

Untuk server 2

firewall(config)#static (inside,outside) 200.200.200.203 192.168.1.3 netmask 255.255.255.255 0 0

!

Untuk server 3

firewall(config)#static (inside,outside) 200.200.200.204 192.168.1.4 netmask 255.255.255.255 0 0

!

Berdasarkan config di atas, ada kelemahan sekuriti, PIX putera ada ciri-ciri kelemahan ini. Cuba tengok kat hujungnya 0 0, iaitu max_conns & emb_limit. Remember 3 handshake? By default, Open-State Connection & Half-Open Connection dalam PIX ialah unlimited, apa akan jadi kalau attacker hantar TCP Syn packet belebihan tanpa menghabiskan 3 Handshake Steps ni, banyak yg. PIX kena handle, processor pun makin sibuk, akhirnya PIX tu restart sendiri. Untuk mengelakkan serangan jenis ni, limitkan max_con kepada value dari 70-90, dan emb_limit (half-open, juga dipanggil embryonic limit) kepada value dari 30-50 , kena test dulu value yg sesuai berdasarkan networking environment. Config yg selamat should be like this

!

firewall(config)#static (inside,outside) 200.200.200.202 192.168.1.2 netmask 255.255.255.255 70 30

firewall(config)#static (inside,outside) 200.200.200.203 192.168.1.3 netmask 255.255.255.255 70 30

firewall(config)#static (inside,outside) 200.200.200.204 192.168.1.4 netmask 255.255.255.255 70 30

!

Sekarang, buat access-list untuk server2 yg telah di-static Nat-Kan tadi.

Untuk access-list, guna syntax ni:

access-list id [line line-number] [extended] {deny | permit} protocol {host

sip | sip mask | any} {host dip | dip mask | any}

!

access-list id [line line-number] [extended] {deny | permit} {tcp | udp}

{host sip | sip mask | any} [operator port] {host dip | dip mask | any}

!

access-list id [line line-number] [extended] {deny | permit}

icmp {host sip | sip mask | any} {host dip | dip mask | any} [icmp_type]

!

Untuk server 1, (web server)

firewall(config)#access-list out_in permit tcp any host 200.200.200.202 eq 80

!

Untuk server 2, (mail server)

firewall(config)#access-list out_in permit tcp any host 200.200.200.203 eq 25

!

Untuk server 3, (DNS server)

firewall(config)#access-list out_in permit udp any host 200.200.200.204 eq dns

!

Apply access-list out_in ke interface outside

firewall(config)#access-group out_in in interface outside

!

Selepas permit traffic diatas, automatic PIX deny traffic lain dari luar, so don't worry. How bout ICMP traffic? ICMP mungkin deny kat webserver tetapi tidak firewall outside interface.

firewall(config)#access-list out_in deny icmp any any

firewall(config)#access-list out_in permit ip any any

firewall(config)#access-group out_in in interface outside

!

Mesti tertanya2, kenapa ada access-list out_in permit ip any any, command ni hanya digunakan setelah membuat acess-list deny supaya traffic lain yg. awak benarkan boleh masuk. contoh server 1,2,3. otherwise, all traffic will stop. Tapi lain lak config putera, aku tak tengok apa2 access-list deny tapi buat command ni jugak.

!

Berkenaan dengan Server mana yg portnya perlu dibuka, its hard to predict mana satu yg perlu dibuka. Mesti tau service apa kat setiap server. Anyway, awak boleh tengok logging kat terminal monitor

!

firewall(config)#logging on

firewall(config)#logging monitor debugging

firewall(config)#logging buffered debugging

firewall(config)#terminal monitor

!

ataupun, scan open port guna 3rd party software, seperti iptools

Setakat ni jer, rehat dulu.. ada lagi yg belum diconfigure. IDS pun belum lagik, sebab pix ni ada built-in IDS.

Aikss, LucentAmar pun ada problem gak ngan pix, send firewall(config)#write terminal kat aku, email gi

[email protected]

Edited November 8, 2006 by mat_tenuk

LucentAmar · November 8, 2006

Hehe..kawe baru send jer kat crypto.md5. Tengok2kan la. Ini amatur punyer configuration jer. Banyak port gak kawe bukak untuk kemudahan diri sendiri kalo tak gi office. Buka aper, kalo Remote Desktop tak working pada certain keadaan, kawe dapek pakai VNC untuk dapatkan real desktop.

crypto.md5 · November 8, 2006

Alamak, mmg terrer ko, banyak nyer port ko bukak, sampai ke management access ke firewall dari outside ko bukak, later i'll reply, bingung tengok config ko nih..

LucentAmar · November 8, 2006

Alamak, mmg terrer ko, banyak nyer port ko bukak, sampai ke management access ke firewall dari outside ko bukak, later i'll reply, bingung tengok config ko nih..

Hehe..tu la dasat namanyer...sampe orang cisco sendiri pun pening..hehe. Itulah kawe kata tadi, ini amatur punyer tangan buat kerje.

Skang ni pun, kawe dah lupa lak cara2 nak reset password Firewall tu. Sendiri pun poning. Tu la lama sangat tak memain. 3 tahun dah kawe configure dulu pun. Mana la ingat sangat. Lagipun time tu memang syok sendiri pun.

Itupun kawe bukak untuk 4 server tau. Bukan satu server jer. Kalo ko leh wat bagi cun. Kawe leh la blanjer ko makan nanti.

Tulung la erk....sian kat kawe.

Shanai · November 8, 2006

ehh.. cepatnya tukar, tadi berjela2 deny icmp list, skrg dah tinggal sebaris je.

Kalau tak silap, skrng ni, oleh kerana kita permit ip any any, maka.. tidakkah dia akan overide permit tcp any host ... eq 80 dan lain-lain yg dah diset sebelum tu?

satu lagi.. macamana kalau icmp tu nak benarkan ping sahaja? boleh permit echo-reply?

crypto.md5 · November 8, 2006

ehh.. cepatnya tukar, tadi berjela2 deny icmp list, skrg dah tinggal sebaris je.
Kalau tak silap, skrng ni, oleh kerana kita permit ip any any, maka.. tidakkah dia akan overide permit tcp any host ... eq 80 dan lain-lain yg dah diset sebelum tu?
satu lagi.. macamana kalau icmp tu nak benarkan ping sahaja? boleh permit echo-reply?

bukan apa, dari taip semua jenis icmp traffic, baik type command tu jer untuk deny all, jadi kalau nak permit certain icmp traffic, begini confignya

firewall(config)#access-list out_in permit icmp any host 200.200.200.202 echo-reply

untuk firewall outside interface

firewall(config)#access-list out_in permit icmp any any echo-reply

permit ip any any bermaksud, membenarkan traffic yg awak dah permit, takkan overide.

Shanai · November 8, 2006

permit ip any any bermaksud, membenarkan traffic yg awak dah permit, takkan overide.

maknanya, apa-apa trafik tcp/udp yg tak declare akan dihalang dari masuk la ye? begitu ke?

Satu lagi.. macamana pula nak avoid server (pc win xp) daripada guna smtp untuk send out email. Sbb pc ni dikesan infected dgn virus yg kirim spam keluar. Boleh ke guna:

access-list in_in deny smtp host 200.200.200.205 any eq smtp

crypto.md5 · November 8, 2006

command tu invalid, awak nak block outbound traffic should be like this

access-list in_out deny tcp host 192.168.1.3 any eq smtp

access-list in_out permit ip any any

access-group in_out in interface inside

yer, betul, sekarang awak dah faham apa gunanya permit ip any any.

Shanai · November 8, 2006

tapi katakan kita nak biarkan hanya mail server sahaja yg boleh guna outbound smtp dan deny server2 yang lain, boleh ke kita pakai permit dan tak guna deny macam tu. contohnya:

access-list in_out permit tcp host 192.168.1.3 any eq smtp

access-list in_out permit ip any any

access-group in_out in interface inside

- & yang 2 baris terakhir tu nak kena repeat setiap kali ke?

dan satu lagi.. kalau saya nak implement config ni, saya nak kena betul2 tahu port apa yg diperlukan oleh setiap server, sebab kalau kita tak declare permit, maka trafik untuk port2 tu tak boleh lalu la kan?

crypto.md5 · November 8, 2006

Yeahh boleh, tapi tak perlu taip permit ip any any, command tu awak taip bila melakukan access-list deny,

dan untuk access-list deny, SETIAP KALI buat access-list deny, mesti taip permit ip any any penghujungnya, begitu juga dengan access-group. Mesti tau setiap open port kat server untuk guna access-list ni, jika tak, traffic2 berkenaan tak leh masuk.

Edited November 8, 2006 by mat_tenuk

Shanai · November 8, 2006

Skrg nak belajar pasal camana nak guna IDS dan hal-hal berkaitan syslog pulak ...

crypto.md5 · November 9, 2006

IDS takla susah sangat seperti access-list, simple jek..

firewall(config)#ip audit name ATTACKPOLICY attack action alarm drop

firewall(config)#ip audit name INFORMATIONPOLICY info action alarm drop

firewall(config)#ip audit interface outside INFORMATIONPOLICY

firewall(config)#ip audit interface outside ATTACKPOLICY

Boleh view guna

firewall(config)#terminal monitor

atau send ke syslog server

firewall(config)#logging host inside 192.168.1.4

Edited November 9, 2006 by mat_tenuk

gegule · November 9, 2006

pepehal kalo nak create rules, makesure IOS/software tuh latest version.

tang nak prevent routing spoof, DoS tuh firewall jenih nih memang capable pasai dier ader checking based on layer 4-7 dalam osi.

pulak tuh ader url length checking kot kot ader exploiter leh exploit certain script dalam website

plus++ aku pung takpenah involve dengan firewall kat tempat aku nih, stakat memain dengan router tuh penah ler, biasanye vendor jeks kasik config lepaihtuh aku load jeks dalam router

tapi aper yg aku tau, pix jenih nih ader "advance intrusion-prevention features" macam floodguard, ipverify, tcp intercept. dia leh kenal 50++ jenis serangan berlainan based on attacking signature tuh. yang penting, yang nak mengedjas tuh mesti ader 99% knowledge pasai produk tuh. saper yang ader ccna tuh cuba ler bantu admin.

Edited November 9, 2006 by gegule

Shanai · November 9, 2006

Kalau saya guna contoh berikut berdasarkan yg mat_tenuk bagi:

access-list out_in permit tcp any any eq www

access-list out_in permit icmp any any echo-reply

access-list out_in permit tcp any any eq smtp

access-list out_in permit ip any any

saya dapati, ssh masih boleh masuk.

err.. macamana nak block semua unwanted/undeclared trafik?

gegule · November 9, 2006

bukan ker mesti:

access-list <number> deny ip any any

lepaih tuh baru ler:

access-list <number> permit tcp any any eq 80

ataupun

access-list <number> permit tcp any any eq http

maksudnyer ngko allow untuk inbound http jeks lain sumer denied

cadangan aku, kalo ngko nak block access ssh, maybe ngko tokleh remote server ngko. aku suggest ngko just filtered access.

filter ler based on your static ip yang ngko slalu guna, ataupun ngko register jeks satu dynamic dns macam yourhost.mine.nu

bubuh line tuh dalam config:

access-list <number> permit tcp any host yourhost.mine.nu 22

maknanyer everytime ngko dialup, dapat dhcp ip, pepehal daftar dulu ip ngko dengan host tuh, baru leh ssh through machine ngko

plus++ aku tak pasti plaks baper number untuk inbound, 100 kut

just my suggestion kalo salah abaikan ler pasai aku pun tak baper main sangat dengan pix nih

Edited November 9, 2006 by gegule

crypto.md5 · November 9, 2006

Kalau saya guna contoh berikut berdasarkan yg mat_tenuk bagi:
access-list out_in permit tcp any any eq www
access-list out_in permit icmp any any echo-reply
access-list out_in permit tcp any any eq smtp
access-list out_in permit ip any any
saya dapati, ssh masih boleh masuk.
err.. macamana nak block semua unwanted/undeclared trafik?

access-group sudah buat? belum apply lagi ni,

access-group out_in in interface outside

Try to deny icmp, saya cuba ping dari sini

bukan ker mesti:
access-list <number> deny ip any any
lepaih tuh baru ler:
access-list <number> permit tcp any any eq 80
ataupun
access-list <number> permit tcp any any eq http

By default, setiap kali permit, pix akan deny all at the end. access-jugak boleh guna number, boleh guna name, seperti out_in, senang untuk indentify

Kalau boleh saya nak buat port scanning kat putera, kalau dibenarkan.

azuan · November 9, 2006

kalau menurut kata gegule tu, ikut kata website ni

http://securitytracker.com/alerts/2001/Mar/1001127.html

macam menarik je. sebab dia ada provide config untuk prevent DDoS attack, ssh brute force dan sebagainya. aku pernah guna satu sekerip dalam pf freebsd untuk denied access bila orang cuba connect ke ssh port lebih dari 3 kali berturut turut dalam selang masa beberapa seken. memang menjadi. rasanya cisco PIX yang mahal harganya ni mesti boleh buat punya. memandangkan bak kata lan dia boleh kenal attacking signature, rasanya tak jadi masalah, dengan syarat config tu cun abih la.

kalau dah siap, sila maklumkan meh sini aku test sekali lagi :lol: <- gelak jahat ni

crypto.md5 · November 9, 2006

ok, reply timeout, thats mean access-list takde problem. jangan lupa setiap kali buat access-list, apply kat interface guna access-group.

crypto.md5 · November 9, 2006

kalau menurut kata gegule tu, ikut kata website ni
http://securitytracker.com/alerts/2001/Mar/1001127.html
macam menarik je. sebab dia ada provide config untuk prevent DDoS attack, ssh brute force dan sebagainya. aku pernah guna satu sekerip dalam pf freebsd untuk denied access bila orang cuba connect ke ssh port lebih dari 3 kali berturut turut dalam selang masa beberapa seken. memang menjadi. rasanya cisco PIX yang mahal harganya ni mesti boleh buat punya. memandangkan bak kata lan dia boleh kenal attacking signature, rasanya tak jadi masalah, dengan syarat config tu cun abih la.
kalau dah siap, sila maklumkan meh sini aku test sekali lagi <- gelak jahat ni

Hehehe, ko ni buat admin panic jer, jangan risau, vulnerabilty ni dah fix dengan pix os 6.3.1.

Shanai · November 9, 2006

mat_tenuk,

access-group out_in in interface outside

dah ada, nak kena re-apply ke?

pasal ping tu, server putera mmg set untuk deny all, tapi pada firewall permit echo-reply. Kalau nak test ping, boleh ke 61.6.64.186.

bila show ip audit count, didapati ICMP Echo Request outside dan Global ada 5367, ICMP time exceed pun ada 4040 untuk outside dan global.

Bukan ke sepatutnya tak ada langsung sebab dah permit ICMP echo-reply saje?

Kalau nak buat port scanning kat putera, silakan

dan scan juga 61.6.64.186, tapi yg ni mmg tengah giler skit sbb ada trojan idup lagi dlm tu.. saje biar dulu sbb nak buat testing.

gegule, saya bukan nak block ssh, tapi cuma contoh je. Tapi idea guna dynamic dns tu orait juga.

azuan · November 9, 2006

ssh ko tu aku rasa baik jangan open public. sebab kat luar tu banyak beruk yang akan cuba brute-force, atau main teka teki. tak percaya ko boleh tengok ssh log ko ada tak cubaan berkali kali.

filter la ke hostname yang gegule cadangkan tu supaya boleh allow ke IP address ko sahaja untuk remote.

akan datang ko boleh monitor firewall log dan jugak http log dan tengok ip mana yang banyak mendatangkan masalah, macam buat probing carik vulnerable ka, exploite ke apa ke. lepastu zasss kat firewall. nampak kejam, tapi sebenarnya boleh memudahkan kerja. orang macamni tak layak diberi akses masuk ke lamanweb sini. lagipun kebanyakan ip address yang digunakan tu sah open proxy, takpun segmen ip dari negara negara yang browse website ni tapi tak paham apa yang kita bincang :lol:

crypto.md5 · November 10, 2006

ip address outside firewall bukan ke 61.6.64.178 255.255.255.240? i ping time out, bagaimana dengan server2 yg lain, i test masih dapat ping, make sure jugak awak buat untuk server2 yg lain. Let me know if this work, jika tak, saya ada alternatif lain.

nak saya pegi sana ke? ehehehe,

Aku kat sini pun guna pix, model 525, 8 interface, semuanya berjalan lancar, tapi kalau buat support kat client aku, sampai 30,40 email reply baru settle

Edited November 10, 2006 by mat_tenuk

crypto.md5 · November 10, 2006

Admin,

Buat ni,

---apply acl ni kat semua server---

firewall(config)#access-list out_in deny tcp any host 61.6.64.187 eq 22

firewall(config)#access-list out_in deny tcp any host 61.6.64.186 eq 22

firewall(config)#access-list out_in deny tcp any any eq 22

firewall(config)#access-list permit ip any any

firewall(config)#access-group out_in in interface outside

firewall(config)#ip verify reverse-path interface outside

firewall(config)#ip verify reverse-path interface inside

Sebab saya tengah jalankan attack ni, hampir success, buat seperti kat atas should be ok. Saya test 1 by 1 ok?

Sign In

Firewall Untuk Server Putera.com

Recommended Posts

LucentAmar 0

Share this post

Link to post

Share on other sites

Ehc 0

Share this post

Link to post

Share on other sites

crypto.md5 1

Share this post

Link to post

Share on other sites

LucentAmar 0

Share this post

Link to post

Share on other sites

crypto.md5 1

Share this post

Link to post

Share on other sites

LucentAmar 0

Share this post

Link to post

Share on other sites

Shanai 31

Share this post

Link to post

Share on other sites

crypto.md5 1

Share this post

Link to post

Share on other sites

Shanai 31

Share this post

Link to post

Share on other sites

crypto.md5 1

Share this post

Link to post

Share on other sites

Shanai 31

Share this post

Link to post

Share on other sites

crypto.md5 1

Share this post

Link to post

Share on other sites

Shanai 31

Share this post

Link to post

Share on other sites

crypto.md5 1

Share this post

Link to post

Share on other sites

gegule 0

Share this post

Link to post

Share on other sites

Shanai 31

Share this post

Link to post

Share on other sites

gegule 0

Share this post

Link to post

Share on other sites

crypto.md5 1

Share this post

Link to post

Share on other sites

azuan 2

Share this post

Link to post

Share on other sites

crypto.md5 1